CPS安全的政策和政治方面
在本文的最后一部分,我们总结了一些行业和政府主导的努力,试图提高CPS的安全性,以及如何利用CPS安全的新领域进行攻击和战争。
4.1激励与监管
CPS领域的大多数行业很少看到攻击破坏其物理过程,部分原因是CPS攻击很难被犯罪分子货币化。除了罕见之外,对CPS的攻击也没有公开报告,这种精算数据的缺乏导致低质量的风险估计;正如美国能源部(DoE)在其能源输送系统网络安全路线图[247]中所述:“为网络安全制定强有力的商业案例由于在以下环境中难以量化风险,投资变得复杂:
(1)快速变化,
(2)不可预测的威胁,
(3)后果难以证明。
总之,仅靠市场激励措施不足以改善CPS的安全状况,因此,我们的CPS基础设施仍然相当容易受到计算机攻击,并且安全实践比企业IT领域使用的当前安全最佳实践落后数十年。这种提高CPS安全性的市场失灵导致了政府干预的几次呼吁[248,249,250]。
监管:强制CPS行业必须遵守的网络安全标准是可能的政府干预,这个想法有一些先例。在2003年之前,北美电力可靠性公司(NERC)仅向美国的电力系统运营商建议标准,但在2003年8月停电之后,曾经是可选的法规现在是强制性的[151]。然而,CPS行业反对监管,认为法规(例如,强制遵守特定的安全标准)将扼杀创新,而更多的监管往往会创建合规性文化而不是安全文化。
美国的一些州开始将监管掌握在手中;例如,最近提出的加州参议院法案SB-327将使加州成为美国第一个拥有物联网网络安全法的州——从2020年开始,任何“直接”连接的设备制造商或间接“互联网必须为其配备”合理“的安全功能,旨在防止未经授权的访问、修改或信息泄露。
欧盟网络安全局提出了欧盟网络和信息安全指令[251],作为欧盟范围内网络安全立法的第一部分,其中基本服务的运营商,如本KA中概述的那些必须遵守这些新标准。
广泛实施监管的另一种选择是利用政府的“钱包权力”,仅对希望与政府开展业务的公司强制实施网络安全标准。目标是,一旦开发出最佳安全实践以满足与政府合作的标准,那么它们将扩展到其他市场和产品。这种方法是激励和监管之间的合理平衡。只有与联邦政府合作的CPS和物联网供应商必须遵循特定的安全标准,但一旦实施,相同的安全标准将使他们重复使用这些技术的其他市场受益。
缺乏监管的一个值得注意的例外是核能行业。由于该行业的高度安全关键性质,核能总体上受到高度监管,特别是在网络安全标准方面,其流程包括核监管办公室(ONR)安全评估等流程。英国的原则[252]。
激励措施:推动公司改善网络安全状况的一种补充方法是政府培育网络保险市场以保护CPS。因此,政府不会要求公司遵循特定的标准,而是要求公司为其运营提供网络保险[253,254,255,256]。有一种流行的观点认为,在某些条件下,保险业可以激励对保护的投资[257]。这个想法是,保险公司收取的保费将反映CPS公司的网络安全状况;如果一家公司遵循良好的网络安全实践,保险费会很低,否则,保费将非常昂贵(这原则上会激励公司将加大网络安全保护投资)。目前尚不清楚这个网络保险市场是否会有机增长,或者是否需要政府授权。
目前尚不清楚政府提高CPS安全性的激励措施是否首先需要灾难性的网络攻击,但似乎在未来,选择将不再是政府监管和没有政府监管,而是介于聪明的政府监管和愚蠢的监管之间[245]。
思维导图下载:GB-T 39276-2020 网络产品和服务安全通用要求
原文始发于微信公众号(河南等级保护测评):网络物理系统安全之CPS安全的政策和政治方面-激励与监管
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论