专注于 DroxiDat / SystemBC

评估全球公用事业部门的运营就绪性 这是PonemonInstitute与西门子之间的第三次合作，旨在研究全球能源行业如何应对针对关键基础设施的日益增长的网络威胁。 波尼蒙研究所 西门子工 业C Y B E R Poemo Istitte对隐私，数据保护和信息安全政策进行独立研究。我们的目标是使私营和公共部门的组织能够更清楚地了解将影响个人和组织的个人和机密信息的收集，管理和保护的实践，观念和潜在威胁的趋势。Poemo Istitte的研究为组织提供了有关如何改进其数据保护计划并提高其作为受信任企业的品牌和声誉的信息。 鉴于网络入侵的可能性接近100％，高管和安全专业人员的问题不是是否采取行动，而是如何采取行动？整体网络安全不仅强调防止攻击的必要性，而且还强调如何应对的游戏计划。 在西门子，我们带领客户踏上网络安全之旅，为他们的工业企业带来成熟。这意味着从基于风险的战略开始，该战略涉及基本面，转变组织对环境的响应，最重要的是，建立其监控和应对威胁的能力。这些威胁的范围从现场的连接资产到运行关键基础设施的控制中心，再到构成新能源价值链的企业网络。 除了我们的研究外，Ponemon Institute还为有兴趣建立或增强其隐私，数据保护和安全实践的私营和公共部门组织提供战略咨询。为了确保实现他们的目标，组织与我们合作评估他们的实践并举办研讨会和培训计划。 这种敏捷性对于有效应对日益增长的网络威胁至关重要。那些积极行动以建立检测漏洞和应对攻击的能力的组织，将最有能力应对数字经济的挑战和机遇。对于西门子来说，安全的工业世界是我们对利用数字化和智能基础设施的能源行业愿景的重要组成部分。 Ponemon Institute是负责任信息管理（RIM）委员会的上级组织。RIM委员会的名称来自负责任信息管理的实践，这是一种基于道德的框架和长期战略，用于管理个人和敏感的员工，客户和业务信息。 在过去的十年中，西门子已投资超过100亿美元，使数字化成为我们自身业务转型的核心部分。现在，我们正在向客户提供工业网络能力及其互补的外部产品。 有关更多信息，请访问：https: / / new. siemens. com / global / en / products /energy / services / digital - services / cybersecurity. html F O R W A R D 新的工业革命正在改变公用事业的经营方式。太阳能和风能等可再生能源迅速取代传统发电，再加上数字绩效管理，正日益成为竞争优势的来源。 认识到数字化既带来了明显的好处，也有可能带来不成比例的风险，西门子和Poemo Istitte回到了我们的网络安全合作中，编写了一份评估公用事业行业网络安全状况的新报告。我们试图评估行业网络安全实践的成熟度，以及该领域运营商观察到的威胁类型和程度。在这样做的过程中，我们希望组织更好地做好准备，以对网络安全工作进行基准测试，并加强防御。 我们发现，对运营技术（OT）的威胁程度确实有所增加。攻击现在针对的是越来越严重的能源基础设施。成功的攻击可能导致包括安全系统在内的关键产品系统关闭。同时，许多组织报告了有效调整OT和信息技术（IT）网络防御的痛点。 在整个能源行业中，许多组织都面临着艰巨的挑战，即在利用数字化的同时保持领先于攻击者。我们西门子和Ponemon Institute相信，通过建立意识，覆盖常见的盲点并分享最佳实践，我们可以增强行业的抵御能力。 赌注很高，但我们可以共同兑现数字化所提供的承诺。我们可以共同确保新技术带来效率，威胁检测和可靠性，即使在攻击增加的情况下。 Leo Simonovich全球负责人工业网络和数字安全，西门子燃气和电力 执 行 摘 要 西门子和Poemo Istitte很高兴地发布了一项调查结果，“公用事业是否正在应对工业网络威胁？评估全球公用事业部门的运营准备情况”。