第四次工业革命协议设计网络中心
工业物联网安全保障协议
2018年4月
编译 鹰眼翻译社区 樊山 2023年10月
|
本作品根据知识共享署名非商业4.0国际(CC BY-NC 4.0)获得许可。要查看此许可的副本,请访问https://creativecommons.org/licenses/by-nc/4.0/ 所表达的观点是讨论中某些参与者的观点,并不一定反映所有参与者或世界经济论坛的观点。 参考号160418 协议被定义为非正式的规范制定框架,随着时间的推移,伴随着(1)详细的规范,(2)业务流程,(3)实施指南,(4)核查文书,(5)维护程序,和/或(6)冲突/争端解决机制。 本协议的实施和成功将需要IIoT生态系统中关键利益相关方的积极参与。 |
执行摘要
世界经济论坛[1]召集了一个专家网络,以支持安全可靠的工业物联网(IIoT)的发展。这些专家(网络)来自商业战略、关键基础设施、保险、制造、政策、安全研究和技术社区。该网络认识到,在这个呈指数级增长的行业中,安全保障的脆弱状态是站不住脚的,并确定了在开发最安全的IIoT方面的一些挑战。它专注于解决这些挑战的可行解决方案。
该网络制定了一个协议框架,通过该框架,参与者可以在共同责任上保持一致,以确保IIoT产品、实践和基础设施的安全。IIoT生态系统不受任何特定利益相关者的控制,也没有一类明确的行为者对其治理负有主要责任。当伤害风险如此广泛地传播时,只有集体承诺承担共同义务,应对复杂的相互关联环境的挑战,才能有意义地解决公共安全和预防性安全问题。
IIoT安全与保障协议(“协议”)使人们了解保险如何促进IIoT保障设计、实施和维护实践的改进,保险在网络安全规范制定和治理的激励结构中发挥着不可或缺的作用。该框架旨在使用主动强化流程来加强IIoT的安全服务,这些流程可以通过经过验证的渗透、配置和合规技术进行验证。
背景
物联网(IoT)为通过技术实现社会转型提供了新的机会,尤其是对于那些利用物联网改善业务流程的企业以及那些希望物联网改善基础设施和提供重要服务的政府来说。事实上,物联网被誉为第四次工业革命(一场以技术融合为特征的数字革命,模糊了物理、数字和生物领域之间的界限)的先驱,有可能以与蒸汽、电力、核能和计算能力之前的进步相当的规模影响工业。
互联设备和物联网的惊人增长是在不断发展的网络物理环境中运行的,创新者和企业家正在突破物联网潜力的边界。然而,这种动态变化率也鼓励恶意行为者开发新的、越来越复杂的机制来利用物联网系统特有的漏洞,或者与作为物联网服务一部分的易受攻击组件、设备或系统一起导入的漏洞。物联网的巨大规模和不可分割的相互联系进一步将安全和安保风险复杂化为实际的物理威胁,暴露出灾难性伤害的可能性。
工业互联网代表了物联网最有前景和变革性的应用之一。工业互联网联盟将工业互联网定义为“物联网、机器、计算机和人联网,利用先进的数据分析实现智能工业运营,以实现转型商业成果。”IIoT的关注范围很广,但可能最容易理解为物联网技术在工业或商业环境中的应用,与个人消费者设置相反。
正如论坛出版物《工业物联网:释放互联产品和服务的潜力》中所记载的那样,IIoT预计将极大地改变制造业、能源、农业、运输和其他工业部门的经济,这些部门合计占全球国内生产总值的近三分之二。
尽管IIoT与消费者物联网有许多共同的特点,但它在经济影响的潜力以及整个供应链的固有复杂性和系统设计方面都值得注意。埃森哲估计,到2030年,IIoT可能为全球经济增加14.2万亿美元,可以说使IIoT成为未来十年生产力和增长的最大驱动力之一。与消费者物联网解决方案不同,如可穿戴健身追踪器,个人可以出于单一目的购买(例如记录和鼓励健康活动),IIoT解决方案倾向于集成到更大的操作系统中,从而在各种IIoT组件之间产生显著的相互依赖性。因此,IIoT解决方案可能需要额外的规划和意识,以确保充分的互操作性、可扩展性、精度和准确性、可编程性、延迟级别、可靠性、弹性、自动化和可维护性。
随着IIoT将以前孤立的系统转变为与我们的日常生活和业务交织在一起的互联网络,它对该基础设施的强大功能产生了新的关键依赖。IIoT将与网络安全相关的熟悉且不断增加的数字风险带入物理空间,产生了大量新的漏洞,包括对公共安全的威胁、物理伤害和对共享公共基础设施的灾难性系统性攻击。已知的物联网安全漏洞广泛存在,从低端消费设备到大型工业系统。现在,随着消费设备的普及,愿意利用数字网络环境的不良行为者的攻击面不仅渗透到家庭,还蔓延到我们智能城市的交通和其他市政系统,并渗透到核心生产流程中日益互联的制造业。袭击关键基础设施的潜在影响将是深远的,将深入到我们经济、健康、安全、公共服务和国家安全的越来越重要的方面。因此,对于依赖IIoT的产品、系统和服务来说,安全性即使不是IIoT本身的可行性,也是一个关键挑战。
关于网络安全风险暴露的决定可以推迟的时间已经过去了。Mirai僵尸网络[2]病毒针对没有定期更新的“僵尸”遗留物联网设备,它利用大量物联网设备阻止了多个ISP和网站的互联网接入,从而引发了大规模分布式拒绝服务(DDoS)攻击。潜在的伤害风险现在已经从信息中断扩展到网络物理关键基础设施,过去几年在乌克兰发生的多次网络攻击已经表明对广大人口产生了指数级的影响。2017年夏天,一场始于乌克兰政府和商业计算机系统的网络攻击,利用勒索软件让所有者再次访问他们的计算机,并蔓延到能源公司、加油站、铁路、机场和其他关键基础设施。此前,2015年12月下旬,乌克兰电力公司控制系统遭到多管齐下的攻击,导致乌克兰三个省的电网瘫痪,导致停电长达6个小时,225,00名客户受到影响。
正如联邦贸易委员会(FTC)对D-Link公司提起的诉讼所表明的那样,私营部门对物联网设备的不安全性承担的责任现在也很明显,该公司对其安全性进行了误导性广告宣传,未能解决安全缺陷。政府机构、物联网公司和以安全为重点的利益集团——包括网络——都在努力确定物联网安全挑战的全部范围,并定义应对这些挑战的框架和原则。
