科技市场分析公司Gartner预测,到2025年,黑客可能会将计算机系统变成可造成人员伤亡的武器。赔偿金可能高达500亿美元。过去的恶意软件攻击,例如美国国家安全局的杰作Stuxnet,已经证明恶意软件可以造成现实世界的破坏,而不仅仅是掠夺数据。事实上,网络攻击一直对现实世界产生影响,例如勒索软件攻击美国和欧洲的ColonialPipeline和医院。英国国民健康服务体系(NHS)在2017年WannaCry勒索软件攻击事件后,一片狼藉。西方普遍认为,WannaCry勒索软件攻击是由朝鲜黑客国家队发起的。Gartner预测,到2025年,黑客将能够将操作技术(OT)环境武器化,从而成功造成人员伤亡。Gartner对OT的定义是“监视或控制设备、资产和流程的硬件和软件”,还涉及网络物理系统(CPS):对电子医疗设备或物理基础设施的攻击就是对OT的攻击。Gartner高级研究总监WamVoster表示:“在运营环境中,安全和风险管理主管应该更多地关注现实世界对人和环境的危险,而不是信息窃取。”更令人担忧的是,Voster继续说道:“Gartner的目标客户调查访谈显示,资产密集型行业(如制造业、资源和公用事业)的组织难以确定合适的控制框架。”Gartner将OT和网络物理系统威胁分为三类:实际危害;破坏;制造商不可靠和不值得信赖的企业声誉受损。Gartner预测,到2023年,CPS攻击伤亡的财务影响可能高达500亿美元。Gartner表示,企业的成本将是巨大的,包括赔偿、诉讼、保险、监管罚款和声誉损害。不过,需要指出的是,相对于全球IT支出,这个数字并不大。Gartner估计,2021年全球IT支出将达到4.2万亿美元。幸运的是,Gartner确实对控制运营技术的企业提出了一些建议,例如为每个设施指定一名OT安全经理、员工安全意识培训和事件响应能力测试。面对勒索软件的长期威胁,分析人士还建议企业完善备份、恢复和灾难恢复功能。此外,需要对OT系统可能连接的U盘等可移动介质进行管理,只允许未发现恶意代码或恶意软件的可移动介质访问OT。组织需要映射现有的IT和OT资产清单;启用实时记录和检测功能;实施安全配置并建立正式的补救流程。
