根据对关键基础设施的调查,80%的受访者表示自2020年以来他们的安全预算有所增加。该报告对全球1,100家信息技术(IT)和在关键基础设施中工作的运营技术(OT)专业人员,研究如何应对关键挑战、提高弹性水平和2021年业务发展优先事项的分析和讨论。在报告遭到勒索软件攻击的受访者中,47%表示他们的工业控制系统(ICS)环境遭到攻击,超过60%表示他们支付了赎金,其中超过一半的赎金为5000万美元或更多。28%的受访者表示,即使在支付赎金后,他们公司的业务在袭击发生一周后仍未恢复。调查结果表明,尽管支付赎金有众所周知的缺点,但替代方案的成本(由于停机时间延长导致营业收入损失)太高,无法为大多数遭受网络攻击的企业提供理由。报告还发现,加速数字化转型和缺乏熟练的网络安全人员导致对关键基础设施的多次攻击。作为回应,许多企业高管已深入参与其网络安全实践的决策和监督。事实上,超过60%的组织让CISO集中管理运营技术(OT)和信息技术(IT)。此外,62%的受访者表示他们支持政府监管机构要求及时报告影响IT和OT/ICS系统的网络安全事件。其他主要发现和分析数字化转型、远程工作和人才短缺持续存在:自COVID-19开始以来,数字化转型持续加速,73%的企业计划以某种方式继续远程/混合工作。近90%的受访者希望雇佣更多的OT安全人员,但54%的受访者表示很难找到合适的人才。流程和技术方面的差距依然存在:勒索软件攻击仍然非常成功,尽管超过65%的受访者将他们公司的漏洞管理策略评为中度到高度主动。这可能是因为近30%的员工共享密码,57%使用用户名和密码登录,只有44%使用VPN——所有这些领域都有机会加强OT环境的弹性。旨在建立弹性的投资和优先事项:超过80%的受访者表示,自2020年以来,他们的IT和OT/ICS安全预算有所增加。在IT硬件、石油和天然气以及电力等行业,这一数字接近90%。实施新技术解决方案是网络安全的重中之重,以石油和天然气以及IT硬件行业为首,而安全培训则位居第二。Claroty首席执行官YanivVardi表示:“我们的研究表明,关键基础设施安全正处于关键时刻,威胁不断增加和演变,而且保护最重要系统的集体利益和愿望也在不断增长。希望确保他们的安全计划提升到下一个级别的安全领导者必须在其风险治理实践中考虑所有网络系统,将其IT和OT网络及资产细分,将其IT网络安全实践扩展到其OT设备,并持续监控所有网络威胁”