网络的需求和机遇
从行业、国际组织、民间社会和学术界招募了网络成员,以审查和调查治理结构、IIoT安全差距以及激励/处罚/监管,从而推动改进IIoT的安全实践。本文件中概述的《协议》遵循了这种类型的多方利益相关者合作所促成的政策制定的敏捷治理模式。网络成员和贡献者名单见本文件附录。为了最大限度地扩大正在进行的工作的成功和影响,网络将以以下要求和机会为指导:
1.网络应具有广泛的利益相关方代表。有关IIoT安全性的讨论通常涉及科技公司和知名学者。只有在最近备受关注的IIoT安全漏洞中,公共政策专家才加入了讨论,并意识到问题的深度和范围。IIoT用户群体的信息要少得多;它包括缺乏对IIoT安全的专业知识甚至意识和/或在执行为公众利益制定的政策指导方针方面缺乏经验的组织和个人。解决IIoT的安全问题需要所有这些选民在知情的情况下做出决定。
2.网络应提高对IIoT安全问题及其后果的认识。从小型初创企业到成熟的企业技术人员,所有用户社区和垂直市场的用户对IIoT安全问题的认识都很低,在弥补IIoT的安全差距方面的专业知识更是如此。IIoT设备级别的安全意识尤其令人担忧,因为连接的设备和传感器通常缺乏信息技术系统中必备的安全能力;例如密码更改功能和空中更新。除了认识不足之外,部署IIoT系统的实体往往对安全漏洞的未来后果的重视程度低于基于时间折扣标准模型的预期。如果没有偏向未来后果的反补贴利益相关者,对第三方的直接和附带损害将构成重大的市场失灵。保险业是这样一个利益相关者,其参与将推动部署IIoT系统的实体的行为变化,不遵守安全标准可能会影响其承保服务。
3.网络应帮助部署IIoT服务的实体了解安全问题。网络安全专业知识通常不属于IIoT系统的供应商或用户。许多越来越多地部署和实施IIoT的公司既没有能力也没有长期的商业战略动机来系统地解决其网络安全漏洞。由于消费者对重大财务决策的认知局限性,部署IIoT服务的实体可能无法调和多变量系统设计实施决策与相关影响之间的不对称性。如果披露本身不能被理解或容易实施,那么使用强制性信息披露作为政策工具来抵消这种不对称性的作用将有限。无论是作为一种政策工具,还是由私营部门的利益相关方,用有效行动的财政激励和不采取其他行动的财政抑制来补充强制性披露,都将导致比单独的政策工具高得多的合规水平。
4.网络应帮助建立IIoT安全的新激励结构。实现IIoT安全需要广泛宣传IIoT的安全风险、解决安全漏洞所需步骤的定义以及促进纠正行为的激励/惩罚措施。IIoT安全必须在设计和实施阶段设计为产品、系统和解决方案。如今,还没有适当的治理结构来充分激励IIoT安全最佳实践。仅凭市场力量不足以推动安全最佳实践——今天的经济激励了上市时间和盈利能力,但并不能抑制不良行为,因为安全漏洞的后果往往会影响到分散的第三方群体。该网络确定了解决IIoT用户行为、产品设计和系统实施的关键需求。关键要素包括:
–教育和意识
–安全设计原则的使用
–保险和风险缓解
–数据安全
–传统IIoT设备和实施
–针对同样处理个人身份信息的高度监管行业的垂直市场特定扩展;例如,医疗保健、金融、银行
–最大限度地减少IIoT安全解决方案对公民的影响和安全漏洞的后果
–灵活的监管结构
5.网络应鼓励各国政府参与公私伙伴关系。考虑到关键基础设施遭受恐怖袭击的潜在风险,包括通过使用通信技术,联合国安理会批准了第2341号决议。根据这项决议,呼吁成员国通过在国内和跨境与政府当局、外国合作伙伴以及私营部门所有者和运营商合作,分享知识和经验,保护关键基础设施免受恐怖袭击。第2341号决议呼吁成员国建立和加强公私伙伴关系,以保护、减轻、调查、应对关键基础设施遭受的恐怖袭击,并从中恢复,包括通过联合培训,以及使用或建立相关的通信或紧急警报网络。它还呼吁成员国确定并分享保护关键基础设施的良好做法。
6.网络应协助保险业管理IIoT风险。网络应在指标、材料和新工具的开发方面提供指导,以减轻IIoT风险,并鼓励系统和设备的主动强化。保险不是风险的替代品,而是风险管理战略中的一种工具。鉴于相互关联的环境和延伸到物理环境中造成伤害的指数级危险,精算预测模型仍在继续开发中。此外,IIoT中为数不多的公开黑客攻击或安全漏洞事件,以及IIoT作为更广泛的数字网络环境的一部分的脆弱程度,尚未得到充分认识。有必要培养对IIoT的共同责任感,并了解保险业如何在采取所有其他措施的同时,协助预防、应对和恢复危险和威胁。这种激励措施的修改是在IIoT发展过程中保持各自商业信心、连续性和声誉水平的一个组成部分。
7.网络应利用从保险在应对新风险情景中的历史作用中吸取的经验教训。保险计划鼓励参与者通过使用差异化保费、扣除额、除外责任和经验评级来降低风险。保险业在安全方法的研究和开发、私人安全规范的实施以及针对性的安全行为指导方面也发挥着至关重要的作用。在具有广泛社会影响的技术问题上取得成功的两个例子都包括明确的激励/惩罚措施:(a)产品制造商和保险公司在20世纪发起的电气安全倡议,旨在确保商业和家庭使用更安全的电气产品,其中包括保险公司的激励措施;以及(b)支付卡行业旨在吸引商家实施最佳做法以保护金融交易的举措,包括对违规行为处以巨额罚款。
协议目标和影响的关键驱动因素
本协议的目标是提高IIoT设备和系统的安全性,并使用户、制造商和实施者的行为与更广泛的安全保障公共利益目标保持一致。IIoT的潜在危害分布在众多组织中——每个组织的风险暴露面都很小,但总体上都有可能造成巨大的损害。因此,IIoT安全保障的政策解决方案必须克服集体行动的挑战,利用历史上为管理广泛分布的风险而建立的机制。该议定书旨在利用保险计划、标准和治理结构来创造激励措施,并重新调整需求/供应方经济,以推进IIoT安全设计、实施和维护方面的最佳实践。该框架旨在使用主动强化过程来加强IIoT系统的安全性,该过程可以通过经验证的渗透、配置和合规技术进行验证。
