为什么制造业需要更强大的网络防御?

admin 2023年5月8日00:06:52评论29 views字数 2250阅读7分30秒阅读模式
为什么制造业需要更强大的网络防御?
在媒体采访中,世界经济论坛网络安全中心负责人Filipe Beato分享了他在制造业数字化与网络攻击增加之间相关性方面的专业知识。

他深入研究了网络攻击对制造公司、其供应链和全球经济的深远影响。此外,Beato还讨论了制造业面临的网络威胁的独特性质以及实施有效网络安全措施的挑战。


01
制造业快速数字化,致使网络攻击增多

制造业正在通过连接其工厂、生产线和产品,随着先进技术的扩展而进行数字化转型。

虽然制造业的数字化提供了转型机会以及更高的效率和可持续性,但它也连接了制造环境和基础设施,这些环境和基础设施历来是孤立的孤岛,外部连接有限。这扩大了攻击面,使制造商更容易受到网络攻击

在 2021 年和 2022 年,制造业是最受网络攻击欢迎的行业。仅在 2022 年期间,对工业基础设施的勒索软件攻击就翻了一番,导致系统性影响和生产中断。

02
成功的网络攻击会对制造公司、其供应链和全球经济产生什么影响?

制造业涉及社会必不可少的各种行业。它为全球循环经济做出了贡献,例如消费品、电子、汽车、能源、制药、食品和饮料、重工业以及石油和天然气。在制造生态系统中,生产设施遍布全球,企业既是生产者又是消费者。

制造业的网络攻击可能导致不同层面的重大系统性影响,例如运营停机、物理和人为影响,甚至环境破坏。虽然这些可以被视为公司的直接影响,但考虑到大多数组织既是消费者又是供应商的制造生态系统的复杂性,网络攻击可能会对更广泛产品的大量供应产生巨大的级联效应。

丰田汽车最近在 2022 年 2 月就可以看到这种情况,在一家关键供应链参与者遭受网络攻击后,他们在日本 14 家工厂的 2023 条生产线中断了至少一天。一年后的 2023 年 2 月,一家大型半导体行业供应商应用材料公司宣布,其中一家供应商遭受的网络破坏将在下一季度造成 2.5 亿美元的影响。

2023 年 3 月,知名企业西部数据遭受了破坏,超过 10TB 的数据被盗,黑客要求 8 位数的赎金。

03
制造业的网络威胁与其他行业的网络威胁有何不同,制造商在实施网络安全措施时面临哪些独特的挑战?

论坛的网络安全中心一直在与石油和天然气、电力和航空等多个部门合作,以帮助加强其网络弹性。

然而,与大多数相当同质的行业不同,制造业相当多样化,因此在该领域嵌入网络弹性的挑战和方法相当独特。由于一系列限制,制造业正在努力加强网络安全。生产工厂仍然使用传统和老化的技术运行,这些技术具有较低的计算能力,并且不定期更新。其他限制因素是对停机时间的低容忍度和延长的生产周期,这限制了定期的网络安全补丁或更新。制造业的计划外停机成本最高(高达 250,000 美元/小时)。

此外,由于停机时间容限低,制造公司是勒索软件的有利可图的目标。最后,另一个问题是不同的网络安全文化,由于不同的优先级和生产高层管理人员对确保网络安全预算,并将网络安全纳入质量和安全培训的认识不足,IT 和 OT 安全团队之间几乎没有一致性。

04
当前的立法工作,如欧盟的《网络弹性法案》以及NIS 2和CER指令,如何应对制造业的网络安全挑战?

全球正在努力推进几项立法,例如欧盟的 NIS 2.0 和《网络弹性法案》,美国总统拜登的几项行政命令等,以推动提高不同基础设施的网络弹性。这些被认为可以有效地推动行业在网络弹性方面的行动并降低组织的网络风险。即使是零散的监管发展也将推动全球行动。

例如,正在讨论的《网络弹性法案》,力图在硬件和软件产品的整个生命周期中引入强制性网络安全要求。《网络弹性法案》的通过将使制造商有义务维护在欧洲市场销售的产品的网络安全要求,以协调规则并降低客户的网络安全风险。

今年年初,即 2023 年 2 月,两项新的欧盟指令也生效:NIS 2008,它取代了之前关于网络和信息系统安全的指令,以及关键实体弹性 (CER) 指令,该指令废除了 2021 年关于欧洲关键基础设施的指令。应欧盟委员会 (EC) 能源局的要求,世界经济论坛的“网络弹性系统:电力社区”考虑到供应链攻击和其他系统性风险对能源行业网络安全的影响,为改进新的网络安全指令制定了 15 个经验教训和建议。

新立法将某些制造业(如医疗器械和药品制造商)归类为“重要”或“基本实体”,要求他们管理安全风险,防止或尽量减少事件对其服务接受者的影响。

根据 NIS 2.0 指令,欧盟还将与美国和其他国家一起强制要求更严格的事件报告要求。该立法将要求所有组织在意识到事件后 24 小时内报告网络事件和攻击。

NIS 2.0 合规性还要求制造公司实施安全措施,持续监控和评估其安全状况,并识别其网络基础设施中的潜在漏洞。

05
不同部门和国家之间的合作如何为制造商建立统一的网络安全黄金标准

制造业必须通过增强网络弹性来应对日益增长的威胁形势。制造业的主要困难之一是采用分散的方法管理网络相关问题。

世界经济论坛正在召集来自制造业生态系统的利益相关者,包括公共部门和学术界,通过提高决策者的意识和动员全球承诺,加强整个工业制造生态系统的网络弹性。这项新举措旨在定义对网络弹性的共同理解,作为整个制造生态系统集体责任的指导原则和实践。



来源:CyberRisk赛伯瑞斯克


| 往期推荐:

拟态防御 | 基于内生安全的云服务平台安全度量指标体系研究

关于征求《信息安全技术 终端计算机通用安全技术规范》(征求意见稿)等3项国家标准意见的通知

李玉峰、刘奇、魏亮:车联网数据安全的若干思考

积极应对网络安全风险挑战对国家安全的影响

中方重磅披露!美国中情局利用网络攻击他国,在超过50国策划“颜色革命”

为什么制造业需要更强大的网络防御?

原文始发于微信公众号(内生安全联盟):为什么制造业需要更强大的网络防御?

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年5月8日00:06:52
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   为什么制造业需要更强大的网络防御?https://cn-sec.com/archives/1714979.html

发表评论

匿名网友 填写信息