11月10日，波耐蒙研究所和工业网络安全公司Dragos发布研究报告，揭示影响工业控制系统（ICS）或其他运营技术（OT）系统的安全事件可造成平均约300万美元的损失，某些公司报告的损失甚至超过1亿美元。

　　该报告基于美国波耐蒙研究所对600名信息技术（IT）、IT安全和OT安全从业人员进行的调查数据。

　　29%的受访者承认，其所在公司在过去两年间曾遭遇过勒索软件攻击；超过半数的受访者称，平均支付了50多万美元的赎金。一些公司报告的赎金支付金额超过200万美元。

公司赎金支付金额

　　近三分之二的受访者在过去两年间经历过ICS/OT网络安全事件。内部人员疏忽、维护问题，或者因为IT和OT分隔不善而导致IT安全事件“漫溢”到OT网络，是遭遇ICS/OT网络安全事件最常见的几个原因。

　　平均而言，企业检测事件需要170天，调查事件需要66天，修复事件则需要80天。根据6人团队检测、调查和修复事件所需的总小时数，我们可以计算得出，总人工成本接近100万美元。加上大约价值200万美元的停机时间、法务费用、监管罚款和设备更换，平均总约为300万美元。

　　在确认发生网络安全事件的公司中，1%的公司表示ICS/OT网络安全事件的总成本超过1亿美元，2%的公司称成本在1000万至1亿美元之间。总体而言，13%的受访者表示，网络安全事件造成的损失超过100万美元。

　　Dragos和波耐蒙研究所发布的报告重点关注IT和OT团队之间的“文化鸿沟”及其对IT和OT环境安全的影响。

　　半数受访者将安全、IT和工程师之间的文化差异视为IT和OT团队协作的主要障碍。超过40%的受访者还提到了技术差别和明晰的工业网络风险所有权。

　　调查发现的其他问题还包括：

　　• 首席级高管和董事会未定期了解公司ICS/OT网络安全计划的效率、有效性和安全；

　　• 很多高级经理缺乏对OT环境风险与威胁的认知，导致资源分配不足

　　• OT安全的报告关系和问责结构不合理，阻碍了对OT和ICS网络安全的投入；

　　• 很多企业的ICS/OT网络安全成熟度不足。

　　报告原文：点击下载

参考阅读

工业控制系统攻击五大经验教训

[调研]98%的美国高管反馈遭网络安全事件

Gartner：将有更多CEO为网络-实体安全事件担负个人责任