并非所有网络安全风险都是相同的,并且由于威胁在不断演变,因此定期执行和更新风险评估至关重要。对于关键基础设施尤其如此,网络攻击可能会危及生命。但关键基础设施网络风险评估与传统的IT网络风险评估有何不同?答案是肯定的。要了解评估的差异,首先要确定风险的差异:传统IT网络风险。攻击者控制组织的敏感信息的可能性和潜在的经济后果。关键基础设施网络风险。攻击者控制社会最重要的系统和资产的可能性和潜在的物理后果。与关键基础设施网络风险相关的危险级别明显高于传统IT网络风险。例如,如果有人窃取您的身份并以您的名义开立信用卡,这肯定会扰乱您的个人生活,但您不太可能因欺诈性收费而被追究责任。相反,如果不良行为者关闭电网、毒害当地供水或破坏水库大坝,您家人的生命可能会受到威胁。对关键基础设施的广泛攻击也可能对国家安全产生严重影响。虽然强调关键基础设施与传统IT网络风险之间的差异很重要,但也值得注意的是,现实世界的事件并不总是容易解析。例如,民族国家有时是为了偷钱而不是造成破坏;朝鲜和伊朗浮现在脑海中。而且,虽然勒索软件是想要敲诈私营公司的攻击者的最爱,但勒索软件攻击也可能对国家安全产生影响,想想最近的ColonialPipeline关闭事件。在另一个示例中,犯罪分子可能会向医院发起勒索软件攻击以勒索金钱,但如果勒索软件攻击影响到患者护理的提供,人们可能会遭受痛苦甚至死亡。关键基础设施网络风险评估与传统IT网络风险评估IT的使用在工业环境中很普遍。因此,关键基础设施网络风险评估必须包括IT网络风险评估所具有的所有信息风险要素。还有许多额外的(坦率地说,更可怕的)身体风险因素也必须解决。传统IT网络风险评估和关键基础设施网络风险评估都必须考虑以下风险情景后果:收入损失、声誉损失、股价损失、IT事件响应成本、IT事件恢复成本、客户影响,例如在欺诈的情况下,关键基础设施网络风险评估必须权衡以下额外的风险场景后果:员工受伤、生病和死亡植物和野生动物释放毒素,危害空气、土地和水质环境响应和恢复成本供应链影响国家安全影响风险评估员的专业知识关键基础设施网络风险评估的双重范围使其比传统的网络风险评估更加复杂和具有挑战性,主要是因为评估物理风险、技能和方法所需的额外知识。传统IT网络风险评估员和关键基础设施网络风险评估员需要以下领域的专业知识:运营和现场技术工业网络安全运营监督和管理工业工程流程安全管理健康和安全管理环境风险和合规环境整治工业监管合规性这两种风险评估也使用不同的方法。传统的IT风险评估依赖于以下标准:信息风险因素分析COBITIISO31000和ISO/IEC27005NIST特别出版物800-30运营关键威胁、资产和漏洞评估Allegro相比之下,关键基础设施风险评估方法包括以下内容:IEC62443和61511ProcessHazardAnalysis(PHA)/HazardandOperabilityAnalysisNetworkPHARiskAssessmentMethodology这些评估涵盖的环境也不同。传统IT风险评估包括以下内容:互联网云服务和应用企业网络本地服务和应用远程访问信息和数据帐户、访问权限和特权关键基础设施网络风险评估还涵盖以下环境:运营站点区域运营安全区域运营ControlAreaOperationalIsolation/HistoryAreaOperationsRemoteAccessAreaOperationsInformationandDataOperationsAccounts,Access,andPrivilegesRecommendationsforCriticalInfrastructureCyber??RiskAssessment最重要的一点是关键基础设施网络风险评估比传统的IT风险评估更复杂,因为它们同时包含传统IT和物理风险。在进行关键基础设施网络风险评估时考虑以下建议:获得正确的第三方帮助。内部员工可能缺乏设计和执行全面的关键基础设施网络风险评估所需的综合专业知识。在这种情况下,您可以求助于在关键基础设施风险评估和保护准备方面具有丰富经验的外部组织(无论是公共组织还是私人组织)。让合适的内部人员参与进来。虽然IT人员需要应对数字技术威胁,但了解网络威胁潜在物理影响的人员来自组织的其他部门。与来自运营、过程工程、技术工程、环境健康与安全以及过程安全的内部专家合作。将正确的信息传达给执行团队。执行团队通常将网络风险视为IT需要解决的技术问题。请帮助他们了解,当涉及到现代网络威胁时,需要追究更多人的责任。关键的基础设施问题不能单靠IT解决,需要整个组织的参与,从工厂车间到董事会。