IIoT生态系统包括各种类型的实体,每个实体在加强安全保障方面都有集体利益。这些主要利益相关者群体包括:
-
a)硬件制造商,制造或组装可集成到IIoT设备中或直接连接到更大IIoT系统架构中的单个组件或部件(如传感器或微处理器)
-
b)设备制造商,制造或组装大型IIoT系统架构中包含的IIoT设备(如工厂设备)
-
c)网络服务提供商,提供在IIoT环境中建立设备网络所需的连接,并管理相应的设备通信
-
d)数据中心或云服务提供商,提供与IIoT设备通信和数据流相关的存储和处理服务
-
e)中间件供应商,能够集成和管理各种IIoT设备和系统
-
f)软件供应商,提供与IIoT数据和设备相关的分析、商业智能和自动化平台和工具
-
g)IT服务提供商,提供一系列专业服务,帮助规划、定制、推出和运营IIoT系统
-
h)政府监管商业和消费者环境,在许多情况下还管理或运营与IIoT相关的关键基础设施
-
i)标准机构,负责制定、协调、颁布、解释或以其他方式参与技术标准的分发,以促进与IIoT相关的互操作性和其他需求
-
j)行业团体,他们鼓励IIoT生态系统中的公司之间的合作,并促进共同利益的发展
-
k)消费者,购买和部署IIoT系统,代表广泛的垂直行业,如制造业、运输业、物流业、农业、石油、天然气和采矿业、食品服务业、酒店业、能源和其他公用事业、健康和房地产
-
l)民间社会,代表和促进对话,和/或代表直接或间接受到IIoT影响的社区进行宣传
尽管上述各利益相关方团体都有兴趣看到本协议的推进,但有三个不同的社区是本协议的目标受众:(1)金融部门,包括保险业社区;(2) 作为最终用户运营IIoT系统的公司、政府和其他实体,目前或未来可能会寻求保险单,以保护其公司免受IIoT相关的安全风险;(3)各国政府和国际治理机构注重保护关键基础设施。
保险是一种重要的基于市场的激励机制,尤其是在促进安全增强行为方面。较低的保险费促使数百万企业和消费者安装了消防和安保系统,良好的司机折扣计划为从事更安全、风险更小的行为创造了切实的经济激励。同样的激励结构可以应用于为IIoT系统投保的协议。保险提供商不仅可以使用本协议来评估是否满足了可保性的基线要求和/或差异化保费计划的条件,还可以区分实施的强度和可靠性,以告知承保决策过程。尽管执行本议定书没有一种一刀切的方法,但附录中包含了事故风险敞口和常见保险类型的分类,作为理解可能与IIoT安全风险管理最相关的保单类型的框架。
对于作为最终用户运营IIoT系统的公司、政府和其他实体,本文件提供了如何根据越来越广泛接受的行业标准确保其IIoT运营安全的指导。它旨在为安全问题的自我监管创造新的激励措施,并鼓励对网络安全采取预防性方法,而不是等待政府监管来定义条款和义务。IIoT系统部署中安全和安保实践的改进应作为整个供应链其他部署的预期基准,并对消费者物联网安全实践产生积极影响。
对于国家政府和国际治理机构来说,《协议》提供了一种启动与国内行业对话的手段,以及与互联物联网环境中关键基础设施安全保障问题的关系。该协议支持IIoT系统提供商共享其漏洞信息的机制,以最大限度地提高公共利益的安全性。
加强IIoT预防措施的其他机会包括增加开源情报;增加风险评估;更高水平的场景构建和测试;使用风险管理平台;事件应对计划演习;以及专业风险工程。针对IIoT事件,也有机会加强损失调查;实施应对战略;应急支持;信息技术取证;专业的法律和公共关系支持;以及资金支持。
IIoT安全保障协议
保险和/或参与差别化保费计划的要求
作为提高IIoT系统和运营安全性的更广泛风险缓解战略的一部分,保险公司应制定明确的可保性和/或参与差异化保费计划的要求。这些基本要求指导参与实体根据最佳实践采取具体步骤,将网络安全和抵御攻击的能力整合到其运营、流程和工作产品中。
IIoT安全应融入部署IIoT系统的整个实体——整体战略、文化、信息技术(IT)和操作技术(OT)。然后应通过公司治理和风险管理机制对其进行核实。部署IIoT系统的实体还应制定程序,在IIoT的整个生命周期中检测、减轻、验证和管理IIoT安全风险和漏洞。
为了实现这一目标,《协议》规定了三个领域的可保性和/或参与定价折扣计划所需的基线条件:业务线IIoT设备保障;内部治理和风险管理;以及记录保存和度量。
A.业务线IIoT设备保障
部署IIoT系统的实体必须证明其设计、构建、安装、维护、监控、交互和/或控制的IIoT设备或系统实施了以下保障措施。采用和实施适当、现有和公认的IIoT安全标准是有效风险管理的关键组成部分。
1.风险评估模型。安装和运营IIoT系统的实体必须采用风险评估模型,该模型首先确定需要保护的所有数字和实物资产。风险评估模型应确定影响IIoT系统过程的风险因素和可能的威胁因素,并包括全面的脆弱性评估。风险评估模型应基于被定义为可接受或不可接受的风险因素,并在已识别风险的脆弱性评估中提供评分。执行管理层应负责风险评估,并对所述风险进行年度审查和审计。
2.细分。部署IIoT系统的实体必须根据风险评估模型将资产正确划分为逻辑隔离的子系统,这些子系统共享共同的安全需求。必须利用网络机制,如身份、上下文、基于角色和策略的访问、下一代防火墙和网关,限制子系统内部和子系统之间的信息流和访问。
3.设备的完整性和可用性。被定义为关键资产的系统的设备、组件和端点应使用一个模型来定义端点在系统中的价值。如果设备的价值与数据和系统完整性有关,则应建立机制来保护它。如果设备的值与可用性和可靠性有关,则应该建立机制来提供正常运行时间。如果设备的价值与机密性有关,同样适用。使用CIA模型评估设备对系统的风险应作为风险评估的一部分。
