今天,很难再描绘一幅美好的网络安全图景了。网络连接不断增强的同时,针对生产制造企业和其他行业的网络攻击也变得越来越频繁,攻击变得更加复杂,而且攻击面也拓宽了。没有任何简单的答案和一劳永逸的网络安全解决方案。
“你负责的系统正在遭受攻击,”麻省理工学院的互联网政策研究所(IPRI)-CIS的Joel Brenner博士在工业控制系统联合工作组2017秋季会议上作主旨发言时说到。“能够进行攻击的能力不仅与国家层面有关,而且还与资金充足的袭击组织有关。”那意味着大量关键的基础设施需要保护,可是要将所有的关键领域都置于保护伞之下又是不可能的。
Brenner建议重点关注4个重要的关键设施领域,分别是石油及天然气、金融、电力以及通讯。
最近几年发生的针对英国国家健康服务、乌克兰电力供应商、沙特石油公司Aramco等网络安全攻击都显示出,对于关键基础设施的攻击数量正持续增长。尽管数字化制造企业有其优势,但也存在一些潜在的安全风险。。
工业物联网(IIoT)所带来的网络连接、数字化生产以及应用的增加,可能使制造企业在新型的攻击面前变得更加脆弱。Brenner为生产制造企业提供了3个安全方面的建议:
1.关键的运营技术(OT)控制需要与公共网络隔离开
并不是所有的网络都要隔离,重点是OT控制的关键领域。Brenner承认在有关隔离的合适程度方面存在一些观点上的差异。“将控制从互联网上隔离并不意味着将其从数字化的世界里拿走。”他说到。并不是所有的功能都需要面向公共互联网。有一些功能是需要被锁定和限制访问的。有很多方式可以用来解决如何隔离的问题。
2.支持更简单、更安全的控制技术
在这个世界上,复杂性是我们的敌人,恶意软件可以轻易地插入到数百万行的代码里。此外,Brenner说,通用微芯片和通用的控件并不适用于控制灵敏的OT。
“如果我们想要拥有更简单的控制,那就一定有它们的市场,而且它需要全世界各个政府的支持。”他说到。
3.必须重新调整网络安全的市场激励措施
老旧系统退役应该是优先考虑的。Brenner建议,政府应该出台税收刺激政策来加速老旧系统的退役。归根结底,“最困难的网络安全的挑战是经济上和政治上的,而不是技术上的。”
在进行安全研究的时候主要的挑战是对网络风险进行量化。需要更多的确凿的事实;无法进行量化的风险会阻碍安全措施。有时风险的最大问题不是来源于计算机本身,而是使用它的人。
在过去的20年中制造业一直致力于解决网络安全问题,而Brenner并不觉得在风险方面防控有什么真正的提高。
“我们已经面对了20年来痴心妄想的后果了。”他说。“网络安全没有一点点改善。我们已经在网络安全的道路上倒退了20年。也许你的个人安全可能变好了,可是对于企业来说,并没有获得更好的网络安全。现在是对于问题的复杂程度保持头脑清醒,并且忠于我们自己的时候了。”(作者:Gregory Hale)