“ບໍ່ພຽງແຕ່ວິສາຫະກິດອີງໃສ່ OT ເທົ່ານັ້ນ, ປະຊາຊົນໃນທົ່ວປະເທດກໍອີງໃສ່ເຕັກໂນໂລຊີນີ້ສຳລັບການບໍລິການທີ່ສຳຄັນລວມທັງພະລັງງານ ແລະ ນ້ຳ. ແຕ່ຫນ້າເສຍດາຍ, ຄະດີອາຍາທາງອິນເຕີເນັດແມ່ນຮູ້ຄືກັນວ່າຄວາມປອດໄພຂອງໂຄງສ້າງພື້ນຖານທີ່ສໍາຄັນໂດຍທົ່ວໄປແມ່ນອ່ອນແອ. ດັ່ງນັ້ນ, ນັກສະແດງໄພຂົ່ມຂູ່ເຊື່ອວ່າການໂຈມຕີ ransomware ໃນ OT ມີແນວໂນ້ມທີ່ຈະຈ່າຍໄດ້ສູງ, "Skybox Security CEO ແລະຜູ້ກໍ່ຕັ້ງ Gidi Cohen ກ່າວ. "ຄືກັນກັບຄວາມຊົ່ວຮ້າຍທີ່ຈະເລີນເຕີບໂຕໃນຄວາມບໍ່ພໍໃຈ, ການໂຈມຕີ ransomware ຈະສືບຕໍ່ສວຍໃຊ້ຊ່ອງໂຫວ່ OT ຕາບໃດທີ່ການກະ ທຳ ຍັງຄົງຢູ່."
ການຄົ້ນຄວ້າໃຫມ່, ຄວາມສ່ຽງດ້ານຄວາມປອດໄພທາງອິນເຕີເນັດທາງດ້ານການດໍາເນີນງານແມ່ນຄາດຄະເນຫນ້ອຍລົງຢ່າງຫຼວງຫຼາຍ, ຄົ້ນພົບການສູ້ຮົບທີ່ປອດໄພທີ່ OT ປະເຊີນ - ປະກອບດ້ວຍຄວາມສັບສົນຂອງເຄືອຂ່າຍ, silos ທີ່ເປັນປະໂຫຍດ, ຄວາມສ່ຽງຂອງລະບົບຕ່ອງໂສ້ການສະຫນອງ, ແລະທາງເລືອກການແກ້ໄຂຄວາມອ່ອນແອທີ່ຈໍາກັດ. ນັກສະແດງໄພຂົ່ມຂູ່ໃຊ້ປະໂຫຍດຈາກຈຸດອ່ອນ OT ເຫຼົ່ານີ້ໃນວິທີທີ່ບໍ່ພຽງແຕ່ເຮັດໃຫ້ບໍລິສັດສ່ວນບຸກຄົນຂັດຂວາງ - ແຕ່ໄພຂົ່ມຂູ່ຕໍ່ສຸຂະພາບສາທາລະນະ, ຄວາມປອດໄພ, ແລະເສດຖະກິດ.
ຂໍ້ມູນທີ່ສຳຄັນຈາກການສຶກສາປີ 2021 ລວມມີ:
• ອົງການຈັດຕັ້ງປະເມີນຄວາມສ່ຽງຂອງການໂຈມຕີທາງອິນເຕີເນັດ ຫ້າສິບຫົກເປີເຊັນຂອງຜູ້ຕອບທັງໝົດ "ມີຄວາມຫມັ້ນໃຈສູງ" ອົງການຈັດຕັ້ງຂອງເຂົາເຈົ້າຈະບໍ່ປະສົບກັບການລະເມີດ OT ໃນປີຕໍ່ໄປ. ຢ່າງໃດກໍຕາມ, 83% ຍັງເວົ້າວ່າພວກເຂົາມີການລະເມີດຄວາມປອດໄພ OT ຢ່າງຫນ້ອຍຫນຶ່ງຄັ້ງໃນ 36 ເດືອນກ່ອນຫນ້າ. ເຖິງວ່າຈະມີຄວາມສໍາຄັນຂອງສິ່ງອໍານວຍຄວາມສະດວກເຫຼົ່ານີ້, ການປະຕິບັດຄວາມປອດໄພຢູ່ໃນສະຖານທີ່ມັກຈະອ່ອນແອຫຼືບໍ່ມີ.
