在制造业中建立网络弹性文化

图片 ： 中途 ， 盖蒂图片社 Contents 执行摘要 3 1 在制造业中优先考虑网络弹性 4 1.11.21.3479为什么网络弹性对制造业至关重要制造业的主要网络风险网络攻击的全球影响 2迈向网络弹性制造业 ：10 发现挑战 2.110不同的文化和资源 2.211增强的连接性和旧式系统 2.312对停机时间和延长时间的操作敏感性生态系统依赖关系 2.412与业务优先级的战略协调 2.512广泛和复杂的监管格局 3指导原则15 3.1使网络弹性成为企业的当务之急163.2通过设计推动网络弹性223.3参与和管理生态系统28 34 贡献者 35 免责声明 这份文件由世界经济论坛发布，作为对某个项目、洞察领域或互动的贡献。文中所表达的研究发现、解释和结论是世界经济论坛促进并认可的一个协作过程的结果，但这些结果未必反映世界经济论坛的观点，也不一定代表其全体成员、合作伙伴或其他利益相关方的意见。 © 2024 世界经済论坛. 保留所有权利。本出版物的任何部分均不得以任何形式或通过任何手段复制或传输，包括复印和录音，或通过任何信息存储和检索系统。 执行摘要 制造业部门运作在一个复杂的生态系统中，该系统由多种类型的场所、广泛的供应链和相互关联的网络组成。这个生态系统依赖于众多的供应商、供应商和合作伙伴。 针对这些挑战，该倡议还制定了三项指导原则，以支持制造业和供应链领导者在整个组织内建立贯穿始终的网络韧性文化策略： 在过去十年中，制造业经历了快速的数字化转型，这一过程促进了增长、效率和盈利能力。这一趋势也使该行业暴露在广泛的网络威胁之下，使其成为网络攻击的主要目标——在过去三年中，制造业占所有网络事件的四分之一以上。 1. 将网络安全韧性列为业务优先事项：将网络安全韧性融入组织的DNA或基础结构中，从领导层到生产线。 2. 通过设计提高网络弹性 ： 将网络安全集成到人员、流程和资产中。 在世界经济论坛2023年年度会议（达沃斯会议）上，企业领袖强调了在生态系统层面解决制造业网络安全风险的必要性，从而启动了“制造业网络安全韧性”倡议。该倡议由论坛的网络安全中心和先进制造与供应链中心领导，已经汇集了来自制造业生态系统超过30名代表。其目标是制定可操作的指导方针，以培养网络安全韧性文化。 3. 与生态系统互动并进行管理：建立可信赖的合作关系，管理第三方风险，并通过识别关键利益相关者来提高安全意识。 这三大原则相互关联且相互支持，并适用于任何制造行业和地点。每个原则都附有额外指导、基于关键考虑因素进行上下文阐述，并配以实际的制造案例，以促进其采纳和有效实施。 通过广泛的调研和与行业领袖以及标准制定和监管机构的咨询，制造领域网络韧性倡议此前强调了在制造业生态系统中培养网络韧性文化面临的五大主要挑战。 这份报告中提出的方案提供了一个实用的框架，帮助企业应对战略、组织、运营、技术和监管方面的挑战，并促进一种坚实的文化，能够有效抵御当前及未来的威胁。 1在制造业中优先考虑网络弹性 制造业是遭受网络攻击最多的行业之一，中断对全球经济造成严重影响。 1.1 为什么网络弹性对制造业至关重要 制造业是一个全球性和多样性的产业，对于社会和全球经济至关重要。它涵盖了消费品、电子、汽车、能源、医疗保健、食品与饮料、重工业以及石油和天然气等多个行业。 增加网络安全风险。此外，低收入组织和高收入组织在投资上的差异进一步加剧了这些挑战。2数据交换量的提升，包括与通常技术含量较低的小型和中型企业（SMEs）之间的整个供应链的数据交换，增加了这种风险。 在过去十年中，该领域的数字化转型加速推进，持续在创新及新兴技术如数字孪生、机器人技术、生成式人工智能（GenAI）、云计算和工业互联网（IIoT）方面进行投资。1尽管这一渐进式的数字化转型促进了增长、效率和盈利能力，同时也将工业和运营技术（OT）连接到数字世界，从而使得该领域面临网络安全威胁。 