并非所有網(wǎng)絡(luò)安全風(fēng)險(xiǎn)都相同，而且由于威脅不斷發(fā)展，定期執(zhí)行和更新風(fēng)險(xiǎn)評(píng)估至關(guān)重要。對(duì)于關(guān)鍵基礎(chǔ)設(shè)施尤其如此，網(wǎng)絡(luò)攻擊可能會(huì)造成危及生命的后果。但是，關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估與傳統(tǒng)IT網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估是否不同？答案是肯定的。

為了了解評(píng)估的不同之處，首先要確定風(fēng)險(xiǎn)的不同之處：

• 傳統(tǒng)IT網(wǎng)絡(luò)風(fēng)險(xiǎn)。攻擊者控制組織敏感信息的可能性和潛在財(cái)務(wù)后果。
• 關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)風(fēng)險(xiǎn)。攻擊者控制社會(huì)最重要系統(tǒng)和資產(chǎn)的可能性以及潛在物理后果。

與關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)風(fēng)險(xiǎn)相關(guān)的危險(xiǎn)程度明顯高于傳統(tǒng)IT網(wǎng)絡(luò)風(fēng)險(xiǎn)。例如，如果有人竊取你的身份并以你的名義開(kāi)立信用卡，這肯定會(huì)擾亂你的個(gè)人生活，但你不太可能對(duì)欺詐性收費(fèi)負(fù)責(zé)。相反，如果不良行為者關(guān)閉電網(wǎng)、毒害當(dāng)?shù)毓┧到y(tǒng)或破壞水庫(kù)大壩，你的家人可能會(huì)面臨生命危險(xiǎn)。足夠廣泛的關(guān)鍵基礎(chǔ)設(shè)施攻擊也可能對(duì)國(guó)家安全產(chǎn)生嚴(yán)重影響。

盡管強(qiáng)調(diào)關(guān)鍵基礎(chǔ)設(shè)施和傳統(tǒng)IT網(wǎng)絡(luò)風(fēng)險(xiǎn)之間的差異很重要，但同樣值得注意的是，現(xiàn)實(shí)世界的事件并不總是那么容易解析。例如，民族國(guó)家有時(shí)是為了偷錢(qián)而不是造成破壞;朝鮮和伊朗浮現(xiàn)在腦海。而且，盡管勒索軟件是尋求勒索私人公司的攻擊者的最?lèi)?ài)，但勒索軟件攻擊也可能對(duì)國(guó)家安全產(chǎn)生影響，想想最近的Colonial Pipeline關(guān)閉。在另一個(gè)示例中，犯罪分子可能會(huì)對(duì)醫(yī)院發(fā)動(dòng)勒索軟件攻擊以勒索金錢(qián)，但如果勒索軟件攻擊影響患者護(hù)理的提供，人們可能會(huì)遭受痛苦以及死亡。

關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估與傳統(tǒng)IT網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估

IT的使用在工業(yè)環(huán)境中很普遍。因此，關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估必須包括IT網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估所具備的所有信息風(fēng)險(xiǎn)要素。同時(shí)還必須解決很多額外的(坦率地說(shuō)，更可怕的)物理風(fēng)險(xiǎn)因素。

傳統(tǒng)的IT網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估和關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估都必須考慮以下風(fēng)險(xiǎn)情景后果：

• 收入損失
• 聲譽(yù)損失
• 股價(jià)損失
• IT事件響應(yīng)成本
• IT事件恢復(fù)成本
• 客戶影響，例如在欺詐的情況下

關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估必須權(quán)衡以下額外的風(fēng)險(xiǎn)情景后果：

• 員工受傷、疾病和死亡
• 社區(qū)傷害、疾病和死亡
• 火災(zāi)和爆炸
• 設(shè)備損壞
• 破壞周邊社區(qū)的財(cái)產(chǎn)和基礎(chǔ)設(shè)施
• 對(duì)植物和野生動(dòng)物的破壞
• 釋放毒素，危害空氣、土地和水質(zhì)
• 環(huán)境響應(yīng)和恢復(fù)成本
• 供應(yīng)鏈效應(yīng)
• 國(guó)家安全影響

風(fēng)險(xiǎn)評(píng)估員專業(yè)知識(shí)

關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估的雙重范圍使得它們比傳統(tǒng)網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估更加復(fù)雜和具有挑戰(zhàn)性，主要是因?yàn)樵u(píng)估物理風(fēng)險(xiǎn)需要額外的知識(shí)、技能和方法。