4.加密。部署IIoT系统的实体必须确保新设备和相关应用程序支持当前普遍接受的安全和加密协议以及最佳实践(如适用)。在要保护的风险评估中评分的静止和传输中的数据应包括足够的行业公认做法来保护数据。目前使用的许多工业协议在设计时没有考虑到安全性,并且缺乏基本的授权和加密功能。部署IIoT系统的实体应利用额外的安全控制措施妥善应对这些挑战,并尽可能升级到支持加密的系统。
5.补丁和更新。部署IIoT系统的实体必须有机制更新设备、组件和软件上的软件,以验证软件是从可信来源交付的,并且没有被篡改。递送机制可以是自动化的和/或手动的,这取决于环境,并且应该允许轻松回滚的能力。系统安装人员和操作员应熟练地提供更新,设计者和制造商应开发机制来提供这些更改。
6.隐私。所有传输和存储中的个人身份数据都必须使用当前公认的安全标准进行加密。
7.互操作性。IIoT设备和服务必须能够使用标准协议相互通信,而不仅仅是与基站通信。设备应使用标准端口进行网络通信。
8.软件开发生命周期。部署IIoT系统的实体必须确保所有IIoT设备、服务和相关软件都经过严格、标准化的软件开发生命周期流程和方法,包括单元、系统、验收、回归测试和威胁建模,同时维护所使用的任何第三方/开源代码和/或组件的来源清单。这些实体应在一系列典型的用例场景和配置中使用公认的代码和系统强化技术,包括防止设备、应用程序和云服务之间的任何数据泄露。制造商应使用安全的开发生命周期流程,该流程与威胁建模和确定的风险评估相关联。这些流程应展示在保护代码库、使用威胁建模和风险评估、软件内容和来源的供应链管理以及基于产品和软件风险评估的渗透测试方面的行业最佳实践。
9.根信任。安装和操作系统的实体应创建具有信任区域的可信网络,该信任区域定义系统内的通信路径。信任区域可以定义如何在信任区域内保护数据和端点。
10.漏洞披露。部署IIoT系统的实体必须建立协调的漏洞披露,包括接收、跟踪和及时回应第三方外部漏洞报告的流程和系统。
B.内部治理和风险管理
部署IIoT系统的实体必须为其设计、构建、安装、维护、监控、交互和/或控制的IIoT设备或系统证明充分的内部治理和风险管理机制。论坛《增强网络弹性:董事会的原则和工具》为董事会一级的此类机制提供了商业模式和最佳实践。
1.董事会监督。部署IIoT系统董事会和高级领导层的实体必须正式审查组织的IIoT网络战略(预防、转移和响应),作为公司风险管理战略(避免、减少、共享和保留)和业务连续性计划的一部分,并参与该战略的治理和监督。
2.最高级别的问责制。部署IIoT系统的实体必须确定网络安全/恢复能力的“负责人”,并确保业务和IT人员对该主题有适当的指挥权。除了这一角色之外,或作为这一角色的一部分,部署IIoT系统的实体还必须有一名官员负责组织安全/恢复能力和责任分配矩阵(RAM)的实施。还应建立机制,确保信息从各个角色流回管理层。有关RAM以及多种备选参与类型的进一步说明,请参见附录。
3.网络弹性。部署IIoT系统的实体必须证明网络弹性已融入商业战略;量化和确定组织的网络风险战略和评估,采用人员、资本和技术相结合的方法。
4.持续评估。部署IIoT系统的实体必须对整个服务和端点生态系统的资产进行频繁和彻底的评估。
5.正在进行的测试。部署IIoT系统的实体必须在其分销、安装、服务和维护渠道中准备并遵守IIoT安全最佳实践;在IIoT服务的整个生命周期中,使用渗透测试和其他经验证的安全技术定期测试IIoT的网络安全性和弹性。
6.跟踪和处理遗留系统。部署IIoT系统的实体必须启动流程,以跟踪和解决遗留和过时的解决方案,并确保充分的维护。
7.信息共享。部署IIoT系统的实体必须与私营部门或政府机构的公认中介机构共享有关威胁和漏洞的信息。
8.事件响应。应制定网络事件处理程序,说明如何应对、分类和公开应对潜在事件。应每年规划和审计确定事件级别及其影响的法医计划。这应该涉及高级和董事会级别的参与。
C.记录保存和度量
业务决策者应从系统构思的那一刻起,通过系统的设计和创建以及整个运营过程,监控IIoT系统的安全报告。正确的测量和指标为决策者、运营商和其他利益相关者提供信息。虽然一些测量和指标会根据其应用的垂直行业的独特背景考虑而有所不同,但一些安全指标在各个行业中都很常见,例如:检测到的攻击尝试的数量和这些尝试的细分;以及描述值得调查的成功袭击、事件、千钧一发、违反政策和异常情况。
1.测量。部署IIoT系统的实体必须建立清晰准确的安全指标表示(仪表盘和其他可视化),包括数据源、通信和系统功能,以及关键性能标识符,使运营和业务人员能够做出改进的业务决策。然后,安全性成为运营过程中有价值的一部分,其价值可以通过避免错误决策以成本来量化。
2.指标。部署IIoT系统的实体必须建立安全指标,以确保持续的反馈回路,以确定风险领域,加强问责制,提高安全有效性,证明遵守法律法规,并为有效决策提供可量化的投入。这些指标有助于尽早发现安全问题,并有助于更快、更高效的管理和治理。
协议的实施
本协议的实施和成功将需要IIoT生态系统中关键利益相关方的积极参与。该协议植根于部署IIoT系统的实体基于激励的自我监管模式。因此,它假设政府不会积极或不一致地监管这些领域。政府的支持对于建立IIoT系统提供商共享其漏洞信息的机制也至关重要,以最大限度地提高公共利益的安全保障。
《协议》的实施将在确定可保性或考虑差别保费时或之前进行。假设传统IIoT设备或系统不在保险范围内;《协议》的实施必须在签发新保险或续保现有保险之前进行。IIoT保险公司将使用上述要求对申请人进行评估,以确定差异化保费计划的可保性或可接受性,并根据这一审查为申请人提供指导。
为了评估部署IIoT系统的实体是否符合这些要求,保险公司可能会期望以下合规指标:
1.适当的内部安全保障措施,以确保部署IIoT系统的实体符合协议要求,并将安全视为其整体业务战略的重要组成部分。
