技术市场分析公司Gartner预测,到2025年,黑客可能将计算机系统转化为能够致人伤亡的武器,除了人命悲剧,企业修复IT系统、应对诉讼和支付赔偿的支出可能高达500亿美元。
以往的恶意软件攻击,例如美国国家安全局的杰作震网(Stuxnet),已经证明了恶意软件是能够造成现实世界破坏而非仅仅劫掠数据的。其实网络攻击一直以来都对现实世界有影响,比如对Colonial Pipeline和美国及欧洲医院的勒索软件攻击。英国国民健康服务(NHS)就在2017年WannaCry勒索软件攻击之后一蹶不振。西方普遍认为WannaCry勒索软件攻击是朝鲜黑客国家队发起的。
Gartner预测,到2025年,黑客将可武器化运营技术(OT)环境,成功制造人员伤亡。
Gartner对OT的定义是“监测或控制设备、资产和过程的硬件与软件”,还涉及到信息物理系统(CPS):对电子医疗设备或物理基础设施的攻击就是针对OT的攻击。
Gartner高级研究总监Wam Voster表示:“运营环境中,安全与风险管理主管应更加关注人员和环境面临的现实世界危险,而不是信息盗窃。”
更令人担忧的是,Voster继续道:“Gartner针对客户的调查访问揭示,制造业、资源和公共事业等资产密集型行业中的企业难以确定恰当的控制框架。”
Gartner将OT和信息物理系统威胁分为三类:实际伤害;减少产出的商业破坏;以及造成制造商不可靠、不可信的企业声誉损害。
Gartner预测,CPS攻击致人伤亡的财务影响到2023年可高达500亿美元。
Gartner表示,企业遭受的损失将会十分巨大,包括赔偿、诉讼、保险、监管罚款和声誉损失。
然而,需要指出的是,相对于全球IT支出,这个数字还是不算大。Gartner估计,2021年全球IT支出可达4.2万亿美元。
好在,Gartner确实对控制运营技术的企业有些使用建议,比如为每个设施指定OT安全经理、员工安全意识培训、事件响应能力测试。
面对勒索软件的长期威胁,分析师也建议企业完善备份、恢复和灾难恢复功能。
此外,还需管理好可能连接OT系统的U盘等可移动媒体,仅允许其上没发现恶意代码或恶意软件的可移动媒体接入OT。企业需摸清现有IT和OT资产库存;启用实时日志和检测功能;实施安全配置和设立正式的修复过程。