傳統(tǒng)IT網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估員和關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估員需要以下領(lǐng)域的專業(yè)知識(shí)：

• 操作和現(xiàn)場(chǎng)技術(shù)
• 工業(yè)網(wǎng)絡(luò)安全
• 運(yùn)營(yíng)監(jiān)督管理
• 工業(yè)工程
• 流程安全管理
• 健康和安全管理
• 環(huán)境風(fēng)險(xiǎn)與合規(guī)
• 環(huán)境整治
• 工業(yè)法規(guī)合規(guī)性
• 物理安全

風(fēng)險(xiǎn)評(píng)估方法

這兩種風(fēng)險(xiǎn)評(píng)估也使用不同的方法。傳統(tǒng)IT風(fēng)險(xiǎn)評(píng)估依賴于以下標(biāo)準(zhǔn)：

• 信息風(fēng)險(xiǎn)因素分析
• COBIT
• ISO 31000和ISO/IEC 27005
• NIST Special Publication 800-30
• Operationally Critical Threat, Asset and Vulnerability Evaluation Allegro

相比之下，關(guān)鍵基礎(chǔ)設(shè)施風(fēng)險(xiǎn)評(píng)估方法包括以下內(nèi)容：

• IEC 62443和61511
• 工藝危害分析(PHA)/危害及可操作性分析
• 網(wǎng)絡(luò)PHA

風(fēng)險(xiǎn)評(píng)估方法

這些評(píng)估分別涵蓋的環(huán)境也不同。傳統(tǒng)的IT風(fēng)險(xiǎn)評(píng)估包括以下內(nèi)容：

• 互聯(lián)網(wǎng)
• 云服務(wù)和應(yīng)用程序
• 企業(yè)網(wǎng)絡(luò)
• 本地服務(wù)和應(yīng)用程序
• 遠(yuǎn)程訪問(wèn)
• 信息和數(shù)據(jù)
• 賬戶、訪問(wèn)權(quán)限和特權(quán)

關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估還涵蓋以下環(huán)境：

• 操作現(xiàn)場(chǎng)區(qū)域
• 操作安全區(qū)域
• 操作控制區(qū)域
• 操作隔離/歷史區(qū)域
• 操作遠(yuǎn)程訪問(wèn)區(qū)域
• 操作信息和數(shù)據(jù)
• 操作賬戶、訪問(wèn)和特權(quán)

對(duì)關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估的建議

最重要的一點(diǎn)是，關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估比傳統(tǒng)IT風(fēng)險(xiǎn)評(píng)估更復(fù)雜，因?yàn)樗鼈兗劝瑐鹘y(tǒng)IT風(fēng)險(xiǎn)，也包含物理風(fēng)險(xiǎn)。

在進(jìn)行關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估時(shí)，請(qǐng)考慮以下建議：

• 獲得正確的第三方幫助。內(nèi)部員工可能缺乏必要的綜合專業(yè)知識(shí)來(lái)設(shè)計(jì)和進(jìn)行全面的關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估。這種情況下，你可以尋求外部組織的幫助-無(wú)論是公共還是專有組織，他們擁有豐富的關(guān)鍵基礎(chǔ)設(shè)施風(fēng)險(xiǎn)評(píng)估和保護(hù)準(zhǔn)備方面的經(jīng)驗(yàn)。
• 讓正確的內(nèi)部人員參與。雖然IT人員需要應(yīng)對(duì)數(shù)字技術(shù)威脅，但了解網(wǎng)絡(luò)威脅潛在物理影響的人員來(lái)自組織的其他部門(mén)。請(qǐng)與來(lái)自運(yùn)營(yíng)、工藝工程、技術(shù)工程、環(huán)境健康與安全以及工藝安全的內(nèi)部專家合作。
• 向執(zhí)行團(tuán)隊(duì)傳達(dá)正確的信息。執(zhí)行團(tuán)隊(duì)經(jīng)常將網(wǎng)絡(luò)風(fēng)險(xiǎn)視為IT需要解決的技術(shù)問(wèn)題。請(qǐng)幫助他們了解，當(dāng)涉及到現(xiàn)代網(wǎng)絡(luò)威脅時(shí)，更多人需要負(fù)責(zé)。單靠IT無(wú)法解決關(guān)鍵基礎(chǔ)設(shè)施問(wèn)題，這需要整個(gè)組織的參與，從工廠車(chē)間到董事會(huì)。