导读:
本栏目系列文章将筛选国际上具有借鉴价值的工业制造业软件质量领域行业报告进行翻译整理,最后结合我国行业现状做出解读以及建议。本文为《工业网络安全:保护制造企业的数字化和智能互联》报告的第四章部分,整个报告预计分为7篇文章发布,最后一篇为国内专家解读,敬请关注。
第四章
建立行业合作机制
强大的网络安全需要协作
随着生产设施和多个产品领域的互联,私营企业和政府越来越意识到,安全是制造商面临的重要问题。这种“连通性”将导致联网设备的数量大幅增加。 在保护材料、模型、传感器、控制器和流程知识产权的同时,需要严格的多行业、跨国合作。
行业协会、专业协会和其他团体不但可以提供协作的机制,还可以提供具有指导意义的在其他行业中广泛使用的模型。ISAC/ISAO 为同行业公司之间的合作提供了一种机制,可以促进事件、威胁、漏洞、最佳实践和解决方案的匿名共享(见框 1)。
框1.国际审计准则和国际审计组织
ISAC/ISAO 中包含一些涉及制造业的内容,但是并没有专注于制造业的部分,制造 ISAC/ISAO 可以:
1. 开发一个可以匿名提交网络攻击的数据存储库。包含来自许多公司的匿名数据的数据存储库,允许制造商识别和分析趋势,这对制造业和网络安全研究社区都极为有利。
2.促进收集情报的蜜罐的实施。虽然通过编译攻击的详细信息创建一个强大的数据存储库是必要措施,但是仅仅依靠这些已知威胁,在威胁真正发生时使得制造企业非常被动。
红队和白帽黑客可以填补这块空白。另一种收集更多情报的方法是使用蜜罐。从蜜罐收集到的情报,结合实时收集到的漏洞威胁和风险数据以及白帽黑客发现的数据,使制造商能够主动识别和分析趋势,提高系统的网络安全性。
3. 促进情报的优先排序和共享。情报共享最好通过公私伙伴关系来实现,这种伙伴关系可以利用 DHS 和 DoD 等联邦机构的情报收集能力,与 DHS 提供的行业协调和报告、行业特定 ISAC/ISAO 提供的行业协调和报告相结合。
ISACs/ISAOs 应该成为国家制造业生态系统中值得信赖的、不可或缺的一部分,但只有制造商加入/组建相关的 ISACs/ISAOs 并通过共享数据、积极参与其中,它们才能发挥真正的作用。制造商需要客服目前的自满情绪,积极参与其中。
自满:合作的障碍
提高制造业网络安全的最大障碍可能是制造商的自满情绪。由于美国制造业尚未报告重大事件,所以没有足够的监管、激励措施来积极引导。其他行业的网络攻击,无论与制造业的相似性有多高,都无法促使制造企业在网络安全层面进行投入,例如最近对 Sony、Target 和 Yahoo 的攻击。SMM(通常定义为员工少于 500 人的制造商)占 90% 以上的美国制造基地,都认识不到安全对期运营构成的威胁,不认为安全投资具有竞争优势,也无法承担精通网络安全的 信息技术 专业团队的人员成本。
在应对网络安全方面,制造企业对采取什么行动缺乏了解,行动的动力更加不足。很少有制造企业会设置专门应对网络安全挑战的专业的员工。网络攻击不仅对生产,而且对事务安全性、保险、法律责任和财务合规性的多方面的影响才刚刚被认识到。
网络威胁对各行各业、各种规模的制造商而言普遍、严重且演变迅速,因此需要灵活、经济高效的解决方案,最好由市场激励而非监管要求驱动。网络安全需要成为每个制造业企业文化中根深蒂固的一部分, 嵌入管理决策、劳动力培训和投资测算中。
1980年代美国质量文化的出现是一个非常好的例子。一开始是由于与日本的竞争而推行,但是却在美国整个制造业中一致延续下来。要想赢得OEM业务,必须要以 ISO 9001 和相关标准为基础,确保高质量的生产。类似的网络安全标准广泛采用,如 ISA/IEC 62443 和 ISO 27001(见附录 1),因大客户的要求而推动,渐渐落实在整个供应链中,不但可以提供竞争优势,也为制造企业投资网络安全提供了市场需求。六西格玛从业者使用的系统通过颜色(即绿色、黑色、主黑色)来指定专业知识和经验水平,或许也适用于网络安全专业人员。
