安永是指 Ernst & Young Global Limited 的全球组织,加盟该全球组织的各成员机构均为独立的法律实体,各成员机构可单独简称为“安永”。Ernst & Young Global Limited 是注册于英国的一家保证(责任)有限公司,不对外提供任何服务。
最近搜索
数字化转型的好处是显著的。但必须对新出现的网络安全风险进行管理,以建立有效的韧性。
概要
- 对数字化和自动化的投资不断增加,扩大了潜在攻击者的数字化攻击面。
- 对关键国家能源和资源资产的审查日益严格,这给水务公司带来了重新评估网络安全战略的压力。
- 水务公司必须采用设计安全的方法,将网络安全韧性融入转型战略。
在全球许多国家,水务公司正在大力投资新技术,以提高关键流程的效率和可靠性,包括水净化、散装输送、海水淡化和储存。提高数字化和互联互通水平带来了好处,包括提升灵活性以及数据驱动决策,但同时也带来了新的风险。工业物联网(IIoT)的迅速采用,加上IT和运营技术(OT)系统的融合,扩大了攻击面,也增加了攻击风险。遗留系统,特别容易受到破坏,但许多水务公司仍在使用。鉴于现代水务公司IIoT系统部署的深度和广度,新的IIoT系统存在多种难以有效管理的漏洞。与此同时,网络攻击的频率和复杂程度正在增加,新冠疫情的影响放大了风险。
随着水务公司数字化转型的深入以及各国关键国家资产展现强劲韧性的压力越来越大,该行业迫切需要加强其网络安全战略。六个关键的重点领域可以为水务公司的下一步工作提供有力指导。
1. 您是否制定了稳健的网络安全战略,明确的优先事项并获资源?
有效的网络安全战略是全面的,考虑广泛的内部和外部因素,但同时,它必须专注于优先事项和资源,以实现最大价值。要取得适当的平衡,该行业需要采取一系列行动。
了解监管要求
水务公司应首先从法律、监管和合规的角度确定其必须采取的行动。水务公司应了解其运营地的适用法律并遵守所有要求。相关立法的例子包括:
- 美国2021财年国防授权法案(NDAA) — 美国参议院和众议院发布了2021财年国防授权法案报告,其中包括网络安全的关键条款,以改善国家网络安全并保护美国关键基础设施免受网络攻击。
- 欧盟NIS 2指令 — 欧盟委员会提出新的网络安全战略,以加强欧盟的网络韧性。拟议的NIS 2指令将全面涵盖被认为对欧洲市场至关重要的行业和服务。除了现行制度涵盖的行业(包括水务)外,还将纳入新的行业(包括废水管理)。
识别关键资产
水务行业大多没有完全了解其OT和IIoT资产,这可能导致未知漏洞增加,并持续承受超出风险偏好阈值的风险。尽管最初具有挑战性,但保护那些支撑供水基础设施的关键物理过程 — 包括输水、净化和配水 — 应该是网络安全战略的重要部分。水务公司应识别这些过程中最大的漏洞及其被利用的可能性(以及被谁利用)和利用的影响,为形成风险驱动的安全计划提供支撑。
评估主要风险和威胁
如果没有了解网络安全威胁是什么,水务公司就无法应对网络安全威胁。建立威胁概况至关重要,需要考虑关键资产、可能以这些资产为目标的威胁行为者及其可能这样做的威胁情境。由于威胁行为者大不相同 — 从民族国家到心怀不满的前雇员和黑客 — 水务行业应该进行全面的威胁和风险评估,以帮助识别最有可能构成威胁的人。
填补控制空白
技术的快速发展改变了重要的国家能源和资源资产,包括水务行业的资产,这有时会让监管机构难以跟上变化的速度。例如,虽然智能水表正在水务行业中快速采用,但一些国家目前还没有针对工业控制系统(ICS)的安全标准。因此,水务公司应考虑当地和全球行业基准、标准和最佳实践,填补控制空白。例如:
- 普遍采用的标准ISA/IEC62443,可帮助组织降低ICS遭受网络安全攻击的风险
- 美国国家标准与技术研究院改进关键基础设施网络安全框架及其控制系统安全指南,NIST特刊800-82
- 法规 (欧盟)2019/881(网络安全法),为ICT产品、服务和流程建立了欧盟网络安全认证框架
确保您有执行力
了解需要关注哪些风险、监管驱动因素和关键资产仅仅是个开始。水务公司必须对其执行网络安全战略和路线图的能力持实事求是的态度。预算是否充足?公司是否拥有适当的技能?是否存在治理机制,使企业领导者能够做出决策并支持网络安全战略?
对于该行业的许多公司来说,获得这些资源并建立治理结构为确保任何网络安全战略提供真正的韧性至关重要。以最简单的形式,运营模型明确了关键工作在整个企业中的位置以及完成的方式。它是网络安全战略与实施该战略的详细企业设计之间的重要纽带。
为确保任何网络安全战略和路线图的实现,水务公司应制定目标运营模型。这有助于传递治理、资源、流程和企业结构之间的相互作用,助力网络安全路线图的实现以及提升服务企业内外消费者的能力。
有效的网络安全战略是全面的,考虑广泛的内部和外部因素,但同时,它必须专注于优先事项和资源,以实现最大价值。
2. 您是否有能力管理可能影响关键运营的安全事件?
