傳統IT與關鍵基礎設施網絡風險評估
并非所有網絡安全風險都相同,而且由于威脅不斷發展,定期執行和更新風險評估至關重要。對于關鍵基礎設施尤其如此,網絡攻擊可能會造成危及生命的后果。但是,關鍵基礎設施網絡風險評估與傳統IT網絡風險評估是否不同?答案是肯定的。
為了了解評估的不同之處,首先要確定風險的不同之處:
- 傳統IT網絡風險。攻擊者控制組織敏感信息的可能性和潛在財務后果。
- 關鍵基礎設施網絡風險。攻擊者控制社會最重要系統和資產的可能性以及潛在物理后果。
與關鍵基礎設施網絡風險相關的危險程度明顯高于傳統IT網絡風險。例如,如果有人竊取你的身份并以你的名義開立信用卡,這肯定會擾亂你的個人生活,但你不太可能對欺詐性收費負責。相反,如果不良行為者關閉電網、毒害當地供水系統或破壞水庫大壩,你的家人可能會面臨生命危險。足夠廣泛的關鍵基礎設施攻擊也可能對國家安全產生嚴重影響。
盡管強調關鍵基礎設施和傳統IT網絡風險之間的差異很重要,但同樣值得注意的是,現實世界的事件并不總是那么容易解析。例如,民族國家有時是為了偷錢而不是造成破壞;朝鮮和伊朗浮現在腦海。而且,盡管勒索軟件是尋求勒索私人公司的攻擊者的最愛,但勒索軟件攻擊也可能對國家安全產生影響,想想最近的Colonial Pipeline關閉。在另一個示例中,犯罪分子可能會對醫院發動勒索軟件攻擊以勒索金錢,但如果勒索軟件攻擊影響患者護理的提供,人們可能會遭受痛苦以及死亡。
關鍵基礎設施網絡風險評估與傳統IT網絡風險評估
IT的使用在工業環境中很普遍。因此,關鍵基礎設施網絡風險評估必須包括IT網絡風險評估所具備的所有信息風險要素。同時還必須解決很多額外的(坦率地說,更可怕的)物理風險因素。
傳統的IT網絡風險評估和關鍵基礎設施網絡風險評估都必須考慮以下風險情景后果:
- 收入損失
- 聲譽損失
- 股價損失
- IT事件響應成本
- IT事件恢復成本
- 客戶影響,例如在欺詐的情況下
關鍵基礎設施網絡風險評估必須權衡以下額外的風險情景后果:
- 員工受傷、疾病和死亡
- 社區傷害、疾病和死亡
- 火災和爆炸
- 設備損壞
- 破壞周邊社區的財產和基礎設施
- 對植物和野生動物的破壞
- 釋放毒素,危害空氣、土地和水質
- 環境響應和恢復成本
- 供應鏈效應
- 國家安全影響
風險評估員專業知識
關鍵基礎設施網絡風險評估的雙重范圍使得它們比傳統網絡風險評估更加復雜和具有挑戰性,主要是因為評估物理風險需要額外的知識、技能和方法。
傳統IT網絡風險評估員和關鍵基礎設施網絡風險評估員需要以下領域的專業知識:
- 操作和現場技術
- 工業網絡安全
- 運營監督管理
- 工業工程
- 流程安全管理
- 健康和安全管理
- 環境風險與合規
- 環境整治
- 工業法規合規性
- 物理安全
風險評估方法
這兩種風險評估也使用不同的方法。傳統IT風險評估依賴于以下標準:
- 信息風險因素分析
- COBIT
- ISO 31000和ISO/IEC 27005
- NIST Special Publication 800-30
- Operationally Critical Threat, Asset and Vulnerability Evaluation Allegro
相比之下,關鍵基礎設施風險評估方法包括以下內容:
- IEC 62443和61511
- 工藝危害分析(PHA)/危害及可操作性分析
- 網絡PHA
風險評估方法
這些評估分別涵蓋的環境也不同。傳統的IT風險評估包括以下內容:
- 互聯網
- 云服務和應用程序
- 企業網絡
- 本地服務和應用程序
- 遠程訪問
- 信息和數據
- 賬戶、訪問權限和特權
關鍵基礎設施網絡風險評估還涵蓋以下環境:
- 操作現場區域
- 操作安全區域
- 操作控制區域
- 操作隔離/歷史區域
- 操作遠程訪問區域
- 操作信息和數據
- 操作賬戶、訪問和特權
對關鍵基礎設施網絡風險評估的建議
最重要的一點是,關鍵基礎設施網絡風險評估比傳統IT風險評估更復雜,因為它們既包含傳統IT風險,也包含物理風險。
在進行關鍵基礎設施網絡風險評估時,請考慮以下建議:
- 獲得正確的第三方幫助。內部員工可能缺乏必要的綜合專業知識來設計和進行全面的關鍵基礎設施網絡風險評估。這種情況下,你可以尋求外部組織的幫助-無論是公共還是專有組織,他們擁有豐富的關鍵基礎設施風險評估和保護準備方面的經驗。
- 讓正確的內部人員參與。雖然IT人員需要應對數字技術威脅,但了解網絡威脅潛在物理影響的人員來自組織的其他部門。請與來自運營、工藝工程、技術工程、環境健康與安全以及工藝安全的內部專家合作。
- 向執行團隊傳達正確的信息。執行團隊經常將網絡風險視為IT需要解決的技術問題。請幫助他們了解,當涉及到現代網絡威脅時,更多人需要負責。單靠IT無法解決關鍵基礎設施問題,這需要整個組織的參與,從工廠車間到董事會。
