[調研]ICS和OT網絡安全事件致一些美國企業損失上億美元

11月10日，波耐蒙研究所和工業網絡安全公司Dragos發布研究報告，揭示影響工業控制系統（ICS）或其他運營技術（OT）系統的安全事件可造成平均約300萬美元的損失，某些公司報告的損失甚至超過1億美元。

該報告基于美國波耐蒙研究所對600名信息技術（IT）、IT安全和OT安全從業人員進行的調查數據。

29%的受訪者承認，其所在公司在過去兩年間曾遭遇過勒索軟件攻擊；超過半數的受訪者稱，平均支付了50多萬美元的贖金。一些公司報告的贖金支付金額超過200萬美元。

近三分之二的受訪者在過去兩年間經歷過ICS/OT網絡安全事件。內部人員疏忽、維護問題，或者因為IT和OT分隔不善而導致IT安全事件“漫溢”到OT網絡，是遭遇ICS/OT網絡安全事件最常見的幾個原因。

平均而言，企業檢測事件需要170天，調查事件需要66天，修復事件則需要80天。根據6人團隊檢測、調查和修復事件所需的總小時數，我們可以計算得出，總人工成本接近100萬美元。加上大約價值200萬美元的停機時間、法務費用、監管罰款和設備更換，平均總約為300萬美元。

在確認發生網絡安全事件的公司中，1%的公司表示ICS/OT網絡安全事件的總成本超過1億美元，2%的公司稱成本在1000萬至1億美元之間。總體而言，13%的受訪者表示，網絡安全事件造成的損失超過100萬美元。

Dragos和波耐蒙研究所發布的報告重點關注IT和OT團隊之間的“文化鴻溝”及其對IT和OT環境安全的影響。

半數受訪者將安全、IT和工程師之間的文化差異視為IT和OT團隊協作的主要障礙。超過40%的受訪者還提到了技術差別和明晰的工業網絡風險所有權。

調查發現的其他問題還包括：

? 首席級高管和董事會未定期了解公司ICS/OT網絡安全計劃的效率、有效性和安全；

? 很多高級經理缺乏對OT環境風險與威脅的認知，導致資源分配不足；

? OT安全的報告關系和問責結構不合理，阻礙了對OT和ICS網絡安全的投入；

? 很多企業的ICS/OT網絡安全成熟度不足。