2.IIoT公司已采用协议要求的证明或保证,包括适当的IIoT标准。IIoT保险公司可能会确定与每次使用相关的适用标准。
3.IIoT保险公司可能会为指标和数据联盟提供相关信息和分析,以确保更好地全面了解IIoT安全。
4.足以维护和更新已部署(也称为“遗留”)IIoT系统的资产证明,符合协议要求,以确保在IIoT整个系统生命周期内面对不断演变的IIoT安全威胁时的安全。
与涉及IIoT设备或实施的安全漏洞和事件相关的信息对于确定可保性至关重要。为了确保这些指标和数据的可用性,本协议建议成立一个由部署IIoT系统的实体和IIoT保险公司组成的联盟,以汇集这些数据,并建立可保性指标和风险评估。该联盟将由部署IIoT系统的实体和IIoT保险公司提供数据和指标。联合体的发展及其运作的协议可能是未来专家网络的主题。
部署IIoT系统的实体、IIoT保险公司和相关第三方(如安全提供商、顾问和监管机构)应向指标和数据联盟提供相关数据和指标(或分析结果或专有数据)。该联盟可以成为评估IIoT生态系统可保性所需信息的重要来源。
本协议的核查机制涉及部署IIoT系统的实体和IIoT保险公司。这些实体和IIoT保险公司需要验证该框架在通过可保性激励安全方面的运作,以及协议组成部分的有效性。验证程序应由IIoT社区确定,并定期执行和审查。
为了在不断演变的IIoT安全风险面前保持本议定书的适用性,需要不时将新的调查结果、安全标准、网络安全原则和最佳实践纳入协议。IIoT保险公司应定期调查和监控IIoT安全标准生态系统,以确保附录中列出的适用标准是最新的,并且部署IIoT系统的实体继续将适当的标准应用于遗留和新的IIoT设备和系统。由于本议定书适用于IIoT系统部署和保险公司,因此需要确定进一步的维护措施。
IIoT应被视为数字化和网络基础设施的一种属性,是计算设备和系统连接的手段和媒介,应在这一总体框架下进行研究和管理。量子计算、空间发展、机器学习和自动化等新兴技术应受到网络的密切监测,以确保《协议》保持有效和最新。
与本协议有关的冲突应以受影响社区确定的方式解决。任何冲突解决机制都必须是透明的,并为所有有关各方提供机会,将其争端的依据提交给中立的第三方。
附录
A.专家网络
工业互联网安全协议设计网络
联合主席:
Michael McNeil–Royal Phillips产品安全与服务主管
David Scharia——联合国安理会反恐执行局(联合国反恐执行局)局长兼处处长
成员:
Benedikt Abendroth–网络安全战略,微软
Siby Abraham–Wipro副总裁兼首席技术官
Lori Bailey–苏黎世保险公司网络风险全球主管
Sukamal Banerjee–公司高科技与通信副总裁,BU物联网工程主管,HCL Technologies
Urs Gasser——哈佛法学院实践教授
Ryan Gillis–Palo Alto Networks网络安全战略与全球政策副总裁
顾海洲[3]-联合国反恐执行局CITO办公室
Chris Harrison——卡内基梅隆大学人机交互助理教授
Vijayakumar Kabbin–Wipro总经理
Isha Kharbanda–HCL Technologies公司营销部集团经理
Aaron Kleiner–微软行业保障和政策倡导总监
Edy Liongosari–埃森哲实验室首席研究科学家
Jesus Molina–瀑布安全解决方案业务发展总监
David O'Brien–哈佛大学Berkman Klein互联网与社会中心高级研究员
Gil Perez–SAP物联网与数字供应链高级副总裁
Marc Porret——联合国反恐执行局信息和通信技术协调员
Tony Shakib–物联网和智能云BD,微软
Hamed Soroush–PARC/Xerox研究人员高级成员
Michael Tennefoss–惠普企业公司阿鲁巴战略合作副总裁
William Westerlund–埃森哲人才招聘
工业互联网安全和安保专家社区
Maarten Botterman——物联网动态联盟主席,互联网治理论坛
Maya Bundt–瑞士再保险公司网络与数字解决方案主管
Leslie Chacko–Marsh&McLennan公司全球风险中心新兴技术总监兼主管
Anupam Chander——加州大学戴维斯法学院法学教授
Andrew Hall——Willis Towers Watson客户关系总监
Ajit Jillavenkatesa——美国商务部国家标准与技术研究所(NIST)标准与数字化高级政策顾问
Karen McCabe–电气与电子工程师学会(IEEE)技术政策和国际事务高级主任
Ken Modeste–保险商实验室安全与全球通信首席工程师
Jayraj Nair–Wipro副总裁兼物联网全球主管
Caio Mario da Silva Pereira Neto——圣保罗Getulio Vargas基金会教授
Ian Smith–GSM协会物联网项目技术负责人
Rachna Stegall–UL互联技术全球总监
世界经济论坛贡献者
Daniel Dobrygowski–IT行业负责人
Eddan Katz–数字协议网络负责人
Jeff Merritt——物联网主管
Anne Toth–数据政策主管
Alex Wong–全球挑战伙伴关系主管
Melody Chang——物联网和区块链社区专家
B.事故风险和保险类型
|
事件类型组 |
覆盖范围 |
|
业务中断;运营中断 |
补偿非因物理损坏导致生产中断造成的利润损失 |
|
非有形损害的或有业务中断 |
补偿被观察公司因非物理损害引起的相关第三方(供应商、合作伙伴、供应商、客户)生产中断而造成的利润损失 |
|
数据和软件丢失 |
