为网络物理系统制定安全策略

二月初，一个不知名的黑客远程访问计算机系统并试图将供水中的氢氧化钠含量增加到潜在的危险水平。

一名操作人员注意到了入侵，但这一事件表明，当网络世界和物理世界相交时，潜在的危害。这些cyber-physical系统引入一组新的风险，很少有安全和风险领导者不得不考虑这些风险。

下载电子书:2021年安全和风险管理领导者的首要任务

尽管企业IT安全普遍为人所知并得到管理，但网络物理系统对传统的安全方法提出了挑战。这是因为这些系统处理的不仅仅是信息;他们管理和优化物理结果，从个体过程到整个生态系统。

在高德纳(Gartner)最近的一项调查中，安全与风险领域的领导者将最具竞争力的企业排在了首位物联网(物联网)和网络物理系统是他们未来3到5年最关注的问题。

“由于它们的本质，网络物理系统面临着与影响企业IT系统不同的安全威胁，”他说Katell Thielemann， Gartner的副分析师。“它们通常用于为组织创造价值的操作或关键任务环境中，因此攻击者越来越多地瞄准它们。”

将你的风险视角扩展到信息物理系统

术语信息物理系统包括物联网、智慧城市和系统等概念操作技术(OT)和IT融合。通过使用更广泛的术语，Gartner鼓励安全和风险领导者超越IT安全，开发包含整个网络物理风险范围的安全程序。

Gartner预测，到2025年，50%的资产密集型企业，如公用事业、资源和制造企业，将把他们的网络、实体和供应链安全团队合并到一个公司首席安全官角色直接向首席执行官汇报。

风险是真实存在的

对网络物理系统的一些类型的威胁可以追溯到很久以前，例如，内部威胁。2000年，一个心怀不满的承包商操纵SCADA无线电控制排污设备向当地公园倾倒80万升未经处理的污水。

最近，勒索软件攻击也出现了这种情况破坏了天然气管道，停止物流业务而且钢铁生产中断．GPS欺骗已受到影响船舶导航黑客入侵了一家赌场的高风险赌客数据库通过一个水族馆．

阅读更多:如何应对供应链攻击

还有一些新出现的威胁需要注意。例如，5G有许多好处，如更快的通信，但安全标准复杂，有针对性的攻击可能会增加。其他新出现的威胁载体包括无人机、智能电网和自主车辆．

规划网络物理系统安全

首先记录您的组织的业务战略，确定您的企业特有的技术驱动因素和环境趋势，并将它们映射到一个广泛的网络物理风险视图。

使用“业务之声”的语言来布局远景陈述，直接将组织的信息物理系统的安全和风险概况与业务成果联系起来。

例如，公用事业公司对网络物理安全的设想可以是:

“我们将确保从我们的处理设施和传输基础设施到客户的所有操作都是安全、有弹性、合规和安全的，从而提供可靠、经济和高质量的电力服务。”

然后，遵循经典战略规划过程将愿景正式化为行动

“与大多数IT网络安全威胁不同的是，网络物理威胁越来越令人担忧，因为它们可能会产生这种影响影响范围广泛从单纯的烦恼到失去生命，”蒂勒曼说。