2021年80%的关键基础设施遭受勒索软件攻击

报告对全球1100名关键基础设施领域工作的信息技术(IT)和运营技术(OT)专业人士进行了独立调查，探讨了他们如何应对2021年的重大挑战、网络弹性水平以及安全优先级事项的重新排序。

在遭受勒索软件攻击的80%的受访者中，有47%表示其工业控制系统(ICS)环境受到了影响，超过60%的人支付了赎金，其中一半以上的赎金为50万美元或更多。此外，大多数受访者估计其运营停机每小时的收入损失等于或大于支出。

即使在支付赎金的人中，仍有28%的人在支付后一周或更长的时间里遭受重大影响。这些调查结果表明，尽管支付赎金有众所周知的缺点，但对于大多数受害组织来说，替代方案（由于长时间的运营停机造成的收入损失）成本太高，难以承受。

该报告还发现，不断加速的数字化转型和熟练网络安全人员的短缺，是导致对关键基础设施的多次高调攻击的主要原因。

作为回应，许多C级高管已大量参与其组织网络安全实践的决策和监督。事实上，超过60%的企业将OT和IT治理权限交给了CISO。此外，62%的人支持政府监管机构强制企业和机构报告IT和OT/ICS系统的网络安全事件。

报告的重要发现如下：

• 数字化转型、远程工作和安全人才短缺持续存在：自新冠疫情大流行以来，数字化转型继续加速，73%的组织计划继续以某种身份进行远程/混合工作。近90%的受访者希望招聘更多的OT安全人员，但54%的受访者表示很难找到合格的人才。

• 流程和技术方面的差距仍然存在：尽管超过65%的人认为其组织的漏洞管理策略为中度至高度主动，但勒索软件攻击仍然非常成功。这可能是因为近30%的人共享密码，57%的人使用用户名和密码，只有44%的人使用VPN——所有这些领域的改进都可以增强OT环境的弹性。

• 旨在建立弹性的投资和安全优先事项：超过80%的受访者表示，自2020年以来，他们的IT和OT/ICS安全预算都有所增加。这一数字在IT硬件、石油和天然气以及电能等行业中接近90%。石油与天然气和IT硬件行业的网络安全支出处于领先地位，购买和实施新安全技术解决方案是这些行业网络安全投资的重中之重，安全意识培训位居第二。