重建和/或更换和/或恢复和/或复制丢失、损坏、被盗、删除或加密的数据和/或软件的成本 |
|
金融盗窃和/或欺诈 |
由旨在实施欺诈、盗窃资金或盗窃其他金融资产(如股票)的网络内部或外部恶意活动引起的纯粹财务损失;涵盖被观察公司或相关第三方因被观察公司被证明的错误行为而遭受的纯粹财务损失 |
|
网络赎金和勒索 |
专家处理赎金和/或勒索事件的成本与赎金支付金额相结合(例如,在支付赎金之前,数据访问被锁定) |
|
知识产权盗窃 |
知识产权资产的价值损失,导致纯粹的财务损失 |
|
事件响应成本 |
对需要内部或外部专家费用的危机管理/补救行动的补偿,但不包括监管和法律辩护费用 覆盖范围包括: –IT调查和取证分析,不包括与监管和法律辩护成本直接相关的调查和取证 –公共关系、沟通成本 –补救成本(例如,删除或激活针对被保险人发布的有害内容“泛滥”的成本) –通知费用 |
|
侵犯隐私 |
私人和/或敏感数据泄露后的赔偿费用,包括信用监控服务,但不包括事件响应费用 |
|
网络安全/安全故障 |
通过投保人/被观察公司的IT网络对第三方(供应商、合作伙伴、供应商、客户)造成的损害赔偿费用,但不包括事件响应费用;投保人/被观察公司可能没有受到任何损害,但没有被用作联系第三方的媒介或渠道 |
|
声誉损害(不包括法律保护) |
因交易/客户对受影响公司失去信心而减少的利润损失补偿 |
|
监管和法律辩护费用(不包括罚款和处罚) |
A: 监管成本——对被观察公司或相关第三方在回应与网络攻击有关的政府或监管查询时产生的成本的补偿(包括与监管查询直接相关的法律、技术或IT取证服务,但不包括罚款和处罚) B: 法律辩护费用——网络攻击后,被观察公司或相关第三方在法庭上面临法律诉讼所产生的自身辩护费用 |
|
罚款和处罚 |
对被观察公司的罚款和处罚进行补偿;这些费用的保险补偿仅在允许的司法管辖区提供。 |
|
沟通和媒体 |
因被观察公司滥用沟通媒体导致污蔑、诽谤或对第三方的诽谤,包括网页污损以及专利/版权侵权和商业秘密盗用产生的赔偿费用 |
|
法律保护-律师费 |
投保人提起或针对投保人提起的法律诉讼的费用,包括审判时的律师费;例如,身份盗窃、证明滥用受害者身份的律师费用 |
|
援助范围-心理支持 |
在未经投保人同意的情况下传播有关投保人的偏见信息的网络事件后,向受害者提供援助和心理支持 |
|
产品 |
如果被观察公司交付的产品或操作因网络事件而有缺陷或有害,则赔偿费用不包括技术产品或操作(技术错误和遗漏,E&O),也不包括专业服务E&O |
|
董事和高级职员(D&O) |
第三方对被观察的公司董事和高管提出索赔时的赔偿费用,包括网络事件导致的背信或失职 |
|
技术E&O |
因网络事件导致未能提供足够的技术服务或技术产品而产生的赔偿费用 |
|
专业服务E&O,专业赔偿 |
与网络事件导致未能提供足够专业服务或产品有关的赔偿费用,不包括技术服务和产品(技术E&O) |
|
环境损害 |
覆盖范围:网络事件导致有毒和/或污染产品泄漏后的赔偿费用 |
|
实物资产损坏 |
由于本公司的网络事件而导致被观察公司的实物财产遭到破坏的相关损失(包括业务中断和或有业务中断) |
|
身体受伤和死亡 |
由于被观察公司或相关第三方的错误行为或疏忽造成的人身伤害或连续死亡的赔偿费用(例如,导致自杀的合理数据泄露) |
C.相关术语
|
术语 |
释义 |
来源 |
|
访问控制 |
确保根据业务和安全要求授权和限制访问资产的手段;注意:访问控制需要身份验证和授权 |
ISO/IEC 27000:2016 |
|
数据完整性 |
以未经授权的方式更改或销毁数据的属性 |
ISO/IEC 27040:2015 |
|
工业互联网 |
物联网、机器、计算机和人,利用先进的数据分析实现智能工业运营,实现转型商业成果 |
IIC |
|
工业物联网(IIoT)系统 |
连接和集成工业控制系统与企业系统、业务流程和分析的系统 |
IIC |
|
物联网设备 |
IIoT系统的端点组件,通过传感或致动与物理世界交互 |
IIC |
|
物联网传感器 |
物联网设备的组件,用于观察物理世界的属性并将其转换为数字形式 |
IIC |
|
可靠性 |
系统或系统组件在规定的条件下在指定的时间段内执行其所需功能的能力 |
ISO/IEC 27040:2015 |
|
弹性 |
系统或系统组件在面临中断时保持可接受服务水平的能力 |
IIC |
|
保障 |
系统运行时不会直接或间接因财产或环境损坏而造成不可接受的人身伤害或健康损害风险 |
ISO/IEC Guide 55:1999(1) |
|
安全 |
保护财产不受意外或未经授权的访问、更改或破坏,确保可用性、完整性和机密性 |
IIC |
|
可信度 |
在面对环境干扰、人为错误、系统故障和攻击时,系统表现出预期的安全、保障、隐私、可靠性和弹性等特点的信心程度 |
IIC |
|
脆弱性 |
可被一个或多个威胁利用的资产或安全控制的弱点 |
ISO/IEC 27000:2016(1) |
D.职责分配矩阵
安全性涉及IIoT设备和系统生命周期的每一个元素,因此IIoT保障措施需要跨职能、跨部门和跨公司的协作。
责任分配矩阵(RAM)是一种图表系统,描述了不同角色在完成项目或业务流程的任务或可交付成果时的参与情况。它在阐明复杂项目和流程中的角色和责任方面尤其有用。其目的是减少混乱,提高项目效率,同时注重问责制,确保工作量平均分配。它通常被缩写为RACI(R=负责,A=批准,C=咨询,I=告知),该过程的多种替代变体包括:PARIS(参与者、负责、需要审查、需要输入、需要签字);PACSI(执行、批准、控制、建议、告知);RASI(负责、可靠、支持、知情);DAVI(驱动者、批准者、贡献者、知情者);RAPID(职责、权限、任务、支持、知情)。
