报告呼吁采取紧急行动应对关键基础设施的网络威胁

全球安全慈善机构，劳埃德船级社基金会 今天发布了一份名为《工业物联网运营网络安全：挑战与机遇》的报告。 BlueVoyant 国际执行主席罗伯特·汉尼根 (Robert Hannigan) 表示，鉴于对物联网 (IoT) 的依赖日益增加，这凸显了网络攻击对关键基础设施的迫在眉睫的威胁 Sadie Creese，牛津大学计算机科学系网络安全教授。

该报告特别关注工业物联网 (IIoT) 的固有风险，工业物联网正迅速成为全球关键基础设施的核心部分，跨越能源、运输、建筑环境和物理基础设施以及制造业等行业。安全在 IIoT 环境中尤为重要，因此了解如何提供安全且有弹性的基础设施至关重要。

IIoT 还加剧了已经存在的安全挑战。该报告旨在通过识别关键的新兴风险和能力差距来确定行动的优先顺序，当前网络安全运营变化的步伐不足以弥补这些差距。在这些环境中，失败的后果可能是系统性的，该报告呼吁 IIoT 社区紧急采用指导原则，以提高对网络攻击的抵御能力。

该报告指出了负责管理行业风险的人员（包括运营和董事会成员、公司和监管机构、采购和网络安全团队）的不同观点，并提供了有用的概述，以提高所有人的网络意识。

该报告的核心发现是，当前的变化步伐与 IIoT 环境新安全威胁的快速出现不相匹配。报告指出，当前的功能要么无法扩展，要么未经测试，要么根本不存在。该报告还指出了从网络攻击中恢复的临界点，以及可以建立预防性安全实践的思维定势、监管和保险方面的挑战。

虽然监管、网络保险提供商的要求以及组织内部采用网络安全思维方式可以推动弥合运营能力差距和开发有效转化为 IIoT 的风险控制方面的进展，但仍有新的紧迫挑战需要面对。

传统系统的网络安全风险管理已经面临许多挑战。其中包括试图绘制技术系统和人类系统之间复杂关系的绝对困难，以及理解风险框架根本不同的不同社区之间的沟通挑战。

随着风险管理方法转化为 IIoT，造成关键的能力差距，这些现有挑战中的许多将继续存在并加剧，并且将出现新的挑战。

除了随着 IIoT 的扩展探索这些挑战之外，该报告还扩展了可操作的发现，包括：

1. 在规划如何管理风险时，始终考虑危害后果
2. 考虑随着物联网设备使用的增加，安全控制可能会如何失效
3. 使用可以为您提供职位持续评估（近实时）而不是定期评估的技术
4. 考虑您的供应链如何使用 IoT：将其未能维护网络安全视为您的安全风险管理计划的风险
5. 投资于取证准备流程
6. 在您的风险评估中考虑未来情景
7. 投资于物联网标准和良好实践方面的员工培训
8. 合作建立设备接口协议，共享安全监控信息

作者是 BlueVoyant 国际执行主席 Robert Hannigan 和牛津大学计算机科学系网络安全教授 Sadie Creese。

关于作者

BlueVoyant 国际执行主席罗伯特·汉尼根 (Robert Hannigan) , 英国安全机构 GCHQ 前主任、该报告的合著者说：“在过去几年中，我们看到针对全球关键基础设施的蓄意攻击有所增加。随着工业部门对物联网的采用不断增长，需要明确的行动和指导。我们的报告阐述了 IIoT 的背景、关键基础设施在越来越依赖连接系统时面临的迫在眉睫的问题，以及防范网络事件的可能解决方案。”

牛津大学计算机科学系网络安全教授、共同作者 Sadie Creese 补充说：“我们需要建立有弹性的基础设施，以保证不断扩展的‘事物’连接网络的安全性。显然迫切需要进一步研究以了解和证明风险控制绩效；探索责任模型、实用性和对物联网市场的影响；并开展国际合作，以建立对 IIoT 供应链的信任。”