连接性和数据透明度在制造生态系统中的激增扩大了该行业的暴露范围，使其连续三年成为最受网络攻击 targeting 的行业，占比达 25.7%。3勒索软件占这些攻击的 71% 。4鉴于现代供应链的复杂性，制造过程中的中断可能会产生系统性的连锁反应，超出任何单一实体的控制范围。 制造业数字化生态系统与各种企业系统、互联网、云服务提供商和服务提供商之间的连接增强，在工业OT环境中带来了重大挑战。这一从传统物理隔离系统向高度互联环境的转变 制造和供应链的固有复杂性要求采取整体方法来减轻网络安全风险。将网络弹性文化融入组织的DNA是至关重要的。 1.2 制造业的主要网络风险 网络攻击不仅可能扰乱业务和供应链，抵消数字化带来的收益，还可能导致财务损失、生产效率下降、声誉损害，甚至物理伤害。事实上，2022年针对OT（操作技术）的近57%的网络攻击具有现实世界中的物理后果，包括生产中断、设备受损引发火灾以及事故威胁车间工人的人身安全。5 与其他行业相比的网络安全成熟度水平。此外，这些行业往往在网络安全韧性方面投入不足，主要原因在于重新设计制造生产线和升级设备所涉及的高昂成本。10 在制造组织面临的主要风险中，社会工程和钓鱼攻击被34%的调查受访者认为是总体上排名第二的重要网络安全威胁。紧随其后，供应链攻击位居第三。内部威胁和拒绝服务攻击在调查受访者的总体网络安全威胁等级中排名较低。 网络攻击的数量逐年激增 ， 基于勒索的攻击仍然是突出的类型。6 2023 年 ， 勒索软件支付达到了前所未有的 11 亿美元。7在2023年 alone期间，针对工业基础设施的勒索软件攻击数量翻了一番，对供应链和制造业运营构成了重大威胁。 然而，来自健康和医疗行业的受访者将内部威胁列为他们第二大最关心的网络安全威胁，仅次于勒索软件，供应链攻击位居首位。类似地，食品和饮料行业的参与者也将内部威胁列为首要关注点，其次是社会工程和勒索软件。 ransomware 始终是制造业最关心的问题，有 40% 的《制造行业网络安全韧性调查》受访者表示担忧。8将其列为首位。根据最近的研究，2023年针对工业组织的勒索软件攻击增加了近50%，其中71%的攻击目标是制造商。9 为了从数字化转型中获益，制造业需准备好应对不断增长的网络安全威胁，并具备网络安全韧性。 制造业组织因其对停机时间的低容忍度和相对较低的安全防护水平，成为勒索软件攻击的诱人的目标。 1.3 网络攻击的全球影响 对一家大型半导体行业供应商的攻击导致下个季度估计成本为 2.5 亿美元。16同样地，2022年，一家 promin 醒目 的汽车制造商因供应商遭受网络攻击而不得不暂停14家工厂一天的生产，导致大约损失13,000辆汽车的产量。17 在全球范围内分布有生产设施，每个相互连接的实体既是生产者也是消费者，形成了一个易受网络威胁影响的复杂网络。因此，一家公司的网络攻击可能会引发整个生态系统中的连锁反应，导致昂贵的后果。13 resulting 风险是系统性的、传染性的，往往超出了任何单一实体的理解或控制范围。根据《2024年全球网络安全展望》，54% 的组织缺乏对其供应链漏洞足够的可见性。此外，41% 遭受网络安全攻击实质性影响的组织报告称，漏洞源自第三方。14 《制造行业网络安全韧性调查》（请参见方法论）指出，业务中断是网络事件的主要影响因素，60%的受访者强调了这一点的重要性。这些发现与《2024年全球网络安全展望》相一致，在该展望中，45%的领导者表示，在发生网络事件的情况下，运营中断是他们最大的担忧。安全问题位居第二，有35%的受访者表示关注，其次是潜在的客户资产受损风险。这些见解突显了网络安全攻击对制造业的深远影响，并强调了加强网络安全措施以保障其完整性的紧迫性。 近期的网络事件进一步凸显了此类攻击带来的巨大财务和运营影响。例如，2024年2月，一家德国电池制造商遭受了重大网络攻击，导致五个工厂的生产中断超过两周。