• CISO ຕັດການເຊື່ອມຕໍ່ລະຫວ່າງຄວາມຮັບຮູ້ແລະຄວາມເປັນຈິງ ເຈັດສິບສາມສ່ວນຮ້ອຍຂອງ CIOs ແລະ CISOs ມີຄວາມຫມັ້ນໃຈສູງລະບົບຄວາມປອດໄພ OT ຂອງເຂົາເຈົ້າຈະບໍ່ຖືກລະເມີດໃນປີຕໍ່ໄປ. ເມື່ອປຽບທຽບກັບພຽງແຕ່ 37% ຂອງຜູ້ຈັດການພືດ, ຜູ້ທີ່ມີປະສົບການ firsthand ຫຼາຍກັບ repercussion ຂອງການໂຈມຕີ. ໃນຂະນະທີ່ບາງຄົນປະຕິເສດທີ່ຈະເຊື່ອວ່າລະບົບ OT ຂອງເຂົາເຈົ້າມີຄວາມສ່ຽງ, ຄົນອື່ນເວົ້າວ່າການລະເມີດຕໍ່ໄປແມ່ນຢູ່ທົ່ວທຸກມຸມ.
• ການປະຕິບັດຕາມບໍ່ເທົ່າທຽມກັບຄວາມປອດໄພ ມາຮອດປະຈຸບັນ, ມາດຕະຖານການປະຕິບັດຕາມໄດ້ພິສູດວ່າບໍ່ພຽງພໍໃນການປ້ອງກັນເຫດການຄວາມປອດໄພ. ການຮັກສາການປະຕິບັດຕາມກົດລະບຽບແລະຂໍ້ກໍານົດແມ່ນຄວາມກັງວົນທົ່ວໄປທີ່ສຸດຂອງຜູ້ຕອບທັງຫມົດ. ຂໍ້ກໍານົດການປະຕິບັດຕາມກົດລະບຽບຈະສືບຕໍ່ເພີ່ມຂື້ນໃນຄວາມສະຫວ່າງຂອງການໂຈມຕີທີ່ຜ່ານມາກ່ຽວກັບໂຄງສ້າງພື້ນຖານທີ່ສໍາຄັນ.
• ຄວາມຊັບຊ້ອນເພີ່ມຄວາມສ່ຽງດ້ານຄວາມປອດໄພ ເຈັດສິບແປດເປີເຊັນກ່າວວ່າ ຄວາມຊັບຊ້ອນອັນເນື່ອງມາຈາກເທັກໂນໂລຍີຜູ້ຈໍາໜ່າຍຫຼາຍອັນເປັນສິ່ງທ້າທາຍໃນການຮັບປະກັນສະພາບແວດລ້ອມ OT ຂອງເຂົາເຈົ້າ. ນອກຈາກນັ້ນ, 39% ຂອງຜູ້ຕອບແບບສອບຖາມທັງໝົດກ່າວວ່າ ອຸປະສັກອັນດັບໜຶ່ງໃນການປັບປຸງໂຄງການຄວາມປອດໄພແມ່ນການຕັດສິນໃຈຢູ່ໃນຫົວໜ່ວຍທຸລະກິດສ່ວນບຸກຄົນທີ່ບໍ່ມີການກວດກາຈາກສູນກາງ.
