科技与制造企业联合成立工业网络安全组织 - 《华尔街日报》

作者：金·S·纳什2022年6月7日 上午6:00（东部时间）|WSJ专业版Dragos运营技术网络应急准备团队旨在为无力独立承担网络安全防护的组织加强防御能力，从而提升整体工业供应链的安全性。图片来源：卡克佩尔·彭佩尔/路透社制造业、关键基础设施机构与安全公司Dragos Inc.将于周二成立一个小组，为特别容易受到黑客攻击的中小型工业企业提供网络威胁情报和防护工具。

OT-CERT负责人唐·卡佩利表示，Dragos运营技术网络应急准备团队将效仿其他计算机应急响应小组的模式，在线免费提供评估、建议等网络安全资源。Dragos专精于为运营技术供应商提供威胁情报和工具。

卡佩利指出，虽然中小型企业有许多针对信息技术系统的网络安全资源可用，但鲜有机构能深入理解变电站、水处理设备、工厂车间装置等运营技术面临的网络风险。

卡佩利表示，针对大型工业企业的广为人知的攻击事件——例如2021年天然气运输商Colonial Pipeline公司和肉类加工商JBS美国控股公司遭遇的黑客攻击——可能让小型企业产生自己不会成为黑客目标的错觉。

“他们中许多人认为，‘黑客攻击永远不会发生在我身上’，”她说。

她引用了去年佛罗里达州奥尔德斯马尔市一家水处理厂的事件，当时一名黑客短暂地将用于水处理的碱液量提升至危险水平。这一改动在造成任何危害前被撤销。

随着拜登政府的新安全要求生效，工业公司预计将在网络技术及服务上投入更多资金。

根据追踪技术支出的ABI研究公司数据，工业关键基础设施领域的全球网络安全支出预计将在今年年底达到230亿美元，并在2027年超过360亿美元。

组织可以在本月申请加入OT-CERT，其资源和研讨会将于7月开放，Dragos表示。创始合作伙伴包括罗克韦尔自动化公司、艾默生电气公司、美国制造商协会，以及电力、石油和天然气、下游天然气和水务部门的信息共享与分析中心。

美国制造商协会首席运营官托德·博佩尔表示，OT-CERT的目标是加强那些无力独自承担网络安全费用的组织的防护能力，从而提升整个工业供应链的安全性。该贸易组织约14,000名成员中约90%为中小型企业，他说道。

博佩尔称，美国制造商协会提供网络工具，但这些工具主要针对保护IT系统。与OT-CERT的合作将使其团队能够应对日益增长的威胁，他指出，“在OT方面，这是许多人不太了解的领域。恶意分子正越来越关注这一领域。”

近期针对电力、医疗等特定行业设备的一系列攻击事件，促使美国网络安全和基础设施安全局发布有关潜在漏洞利用的警告。

曾在罗克韦尔自动化担任六年首席信息安全官（至今年四月离职）的卡佩利女士表示，网络攻击正日益瞄准中小型供应商，一旦恶意软件扩散或互联运营中断，这将使大型客户面临风险。

她补充说，勒索软件和其他黑客攻击还可能导致供应商系统瘫痪，延误产品交付。

因此近年来，安全主管们加强了对小型商业合作伙伴的风险评估。

“我在罗克韦尔任职时，我们的第三方风险管理程序并不关注制造类供应商——除非他们能接入我们的IT网络。如果是铜材供应商，根本无需在意。但后来这些供应商开始遭遇勒索软件攻击，通知你至少一个月无法供货，“她说道，“我收到过不少这类通知函。”

联系记者金·S·纳什，邮箱：[email protected]