该研究调查了一系列负责保护或监督运营技术（OT）资产的公用事业专业人员。进行研究是为了更清楚地了解公用事业公司的现有能力，准备水平，漏洞以及对其OT网络风险的战略理解。 为了使我们的主要发现和结论清晰可行，我们将它们分为三个方面：风险、准备和解决方案。 调查结果显示，风险正在恶化，有可能造成严重的金融、环境和基础设施破坏。在整个行业范围内，准备情况参差不齐，并且存在共同的盲点。特别是，本报告强调了OT的独特网络安全要求，以及区分OT安全性和信息技术（IT）安全性的重要性。对于整个行业的许多组织来说，这仍然是一个重大挑战。 行业领导者可以而且应该检查其组织的准备情况，并实施解决方案，以跟上新的互联技术和在棕地环境中运行的现有资产的激增。 本报告提供了三个部分，以帮助领导者评估和改善他们应对不断增长的网络威胁的准备情况： 就绪：考察组织当前如何应对威胁环境，与预期攻击相比的能力自我评估，以及已知的准备差距。 解决方案：提供框架，用于思考您的组织如何增强其能力并保持领先于威胁。 我们在本报告中的目标是提高对运营环境不断扩大的风险的认识，提供见解以帮助领导者发现其组织内的盲点，并提高整个行业的整体成熟度。 I N T R O D U C T I O N 在过去的五年中，数字化改变了公用事业行业。联网发电、输电、配电和最终用途资产的快速采用使公用事业公司能够从集中式发电技术转向分布式能源。将电网资产与软件相结合，为公用事业公司通过分布式减少碳排放提供了福音。发电，如风能和太阳能，但也通过提高现有棕地资产的效率。 随着公用事业行业继续从模拟到数字，从集中式发电到天然气和可再生能源的分布式系统的过渡，现有的OT技术越来越多地配备了IT软件，以帮助运营商为其客户提供数字化的好处。 在董事会层面，公用事业高管越来越多地投资于边缘和云计算等互联技术，以帮助收集数据并做出更好的技术和市场决策。这些数据有助于高管延长资产寿命；提高可靠性和效率；并提高正常运行时间，最终提高资产收益率。 虽然通过操作环境部署数字和联网设备大大增加了组织对网格资产的控制和情报，但这些相同的技术为恶意攻击者提供了更广泛、更复杂的攻击面内的新目标。 The频率攻击的数量有所增加，受访者报告: 为了将其车队数字化，公用事业公司历史上将网络安全视为事后的想法。即使在设计新的OT资产时考虑到了安全性，它们也经常与缺乏系统安全控制的更广泛的关键基础设施相连。随着公用事业高管将分布式和数字连接的电网技术纳入其资产组合，他们抵御网络攻击的能力充其量是有限的。 在过去12个月内报告至少一次涉及隐私信息丢失或OT环境中断的攻击。 风险 在过去12个月内报告10次或更多此类攻击。 攻击的目标已转向OT。大多数受访者认为，网络威胁在OT比IT环境中的风险更大。过去的攻击主要针对数据窃取，当前和未来的攻击可能会劫持操作关键基础设施的控制系统和逻辑控制器，意图造成物理损坏和中断。今年，大多数接受调查的全球公用事业公司表示，网络威胁从其OT带来的业务风险比IT环境更大。公用事业公司关注OT环境的独特特征，包括对可用性、可靠性和安全性的关注。 未检测到OT上的网络攻击。 随着恶意行为者准确瞄准关键基础设施资产的能力提高，网络攻击对OT环境造成的风险在频率和效力上都在增加，从而对公用事业部门的运营商、管理人员和高管造成更大的后果。 整个行业： 受访者表示，复杂的攻击是最大的挑战。 The效力攻击也有所增加。当被问及是什么使OT安全管理具有挑战性时，最常见的反应是复杂攻击的兴起。由于许多公用事业管理对日常生活至关重要的基础设施，国家和其他恶意行为者对开发针对公用事业的网络武器感兴趣。个人和犯罪组织现在也可能得到民族国家或国家联盟的代理团体的支持，对破坏实物资产感兴趣，并可能使用最初由民族国家开发的有效网络战工具。 除了未来12个月对关键基础设施的攻击。 