E安全7月7日讯 网络犯罪不再是局限在IT行业的问题。美国国土安全部近期警告称，成千上万个工业控制系统（ICS）可能遭受远程攻击。更直白地说，ESC 8832控制器中的漏洞可以让工厂工人了解工业部门的具体运作过程。低技能攻击者可以轻易利用漏洞实施攻击。

然而更令人担忧的是，制造商表示无法修复漏洞，因为根本没有安装安全补丁的代码空间。随着针对核能设施的攻击不断攀升，需要更加严格的监管和合规确保工厂安全不断提上日程。

通过严格的监管打击网络攻击

荷兰近期通过了通知数据泄露的法案。这是一项新法律，要求荷兰的数据管理者及时通知荷兰数据保护机构（Dutch Data Protection Authority）以及受感染的个人数据被泄事件。无法及时通知将处以高达81万欧元或10%的攻击净年营业额的罚款。

这对相关组织机构而言是一个相当大的挑战，它们现在意识到，为保持合规以及避免被罚款，有必要对企业的安全成熟度进行详细评估。

如果其它欧洲国家的企业不遵守安全标准与惯例（比如IEC 62443标准），也将面临巨额罚款。今年早些时候，欧盟通过一般数据保护条例（General Data Protection Regulation,简称GDPR），这就意味着如果企业违反规定，罚款将增加。金额将远远超过英国信息专员办公室(Information Commissioner’s Office,简称ICO)的处罚规模，CIO的最高罚金为50万英镑。根据一般数据保护条例，罚款金额将增加至2000万欧元，或公司全球年营业额的4%—取最高金额。

工业面临的问题：缺乏到位的安全措施、管理和风险过程。许多企业无法确保数据泄露已经发生，因此很难确定他们是否控制系统或数据。这就意味着许多保险公司不再愿意为工业公司投保，因为工业公司正面临日益加剧的安全风险。

评估工业资产宜早不宜迟

企业要符合新规定，比如IEC 62443或一般数据保护条例就有必要从一开始评估安全成熟度。工业目前面临的问题是许多工业控制系统设计不安全，让大量网络威胁有了可乘之机。这就意味着企业多年来使用不安全的产品但却未意识到问题所在。

一些企业面临巨大的数据泄露、罚款、丧失生产力的风险，最终导致利润下降。出于这个原因，不仅需要保证制造产品从一开始经安全生产，同时企业必须评估潜在技术，确保企业不遭受数据泄露事件。

企业必须遵守不断增加的规则，这就导致大量企业开始承担风险和漏洞评估，这样有助于公司在初期识别有形产品、IT和OT系统的安全漏洞和风险。随着制造商不断采用新规定，这些服务旨在确保企业符合法律规定，避免被罚款。相关组织机构必须衡量并建立控制机制缓解风险、解决漏洞。

E安全/文 转载请注明E安全

E安全——全球网络安全新传媒