科技與製造企業聯合成立工業網絡安全組織 - 《華爾街日報》

作者：金·S·納什2022年6月7日 上午6:00（東部時間）|WSJ專業版Dragos運營技術網絡應急準備團隊旨在為無力獨立承擔網絡安全防護的組織加強防禦能力，從而提升整體工業供應鏈的安全性。圖片來源：卡克佩爾·彭佩爾/路透社製造業、關鍵基礎設施機構與安全公司Dragos Inc.將於週二成立一個小組，為特別容易受到黑客攻擊的中小型工業企業提供網絡威脅情報和防護工具。

OT-CERT負責人唐·卡佩利表示，Dragos運營技術網絡應急準備團隊將效仿其他計算機應急響應小組的模式，在線免費提供評估、建議等網絡安全資源。Dragos專精於為運營技術供應商提供威脅情報和工具。

卡佩利指出，雖然中小型企業有許多針對信息技術系統的網絡安全資源可用，但鮮有機構能深入理解變電站、水處理設備、工廠車間裝置等運營技術面臨的網絡風險。

卡佩利表示，針對大型工業企業的廣為人知的攻擊事件——例如2021年天然氣運輸商Colonial Pipeline公司和肉類加工商JBS美國控股公司遭遇的黑客攻擊——可能讓小型企業產生自己不會成為黑客目標的錯覺。

“他們中許多人認為，‘黑客攻擊永遠不會發生在我身上’，”她説。

她引用了去年佛羅里達州奧爾德斯馬爾市一家水處理廠的事件，當時一名黑客短暫地將用於水處理的鹼液量提升至危險水平。這一改動在造成任何危害前被撤銷。

隨着拜登政府的新安全要求生效，工業公司預計將在網絡技術及服務上投入更多資金。

根據追蹤技術支出的ABI研究公司數據，工業關鍵基礎設施領域的全球網絡安全支出預計將在今年年底達到230億美元，並在2027年超過360億美元。

組織可以在本月申請加入OT-CERT，其資源和研討會將於7月開放，Dragos表示。創始合作伙伴包括羅克韋爾自動化公司、艾默生電氣公司、美國製造商協會，以及電力、石油和天然氣、下游天然氣和水務部門的信息共享與分析中心。

美國製造商協會首席運營官託德·博佩爾表示，OT-CERT的目標是加強那些無力獨自承擔網絡安全費用的組織的防護能力，從而提升整個工業供應鏈的安全性。該貿易組織約14,000名成員中約90%為中小型企業，他説道。

博佩爾稱，美國製造商協會提供網絡工具，但這些工具主要針對保護IT系統。與OT-CERT的合作將使其團隊能夠應對日益增長的威脅，他指出，“在OT方面，這是許多人不太瞭解的領域。惡意分子正越來越關注這一領域。”

近期針對電力、醫療等特定行業設備的一系列攻擊事件，促使美國網絡安全和基礎設施安全局發佈有關潛在漏洞利用的警告。

曾在羅克韋爾自動化擔任六年首席信息安全官（至今年四月離職）的卡佩利女士表示，網絡攻擊正日益瞄準中小型供應商，一旦惡意軟件擴散或互聯運營中斷，這將使大型客户面臨風險。

她補充説，勒索軟件和其他黑客攻擊還可能導致供應商系統癱瘓，延誤產品交付。

因此近年來，安全主管們加強了對小型商業合作伙伴的風險評估。

“我在羅克韋爾任職時，我們的第三方風險管理程序並不關注製造類供應商——除非他們能接入我們的IT網絡。如果是銅材供應商，根本無需在意。但後來這些供應商開始遭遇勒索軟件攻擊，通知你至少一個月無法供貨，“她説道，“我收到過不少這類通知函。”

聯繫記者金·S·納什，郵箱：[email protected]