以下是IIoT设计、制造、服务、分销、集成和其他用途的重要保险考虑因素,为人员实施主动安全强化创建RAM:
1.识别构成其IIoT暴露的设备、流程和系统
2.安全漏洞评估和漏洞修复计划
3.安全配置评估和暴露修复计划
4.安全应用程序评估和暴露修复计划
5.安全管理和补丁评估以及暴露修复计划
6.安全数据传输和存储评估以及暴露修复计划
7.安全的固件、软件、硬件和应用程序升级以及报废评估和补救计划
8.设计、调试和运行阶段的安全集成测试、渗透测试和合规性测试以及暴露修复计划
E.物联网资源示意图
以下资源集旨在提供一些与物联网相关的常用标准和指南的摘要。不应将其视为一份全面或详尽的清单。
|
组织 |
出版物 |
摘要 |
发布日期 |
生态系统方法 |
涵盖领域 |
|
NIST(美国国家标准与技术研究所) |
SP 800-160(系统安全工程:可信安全系统工程中多学科方法的考虑因素) |
a) 将流程细分为四类: 1.协议流程 2.组织项目赋能流程 3.技术管理流程 4.技术流程 b) 专注于系统安全工程 c) 从利益相关者的角度 d) 使用国际标准 |
2016年11月15日 |
制造商和消费者视角 |
通用 |
|
IIC(工业互联网联盟) |
工业物联网卷 G4:安全框架 |
a) 将工业空间分解为三个角色: 1.构件建设者 2.系统建设者 3.运营用户 b) 将安全评估划分为: 1.终端 2.通信和连接 3.监测与分析 4.配置和管理 c) 重点关注IIoT的五个具体特征:安全、保障、隐私、可靠性和弹性 d) 从业务、功能和实施角度提供安全性 e) 精心设计的风险评估 |
2016年9月19日 |
技术视角 |
工业物联网 |
|
国土安全部 |
物联网安全的战略原则 |
a) 强调加强物联网安全的方法和建议做法 b) 为利益相关者提供工具,以便在开发、制造、实施或使用网络连接设备时全面考虑安全性 c) 重点关注以下关键领域: 1.在设计阶段纳入安全 2.推进安全更新和漏洞管理 3.以行之有效的安全实践为基础 4.根据潜在影响确定安全优先级 5.促进整个物联网生态系统的透明度 6.连接时要小心 |
2016年11月16日 |
制造商和消费者视角 |
通用 |
|
GSM协会 |
物联网安全指南 |
GSMA物联网安全指南为跨行业和服务的物联网解决方案的安全设计、开发和部署提供了最佳实践。针对与物联网服务相关的典型网络安全和数据隐私问题,该指南概述了一个循序渐进的过程,以安全地将物联网解决方案推向市场,并在其整个生命周期中保持安全。 |
2017年10月31日 |
技术视角 |
通用 |
|
GSM协会 |
物联网安全评估方案 |
本文件旨在使物联网产品、服务和组件的供应商能够自我评估其产品、服务及组件是否符合GSMA物联网安全指南。完成GSMA安全评估将使实体能够证明其为保护其产品的服务和组件免受网络安全风险而采取的安全措施。 |
2017年9月29日 |
技术视角 |
通用 |
|
IoTAA(澳大利亚物联网联盟) |
物联网安全指南 |
a) 促进物联网的“设计安全”方法 b) 协助各行业的企业、运营商和数字服务提供商(使用物联网系统或设备)更好地了解物联网设备使用的安全和隐私的实际应用 c) 提高对相关立法框架的认识 d) 协助行业了解有关隐私和安全的一些相关立法 |
2017年2月23日 |
技术视角 |
通用 |
|
OWASP(开放式Web应用程序安全项目) |
物联网安全指南 |
a) 制造商物联网安全指南 b) 开发者物联网安全指南 c) 消费者物联网安全指南 |
2017年2月14日 |
技术视角 |
通用 |
|
OTA在线信任联盟 |
物联网信任框架 |
a) 包括一套有助于保护物联网设备安全的战略原则 b) 已确定不同领域的关键原则 c) 概述了强制性要求,包括全面和安全的补丁后授权 |
2017年5月1日 |
技术视角 |
通用 |
|
IoTSF(物联网安全基金会) |
物联网安全合规框架 |
a) 提供全面实用的检查表,指导组织完成安全保证过程 b) 提供了一种系统的方法来确定组织针对业务流程和技术需求的独特安全态势 c) 设计为通用且可扩展 |
2016年6月12日 |
技术视角 |
通用 |
|
UL(保险商实验室) |
L 2900-1:网络可连接产品的软件网络安全,第1部分:一般要求 |
a) 关于软件开发人员(供应商或其他供应链成员)产品风险管理过程的要求 b) 评估和测试产品漏洞、软件弱点和恶意软件的方法 c) 关于产品体系结构中存在安全风险控制的要求 |
2017年5月7日 |
技术视角 |
通用 |
|
UL(保险商实验室) |
UL 2900-2-2:工业控制系统的特殊要求 |
本安全评估大纲适用于工业控制系统组件,包括: a) 可编程逻辑控制器(PLC) b) 分布式控制系统(DCS) c) 过程控制系统 d) 数据采集系统 e) 历史库、数据记录器和数据存储系统 f) 控制服务器 g) SCADA服务器 h) 远程终端设备(RTU) i) 智能电子设备 j) 人机界面(HMI) k) 输入/输出(IO)服务器 l) 现场总线 m) ICS系统的网络设备 n) 数据无线电 o) 智能传感器 p) 控制器 q) 嵌入式系统/控制器 |
2016年3月20日 |
技术视角 |
工业物联网 |
尾注
1关于物联网背景下互联网治理的共同责任框架的讨论,进一步阐述于:Cerf,Vinton G.和Ryan,Patrick S.和Senges,Max和Whitt,Richard S.,物联网安全和安保作为共同责任(2016年2月21日)。《商业信息学杂志》,第1期,第35期(2016),第7-19页,https://ssrn.com/abstract=2735642.