15 2023 年 ， 勒索软件 网络犯罪的成本每年增长 125%平均而言 ， 成功的网络攻击的影响达到$473 million工 业环境中的每一次攻击。如果这种增长继续下去 ， 预计的全球影响可能会达到到 2025 年 10.5 万亿美元 迈向网络弹性制造业 ： 揭示挑战 组织挑战被列为抑制网络弹性文化采用的首要维度。 制造业部门运作在一个由多样化站点、广泛的供应链和相互连接的网络组成的复杂生态系统中，这些网络依赖于众多供应商、经销商和合作伙伴。尽管如此，该部门仍能从中获益， 数字化和新兴技术带来的好处的同时，它也在这五个维度上面临挑战，每个维度都带来了独特的网络安全韧性障碍。 2.1 不同的文化和资源 – 碎片化的网络安全治理。许多组织缺乏全面的网络安全治理框架，导致制造现场层面的决策分散化，从而增加了风险。有效的网络安全治理需要在所有运营站点提高意识、进行培训和激励，确保他们将网络安全融入日常操作流程中，类似于已经存在的员工安全、产品质量和设备维护与集成的实践。 企业与工业环境之间的不同组织文化是网络安全努力面临的最显著障碍，根据制造行业的网络弹性调查（请参见方法论）。 – 明确的优先事项。IT团队和OT团队传统上在技术栈和数据流的两端工作，他们倾向于以不同的方式处理、优先考虑和管理网络安全。缺乏正式的IT与OT融合策略的合作阻碍了工业环境的安全数字化转型。 – 人才短缺。全球网络安全人才短缺接近400万，在制造业领域这一短缺现象更为严重，短缺比例超过67%。18拥有both cybersecurity和manufacturing operations两方面专长的人才不易寻找且保留，这使得提升网络安全韧性变得更加困难。 – 职责分配。随着企业面临更大的降低成本和提高盈利能力的压力，许多组织倾向于让员工身兼多职并承担多种任务，忽视了职责分离的重要性及其相关风险。例如，数据库管理员可能同时担任系统管理员的角色，这使他们能够拥有删除日志和掩盖欺诈行为的全面权限。 2.2 增强的连接性和遗留系统 在前沿技术的发展中引入了复杂性和新的风险，要求对网络安全策略进行全面而综合的更新。例如，高度互联的工业互联网（IIoT）设备的普及和人工智能（AI）的广泛应用旨在提高服务交付和服务效率。然而，这些技术也创造了新的攻击入口并扩大了恶意行为者的攻击面，需要采取主动措施调整网络教育、风险评估和验证协议。 技术挑战被认定为网络安全韧性面临的第二大障碍。传统遗留系统与工业控制系统中不断增多的连接资产的结合，导致形成了一个难以抵御网络犯罪分子使用的高度复杂战术和能力的不充分准备环境。 - 传统系统。由于过时的设计和有限的访问管理，传统的操作技术（OT）和工业控制系统引入了重大安全漏洞。尽管这些系统已非常老旧，但它们仍然是制造业运营的关键组成部分，继续发挥其原始设计的功能。然而，挑战在于这些系统难以适应现代网络安全标准以及不断变化的威胁环境。这一问题进一步加剧的原因是由于更换这些系统的高成本以及它们的高度互连性，导致人们不愿进行更换。因此，财务资源往往被重新分配到更紧迫的操作需求上，从而使传统系统变得脆弱。据统计，近71%的传统系统缺乏适当的支持和严格的访问管理程序，与传统基础设施相关的风险正在迅速增加，并且每年翻一番。19 - 软件依赖。大多数制造过程、运营和关键应用都基于软件应用程序。实际上，软件在优化流程、提高效率以及确保采购、开票和供应链自动化等领域的产品质量方面发挥着至关重要的作用。这些过程至关重要，其高度互联性和互操作性使得制造商及其供应商确保良好的安全态势变得复杂。20虽然管理大型软件环境及其连接很麻烦 ， 但平均 77% - 90%21任何给定的现代软件中使用开源软件会使其安全性更难以控制和验证。最近的XZ后门案例突显了这一问题，因为该后门是在2021年植入的，直到2024年才被发现。22 – 出现的技术是一把双刃剑，既带来了机遇也带来了挑战，对网络安