For example, the powerful WannaCry or NotPetya attacks, which affected 25% of allrespondents in the past two years, are public example of attacks that having expertisedeveloped by nation - state actors. Understand ransomware atts 财务信息，这些攻击系统地破坏了信息并关闭了操作。支付赎金通常无助于恢复操作。 随着公用事业公司将其运营转变为数字企业，网络攻击的表面已经扩大，并可能进一步扩展到OT。由此给组织的实物资产，财务责任和声誉带来的风险很高。担心风险的高管必须注意OT的网络安全。公用事业领导者 必须认识到，攻击者今天对公用事业设计的威胁越来越复杂-无论是在其破坏性能力还是在识别安全制度中的弱点的能力方面; 潜力后果并且攻击的级联效应已经扩大，如OT安全事件对业务运营的影响所示。 受访者对自己组织应对或应对网络攻击的准备情况进行了混合评估。只有42％的人将其网络准备度评为高，只有31％的人完全准备好应对或遏制违规行为。 42％的人认为他们的网络准备程度很高 31%的准备回 应 或 继 续 违 反 这些扩大的风险的影响是严重的。网络攻击可能会削弱依赖网络和实时信息的运营，受访者表示担心电力系统的级联效应可能会导致停电、损坏、伤害和环境灾难。随着公用事业行业的技术越来越多地连接到IT网络和依赖于其持续性能的商业模式，OT安全的风险也在增加。尤其如此，因为运营商必须保护距公司总部数十或数百英里的分布式发电资产。 总体而言，尽管在制定应对外部和内部威胁的制度方面有所改善，但该行业仍然容易受到攻击;公司被证明太慢，无法检测到新的威胁;并且没有准备好从对OT基础设施的成功攻击中恢复。 较小的组织报告说，他们对完成关键网络安全任务的能力更加关注，对理解攻击的运营影响以及根据这些警报采取行动的能力缺乏信心。比较对于大型组织，员工少于五千人的公用事业公司报告说，他们对识别和遏制威胁、监控基础设施以及确定哪些资源最需要保护的能力的信心一直较低。 解决OT问题的复杂性是由于各种因素的趋同— —从无法管理外部威胁环境到不成熟的内部合规结构和组织流程— —在内部应对日益增长的威胁。 许多组织报告使用以合规为中心的方法来管理网络安全风险。组织遵守法规或制定内部检查表，以使自己遵守指定的标准和实践。这种方法改善了整个行业的整体网络卫生。但是，受访者承认，实现对法规的遵守并不等同于实现强大的安全态势。仅依靠合规性方法的组织可能会对过去的事件做出响应，并且可能仍然面临新的攻击。 对于大型全球运营商来说，遵守合规制度的补丁工作是繁重且不平衡的。这些公司的从业者报告说，他们普遍转向基于风险的方法，这些方法在根据业务优先级进行衡量时都渴望达到最高的安全级别。即使组织制定了自己的标准，这些标准也被视为升级安全性，而不是消除风险。 超越合规， 组织报告使用风险管理方法来保护高价值资产，优先考虑投资，并在混乱的威胁环境中采取行动。这种方法旨在评估风险并解决高风险领域。 然而，受访者指出，整个公用事业行业仍然普遍存在重大盲点。不到三分之一的受访者认为他们的OT和IT安全方法是一致的，这表明公用事业公司存在相当大的能力差距，可以利用。这种脱节被公司内部存在的内部组织孤岛放大，特别是在与集中发电单元、分布式和微电网系统以及输电和配电部门合作的团队之间。无论选择何种治理或运营模式，所有权和适当的资源来解决工业网络安全问题对于确保企业安全至关重要。 新的安全挑战 数字化设备的过程— —在模拟设备中替换或添加数字控制— —有助于公用事业经理提高对车队资产运行状态的可见性。可见性还通过使运营商能够更好地了解连接资产的当前状态来增强网络安全能力。在最基本的层面上，这意味着知道在OT环境中什么是连接的，什么是不连接的，以及这些资产如何表现出潜在的异