另一个更强大的网络安全实践的潜在市场驱动因素是创建一个重视强大网络安全的价格机制。网络安全保险就是这样一种机制。在最近的一项全球风险管理调查中,发现网络犯罪是北美企业所有受访者中最关心的问题,但它并不是制造商最关心的三大问题之一。公司规模越小,网络安全被重视的可能性就越小。在接受调查的公司中,制造公司是最不可能购买网络保险的公司之一,很少有制造商去尝试量化网络攻击的潜在成本。如果没有财务影响指标,很难证明为降低网络攻击风险而进行的必要投资的合理性。
针对有关网络攻击的频率和性质、对企业可能造成的影响以及企业为减轻影响采取的措施或受到攻击后快速恢复应该采取的措施这些方面的信息共享也非常重要。如果创建鼓励制造商购买网络安全保险的市场激励措施,制造企业会更有动力去共享这些信息,来实现保费的公平和最优化。
创造所需的市场激励和充分参与协作组织只能由企业高层领导来完成。由来自制造业代表性部门的首席执行官 (CEO) 组成,同时也包含高级政府官员和学者的工作组,可以提高和保持对制造业网络安全的认识。该工作组的具体行动项目包括:
1. 为网络安全创建有力的市场激励,类似于 1980 年代美国制造业出现的国家“质量保证”计划。网络安全措施的意识、观念、采用和执行必须成为整个制造业组织内的一种竞争优势。理想状态下,解决方案将由市场而非监管驱动,以确保长期的灵活性和激励措施的持续改进。行业团体应与政府合作,促进对网络安全的认识和教育,支持对网络安全事件带来的影响进行界定。
2.创建网络安全标准注册计划,类似于 ISO 9001 等相关质量体系,制定有效的网络安全政策和实践方法,并不断持续改进。ISA/IEC 62443 和 ISO 27001 网络安全标准为衡量制造企业的网络安全实践提供了成熟的机制。与质量体系一样,独立的审计师会去确认网络安全工作是否已经实施到位,市场会青睐拥有网络安全认证的制造商。
3.组建国家网络安全认证实验室,免去每个公司对每一个产品/流程进行测试的需要。保险商实验室可以作为一个模型。认证需要为产品和流程的软件和硬件定义基本安全级别。
4.鼓励所有制造商,无论规模或行业,参与特定行业的 ISAC 并实施 NIST 网络安全框架中可重复和自适应实施层中确定的网络安全实践。为了帮助较小的公司,工作组应鼓励他们与当地的 MEP 中心合作,实施网络安全框架实践,并遵守关于网络安全的国防联邦采购补充法规 (DFARS)(见附录 1)。
5.适当与政府和学术界进行合作,在信息技术/运营技术接口、身份验证、针对不同口径攻击的保护以及攻击报告的总体分类、指导方针和标准上达成一致。
6. 学习和应用金融和能源部门已经在使用的方法。
可以通过以下行动为公司间的合作创建必要的市场激励和机制:
建议 3:建立聚焦于制造业的 ISACS、ISAOS 或类似组织。
SAC/ISAO 或类似的行业主导组织可以促进事件、威胁、漏洞、最佳实践和解决方案的顺畅、匿名共享。制造业专用 ISAC/ISAO 可以发起的主动协作活动包括:
a. 开发匿名提交网络攻击的数据存储库,并定期向制造企业发布匿名报告
b. 协调使用蜜罐进行情报收集和共享
c. 创建行业测试平台、网络靶场和演示设施,用来测试 运营技术 和 信息安全技术,制作安全模型,识别系统级漏洞,并提供“网络深度剖析”能力
d.明确最佳实践方法,并进行宣传,并提供培训平台/课程。
建议 4:建立一个执行级工作组
需要一个执行级别的工作组来发出行业最强音,以倡导和激励行业采取行动加强网络安全。以质量体系认证为模型,工作组应推动基于市场的激励措施,以加强制造业的网络安全。目标是让大多数制造企业实施NIST 网络安全框架中可重复的实践方法以及明确的自适应实施层中的安全方法,满足相关标准中详述的要求(如 ISA/IEC 62443 和 ISO 27001)。工作组还应:
a.促进所有制造企业参与其行业的 ISAC/ISAO
b. 促进创建可应用于网络安全实践的金融风险管理程序
c.与金融和能源等其他同样面临风险的部门进行沟通,将这些行业开发的解决方案应用于制造业