• ການປະກັນໄພຄວາມຮັບຜິດຊອບທາງໄຊເບີຖືວ່າພຽງພໍໂດຍຜູ້ຕອບແບບສອບຖາມບາງສ່ວນສາມສິບສີ່ກ່າວວ່າການປະກັນໄພຄວາມຮັບຜິດຊອບທາງໄຊເບີຖືວ່າເປັນການແກ້ໄຂທີ່ພຽງພໍ. ຢ່າງໃດກໍ່ຕາມ, ການປະກັນໄພຄວາມຮັບຜິດຊອບທາງອິນເຕີເນັດບໍ່ໄດ້ກວມເອົາ "ທຸລະກິດທີ່ສູນເສຍ" ທີ່ມີຄ່າໃຊ້ຈ່າຍທີ່ເກີດຈາກການໂຈມຕີ ransomware, ເຊິ່ງເປັນຫນຶ່ງໃນສາມຄວາມກັງວົນທີ່ສຸດຂອງຜູ້ຕອບແບບສໍາຫຼວດ.
• ການວິເຄາະການເປີດເຜີຍ ແລະ ເສັ້ນທາງແມ່ນບູລິມະສິດດ້ານຄວາມປອດໄພທາງໄຊເບີ ສີ່ສິບຫ້າເປີເຊັນຂອງ CISOs ແລະ CIOs ກ່າວວ່າການບໍ່ສາມາດດໍາເນີນການວິເຄາະເສັ້ນທາງໃນທົ່ວສະພາບແວດລ້ອມເພື່ອເຂົ້າໃຈການເປີດເຜີຍຕົວຈິງແມ່ນຫນຶ່ງໃນສາມຄວາມກັງວົນດ້ານຄວາມປອດໄພສູງສຸດຂອງພວກເຂົາ. ນອກຈາກນັ້ນ, CISOs ແລະ CIOs ກ່າວວ່າສະຖາປັດຕະຍະກໍາທີ່ບໍ່ສອດຄ່ອງກັນໃນທົ່ວສະພາບແວດລ້ອມ OT ແລະ IT (48%) ແລະການປະສົມປະສານຂອງເຕັກໂນໂລຢີ IT (40%) ແມ່ນສອງໃນສາມຄວາມສ່ຽງດ້ານຄວາມປອດໄພທີ່ໃຫຍ່ທີ່ສຸດຂອງພວກເຂົາ.
• silos ທີ່ເປັນປະໂຫຍດນໍາໄປສູ່ຊ່ອງຫວ່າງຂອງຂະບວນການແລະຄວາມຊັບຊ້ອນດ້ານເຕັກໂນໂລຢີ CIOs, CISOs, ສະຖາປະນິກ, ວິສະວະກອນ, ແລະຜູ້ຈັດການໂຮງງານທັງຫມົດລາຍຊື່ silos ທີ່ເປັນປະໂຫຍດໃນບັນດາສິ່ງທ້າທາຍສູງສຸດຂອງພວກເຂົາໃນການຮັບປະກັນໂຄງສ້າງພື້ນຖານ OT. ການຄຸ້ມຄອງຄວາມປອດໄພ OT ເປັນກິລາທີມ. ຖ້າສະມາຊິກໃນທີມໃຊ້ປື້ມຫຼິ້ນທີ່ແຕກຕ່າງກັນ, ພວກເຂົາຄົງຈະບໍ່ຊະນະຮ່ວມກັນ.
• ລະບົບຕ່ອງໂສ້ການສະໜອງ ແລະຄວາມສ່ຽງຂອງພາກສ່ວນທີສາມແມ່ນໄພຂົ່ມຂູ່ທີ່ໃຫຍ່ຫຼວງສີ່ສິບເປີເຊັນຂອງຜູ້ຕອບກ່າວວ່າລະບົບຕ່ອງໂສ້ການສະໜອງ/ການເຂົ້າເຖິງເຄືອຂ່າຍຂອງພາກສ່ວນທີສາມແມ່ນໜຶ່ງໃນສາມຄວາມສ່ຽງດ້ານຄວາມປອດໄພສູງສຸດ. ຢ່າງໃດກໍຕາມ, ພຽງແຕ່ 46% ກ່າວວ່າອົງການຈັດຕັ້ງຂອງພວກເຂົາເປັນນະໂຍບາຍການເຂົ້າເຖິງພາກສ່ວນທີສາມທີ່ນໍາໃຊ້ກັບ OT.