当今的网络安全生态系统正在增加对水务公司攻击的复杂性和有效性 — 其中一些正在努力适应快速变化的威胁环境。例如,2021年2月,佛罗里达州的一家水务公司遭遇重大网络事件。网络攻击者能够进入水处理设施系统,试图向供水系统加入具危险性的添加剂。如果成功,这可能会影响近15,000名居民的生活。
这起事件突显出,行业不能再抱着侥幸的心态处理网络安全问题。相反,公用事业公司必须通过制定事件响应(IR)计划来应对不断变化的环境,其中包括细粒度的威胁驱动手册,以更好地分析、检测和遏制威胁;必要时让第三方参与;并在对运营连续性影响有限的情况下从网络安全攻击中恢复。
3. 您准备好采用融合方法,交付IT和OT网络安全服务了吗?
IT、IIoT和OT领域的融合度越来越高,安全责任越来越模糊,在水务公司等实物资产密集型企业中尤为如此。不断提高的连通性和机器对机器交互的商业价值创造了对可信、有韧性和可靠环境的日益增长的需求,以支持机器人、自动化和数字化上游运营服务,如智能电表。
IT/OT融合增强网络安全韧性的方法并不是一个新概念,但由于多种原因,包括普遍存在的技术技能短缺和企业文化阻力等问题,水务公司仍在为此苦苦挣扎。
融合的一个共同起点可能是建立一个IT和OT安全运营中心。这将提供一个共同的操作平台,有助于持续监控和分析企业的IT和OT安全状况,并促成一套人员、流程和技术实践,帮助检测和响应网络安全事件。
4. 您能适应不断变化的监管吗?
随着技术转型且继续影响全球范围内的水务公司,管理该行业企业的网络安全法规也将继续顺应不断变化的环境。
除了上述强调的美国和欧盟立法外,2020年12月,澳大利亚政府发布了《2020年安全立法修正案(pdf)(关键基础设施)法案》的征求意见稿(《法案》)。《法案》旨在修订2018年关键基础设施安全法案,实施一个增强的框架,提高澳大利亚关键基础设施的安全性和韧性。在目前的状态下,《法案》涵盖水务公司的多项义务,例如:(i)制定并遵守关键基础设施风险管理计划;(ii)必须向相关英联邦机构报告某些类型的网络安全事件;(iii)对于国家重要资产,与澳大利亚信号局(ASD)合作开展网络安全演习。
水务公司面临的挑战将是需要以低成本、高效率找到符合所有这些法规的机制。2021年安永全球信息安全调查(GISS)显示 ,55%的电力和公用事业受访者同意,在未来几年内,监管将变得更加分散且管理起来更加耗时。
5. 自新冠疫情暴发以来,您如何应对增加的第三方风险和远程工作?
长期以来,水务公司一直与多个第三方合作,将运营工作外包给外部承包商,有时会搞不清楚哪个供应商负责某个特定的基础设施。随着该行业形成合作,建立知识和技能库,以更好地为客户服务并加速创新,对第三方的使用正在增加。这带来了巨大的好处,但也放大了风险,特别是由于疫情,远程工作变得更加普遍,这种情况更是如此。
对于包括水务公司在内的许多组织而言,第三方风险管理(TPRM)流程并没有跟上威胁级别提升的速度。安永最近的一项调查(pdf)发现,虽然64%的公司表示最近的数据泄露或损失是由第三方造成的,但只有34%的公司重新评估了第三方的固有风险状况。40%的公司仍在使用手动流程来验证第三方的风险状况。
该行业保持竞争力所需的创新依赖于与多元化供应商的合作,因此解决方案并不是避免与第三方合作。相反,企业应增强第三方风险管理能力,并要求供应商对其控制的稳健性提供独立鉴证,包括通过服务企业控制报告。
6. 您是否有设计安全的方法,采用颠覆性技术?
包括物联网、智能水表、分析和人工智能在内的先进技术使该行业能够在改善效率和节省成本的同时提高绩效,但面对突出的网络安全威胁也暴露出了巨大的脆弱性。
尽管该行业的一些公司迅速采用了颠覆性技术,但许多公司却忽视了随之而来的不利的网络安全后果。这使它们面临新的风险,包括导致数据泄露的黑客攻击、通过窃听侵犯隐私,甚至是技术故障导致水质风险或完全关闭运营的风险。
随着该行业开始采用技术创新,安全应事前防范,而不是事后补救。安全第一的方法,将网络安全韧性融入到所有新系统实施的设计和架构中,然后在投入使用之前对其进行彻底测试,帮助公司降低颠覆性技术可能给运营环境带来的风险。
立足当下,充分利用未来的机会
鉴于全球许多监管机构可能会对网络安全提出更严格的要求,因此该行业必须立即采取行动,确保做好抵御攻击的准备,并展示出韧性。强有力的网络安全战略应设定优先级,考虑到所有关键IT和OT资产,分配足够的资源来管理它们,并建立有效事件响应的敏捷性。它应能适应不断变化的监管,并确保第三方风险管理在第三方的使用增加和进行远程工作时能够应对。
结语
随着数据和技术不断重塑该行业,水务公司必须将网络安全置于所有数字化转型项目的首要位置。更强的韧性不仅有助于保护重要的水资源资产,还可以为公司提供充分利用新技术和推动创新所需的能力和信心。