标准20252022年8月,英国一家供水公司遭到网络犯罪攻击,黑客获取了客户银行信息。虽然供水行业面临的网络安全威胁并不新鲜,但公用事业的数字化使风险成倍增加。
供水公司和所有关键基础设施组织面临的最大网络安全隐患是,攻击者可能会控制其IT或OT(运营技术)系统,窃取数据并阻止或中断运营。因此,IEC为IT和OT制定了网络安全标准和合格评定程序。
对IT和OT系统的网络攻击通常会产生不同的后果。网络攻击对信息技术的影响通常表现为经济损失,而对关键基础设施的网络攻击可能会影响环境、损坏设备,甚至威胁公众健康和生命。
有三种主要类型的攻击者:一是那些为了炫耀技能而这样做的人;二是那些想在勒索金支付之前阻止访问计算机系统的罪犯;三是国家支持的攻击者,他们试图在所谓的网络战中访问关键基础设施。后者构成了最严重的、未被发现的威胁。
在实施网络安全战略时,必须考虑OT和IT系统的不同优先级。IEC通过世界上最著名的两个网络安全标准提供了相关和具体的指导:用于OT的IEC 62443和用于IT系统的ISO/IEC 27001。
公用事业面临的许多风险源于多年前安装的遗留系统的持续使用。这些系统通常具有最小的网络安全功能(如果有的话),并呈现出极易受数字攻击的桌面。
公用事业公司必须对其安全系统进行全面评估,以便采取正确措施保护其系统免受攻击。行动可能包括用网络安全设备替换现有的不安全设备,使用防火墙,或隔离IT和OT网络,以确保未经授权的用户无法访问关键运营网络。
供水公司与其供应链合作伙伴之间的合作对于确保整个系统的安全至关重要。他们必须使用相同的、值得信赖的国际标准,包括:IEC 62443-2政策和程序
IEC 62443-3系统级要求
IEC 62443-4组件和要求
IEC 62443的一个关键概念——组织可以提供经过认证的设备,但这些设备必须正确安装并满足系统级别的要求。然后,公用事业公司应强制执行如标准中所述的员工和其他授权用户的最佳做法。
不幸的是,未来针对供水部门和其他公用事业的网络攻击的规模和复杂性可能会增加。攻击者总是会找到新的方法来渗透系统。
好消息是,在人工智能的驱动下,应对风险的技术正在快速发展,并朝着完全自动化的方向发展。国际标准制定人员正在跟上步伐。
然而,最重要的是,仅靠硬件或软件无法实现强大的安全性。正如ISO/IEC 27001和IEC 62443所要求的那样,实现恢复力需要一个解决人员、政策、产品和程序的整体战略。