1110月10日,波耐蒙研究所和工业网络安全公司Dragos发布影响工业控制系统的研究报告(ICS)或其它操作技术(OT)系统安全事件平均损失约300万美元,部分公司报告损失超过1亿美元。
基于美国波耐蒙研究所对600名信息技术的报告(IT)、IT安全和OT安全从业人员的调查数据。
29%的受访者承认,他们的公司在过去两年中遭受了勒索软件攻击;超过一半的受访者表示,他们平均支付了50多万美元的赎金。一些公司报告的赎金超过200万美元。
近三分之二的受访者在过去两年中经历过ICS/OT网络安全事件。由于内部人员的疏忽和维护问题,或IT和OT由于分离不良IT安全事件“漫溢”到OT网络,就是经历ICS/OT网络安全事件最常见的几个原因。
平均来说,企业测试事件需要170天,调查事件需要66天,修复事件需要80天。根据6人团队测试、调查和修复事件所需的总时间,我们可以计算出总劳动力成本接近100万美元。加上约200万美元的停机时间、法律费用、监管罚款和设备更换,平均约300万美元。
在确认网络安全事件的公司中,1%的公司表示ICS/OT网络安全事件总成本超过1亿美元,2%的公司表示成本在1000万到1亿美元之间。总的来说,13%的受访者表示,网络安全事件造成的损失超过100万美元。
Dragos波耐蒙研究所发布的报告重点关注IT和OT团队之间的“文化鸿沟”及其对IT和OT影响环境安全。
半数受访者将安全,IT与工程师的文化差异被认为是IT和OT团队合作的主要障碍。40%以上的受访者还提到了工业网络风险的技术差异和所有权。
调查中发现的其他问题还包括:
- 首席高管和董事会不定期了解公司ICS/OT网络安全计划的效率、有效性和安全性;
- 许多高级经理缺乏正确的经理OT对环境风险和威胁的认识导致资源分配不足;
- OT不合理的安全报告关系和问责结构阻碍了正确性OT和ICS投资网络安全;
- 很多企业的ICS/OT网络安全成熟度不足。
报告原文:
https://hub.dragos.com/hubfs/Reports/2021-Ponemon-Institute-State-of-Industrial-Cybersecurity-Report.pdf?hsLang=en