2 Klaus Schwab,“第四次工业革命:它意味着什么以及如何应对”(2016年1月14日),https://www.weforum.org/agenda/2016/01/the-fourth-industrial-revolution-what-it-means-and-how-to-respond/
3关于网络物理系统公共政策问题背景下的安全讨论,请参见Laura DeNardis和Mark Raymond,“物联网作为全球政策前沿”,51:2UC Davis L.Rev.,475(2017年12月),https://lawreview.law.ucdavis.edu/issues/51/2/Symposium/51-2_DeNardis_Raymond.pdf.
4工业互联网联合会,《工业互联网词汇技术报告V 2.0》(2017年7月),http://www.iiconsortium.org/vocab/index.htm
5世界经济论坛,“工业物联网:释放互联产品和服务的潜力”(2015年1月),http://www3.weforum.org/docs/WEFUSA_IndustrialInternet_Report2015.pdf.
6见世界经济论坛,“第四次工业革命对供应链的影响”(2017年10月),http://www3.weforum.org/docs/WEF_Impact_of_the_Fourth_Industrial_Revolution_on_Supply_Chains_.pdf
7 埃森哲科技,“物联网制胜”(2015年1月),https://www.accenture.com/us-en/insight-industrial-internet-of-things.
8 Benson Chan,“物联网与工业物联网:重要的10个差异”,物联网普及,(2017年12月14日),https://www.iotforall.com/iot-vs-industrial-iot-differences-that-matter/.
9 Bruce Schneier,“点击这里杀死所有人:有了物联网,我们正在建造一个世界大小的机器人。我们将如何控制它?”,《纽约杂志》,2017年1月27日,http://nymag.com/selectall/2017/01/the-internet-of-things-dangerous-future-bruce-schneier.html/.
10 Lily Hay Newman,“破坏互联网的僵尸网络不会消失”,《连线》杂志(2016年12月9日)。https://www.wired.com/2016/12/botnet-broke-internet-isnt-going-away/
11 Nicole Perlroth、Mark Scott和Sheera Frankel,“网络攻击袭击乌克兰然后在国际上传播”,《纽约时报》(2017年6月27日),https://www.nytimes.com/2017/06/27/technology/ransomware-hackers.html
12有关技术分析,请参阅E-ISAC、SANS ICS。“乌克兰电网网络攻击分析”(2016年3月18日),http://www.nerc.com/pa/CI/ESISAC/Documents/E-ISAC_SANS_Ukraine_DUC_18Mar2016.pdf
13 Lesley Fair,“D-Link案件指控物联网安全性不足”,联邦贸易委员会(2017年1月5日)https://www.ftc.gov/news-events/blogs/business-blog/2017/01/d-link-case-alleges-inadequate-internet-things-security
14关于监管问题和相关信息和通信技术治理机构的调查,见Ian Brown,“监管和物联网”,载于《2016年电信改革趋势:实现数字化机会的监管激励》,国际电信联盟(ITU)2016,http://www.itu.int/pub/D-PREF-TTR.17-2016.
15关于敏捷治理和动态政策制定条件的阐述,请参阅世界经济论坛,“敏捷治理:重塑第四次工业革命中的政策制定”(2018年1月)
16 https://www.ncbi.nlm.nih.gov/pmc/articles/PMC4076052/
17 https://www.ncbi.nlm.nih.gov/pmc/articles/PMC4265800/
18联合国安理会,安全理事会第2341(2017)号决议[关于恐怖主义行为对国际和平与安全造成的威胁],2017年2月13日,S/RES/2341(2017),可查阅:http://www.refworld.org/docid/58b40b6310.html
19关于私人保险和政府在行为监管方面的关系的广泛讨论,见Kyle D.Logue和Omri Ben Shahar,“外包监管:保险如何减少道德风险”111 Mich.L.Rev.197(2012),http://repository.law.umich.edu/mlr/vol111/iss2/2.
20有关此处引用的特定术语的定义列表,请参见附录。
21世界经济论坛,“提高网络弹性:董事会的原则和工具”(2017年1月),http://www3.weforum.org/docs/IP/2017/Adv_Cyber_Resilience_Principles-Tools.pdf
22来源:CRO论坛关于拟议的网络风险分类方法的概念文件。(2016年6月)可在https://www.thecroforum.org/wp-content/uploads/2016/06/ZRH-16-09033-P1_CRO_Forum_Cyber-Risk_web-2.pdf.
[1]致力于改善世界状况的世界经济论坛是国际公私合作组织。该论坛邀请了最重要的政治、商业和其他社会领导人来制定全球、区域和行业议程
[2]译者注:Mirai僵尸网络是一种针对物联网设备的病毒,它利用未更新的设备发动大规模的分布式拒绝服务攻击,导致互联网接入中断。这种网络安全风险已经从信息中断扩展到对网络物理关键基础设施的威胁。过去几年在乌克兰发生的网络攻击已经表明,这些攻击对人口产生了指数级的影响。乌克兰的电力公司和政府计算机系统都曾遭到网络攻击,导致停电和其他关键基础设施的瘫痪。
[3]译者注:音译
原文始发于微信公众号(老烦的草根安全观):工业物联网安全保障协议
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论