ສະຫນັບສະຫນູນວົງຢືມ
• Navistar, Inc., ຜູ້ຈັດການຄວາມປອດໄພດ້ານຂໍ້ມູນ Robert Lynch: “ບາງ CISO ອາດຈະມີຄວາມໝັ້ນໃຈທີ່ບໍ່ຖືກຕ້ອງເພາະວ່າເຖິງແມ່ນວ່າພວກເຂົາຖືກລະເມີດແລ້ວ, ພວກເຂົາຍັງບໍ່ທັນໄດ້ລະບຸເລື່ອງນີ້ເທື່ອ; ບາງຄັ້ງແຮກເກີຢູ່ທີ່ນັ້ນເປັນເວລາດົນນານເພື່ອສ້າງຕັ້ງຖານທັບຂອງພວກເຂົາ. ມັນເປັນອັນຕະລາຍທີ່ຈະມີຄວາມຫມັ້ນໃຈຍ້ອນວ່າຄົນບໍ່ດີກໍ່ດີຫຼາຍ.”
• Skybox Security Research Lab Threat Intelligence Lead Sivan Nir: “ຂ່າວລັບໄພຂົ່ມຂູ່ຂອງພວກເຮົາສະແດງໃຫ້ເຫັນວ່າຊ່ອງໂຫວ່ໃຫມ່ໃນ OT ເພີ່ມຂຶ້ນ 46% ທຽບກັບເຄິ່ງທໍາອິດຂອງປີ 2020. ເຖິງວ່າຈະມີຄວາມສ່ຽງເພີ່ມຂຶ້ນແລະການໂຈມຕີທີ່ຜ່ານມາ, ທີມງານຄວາມປອດໄພຈໍານວນຫຼາຍບໍ່ໄດ້ເຮັດໃຫ້ຄວາມປອດໄພ OT ເປັນ. ບູລິມະສິດຂອງບໍລິສັດ. ເປັນຫຍັງ? ຫນຶ່ງໃນການຄົ້ນພົບທີ່ຫນ້າປະຫລາດໃຈແມ່ນວ່າພະນັກງານຮັກສາຄວາມປອດໄພບາງຄົນປະຕິເສດວ່າພວກເຂົາມີຄວາມສ່ຽງແຕ່ຍອມຮັບວ່າຖືກລະເມີດ. ຄວາມເຊື່ອທີ່ວ່າໂຄງສ້າງພື້ນຖານຂອງພວກເຂົາມີຄວາມປອດໄພ - ເຖິງວ່າຈະມີຫຼັກຖານທາງກົງກັນຂ້າມ - ໄດ້ເຮັດໃຫ້ມາດຕະການຄວາມປອດໄພຂອງ OT ບໍ່ພຽງພໍ."
ເພື່ອຮຽນຮູ້ເພີ່ມເຕີມ, ດາວໂຫລດການສຶກສາຄົ້ນຄ້ວາຢ່າງເຕັມທີ່.
Methodology
ການສຶກສາຄົ້ນຄ້ວາລວມມີການຕອບໂຕ້ຈາກຜູ້ຕັດສິນໃຈດ້ານຄວາມປອດໄພ OT 179 ຄົນໃນສະຫະລັດ, ອັງກິດ, ເຢຍລະມັນ, ແລະອົດສະຕາລີ. ສ່ວນໃຫຍ່ຂອງຜູ້ຕອບ (152) ແມ່ນມາຈາກບໍລິສັດທີ່ມີລາຍຮັບ $1B ຫຼືຫຼາຍກວ່ານັ້ນຢູ່ໃນອຸດສາຫະກໍາການຜະລິດ, ພະລັງງານ, ແລະຜົນປະໂຫຍດ.