工业物联网安全必须攻克“三座大山”
- 来源:E安全
- 2017/12/19 11:56:4432610
【中国安防展览网 企业关注】LNS Research发布的一份报告指出,工业物联网(简称IIoT)采用率正在持续增长。但在权衡联网技术的商业化应用时,企业往往没能充分考虑到网络安全挑战的未来态势,且企业存在三大障碍影响IIoT安全发展。
工业安全发展现状
被广泛视为“智慧工厂”核心支柱的工业4.0无疑是实现适应性、自动化与敏捷性的新型联网硬件基础。LNS方面发现,大多数工业企业都有计划实施数字化转型,而这意味着网络安全问题正变得比以往任何时间都更加重要。
遗憾的是,大多数计划迈入工业物联网领域的企业都未能考虑到安全性这项因素,这主要是由于运营技术与信息技术之间存在严重隔阂。而这道鸿沟甚至有可能严重影响到工业数字化转型浪潮的未来命运。
报告指出,40%的工业企业已经启动工业物联网计划,另有24%则计划在明年之内开始着手。
众多下一代工业物联网平台都将以即服务(*aaS)方式运行,这将带来更突出的灵活性、易用性并生成大量可量化数据。但这一切在网络安全层面又会带来新的软肋——特别是考虑到工业企业通常将安全保护视为一种附加因素,而非工业物联网PaaS体系中的固有部分。
工业物联网面临风险的三大原因
LNS方面就工业物联网安全所面临的巨大风险给出了三项原因: 企业并不了解相关威胁的严重程度; IT与OT在各自的孤岛内运作; 严重缺乏网络安全佳实践的实施经验。
威胁态势
研究结果显示,企业对威胁态势并不清楚:47%的受访企业没有处理过任何安全违规事件。其中19%的企业曾因便携式存储介质上的恶意软件而遭遇安全事故,相比之下直接攻击活动则非常罕见。这使得众多企业面对网络安全工作抱有一种“迷之自信”。但这种自信显然站不住脚,例如美国国土安全部就曾警告称,目前每一家主要自动化方案供应商的产品中都包含有已知软件漏洞。这意味着直接攻击必将发生,只是或早或晚的问题。
IT与OT间的彼此孤立
导致网络安全挑战的另一大问题在于IT与OT间的彼此孤立。OT包括工厂当中非企业模式的一切元素,例如控制系统、监控系统、工厂硬件以及机器等等。
报告指出,“即使企业开始以认真态度对待工业网络安全,如果不能在IT与OT之间建立起真正的合作关系,问题仍然不可能得到充分解决。”IT技能与OT专业知识应当加以结合,从而为下一代工业技术创造行之有效的安全规划。
缺乏网络安全实施经验
而在佳实践方面,这里还列出了一系列令人沮丧的数字。只有35%的受访企业拥有专门的信息安全官(简称CISO),其余企业则将这部分职责归入信息官的职能范畴。报告指出:“为了使得IT与OT的融合成为现实,并确保企业实施有效的工业网络安*方案,CISO与CIO这两大角色必须同时存在且协同工作。”
除了缺乏CISO之外,工业企业在其它安全领域也较为落后。只有49%的企业拥有厂内帐户管理政策,而只有38%企业拥有联网设备清单并记录往来流量,另外38%企业并未进行任何网络安全监控。
无论是哪个行业,其原本的所谓下一代技术都是简单将旧有、过时的成果拼凑在新的系统之上,而这类系统往往根本无法与现代数字化世界进行对接。
而这一轮技术变革浪潮在给我们带来无限可能性之余,亦提醒人们其必须配合新的且能够相互联系的基础方可实现成功——此外,将安全元素视为其核心组成部分同样至关重要。
因此无论是工业企业抑或其它领域机构,都应当认真听取LNS报告中的建议,包括确保网络安全成为数字化转型战略中的基本组成部分,着重于采用佳实践(立足现有及未来即将出现的系统),终消除IT与OT(或者其它需要与IT建立合作关系的相关方)间的孤岛。