驚異的な83%の企業がサイバーセキュリティ違反に見舞われました

A HOLD フリーリリース 8 | eTurboNews | | eTN

Skybox Securityによる新しい調査研究では、組織の83%が過去36か月間にオペレーショナルテクノロジー(OT)のサイバーセキュリティ違反に苦しんでいることがわかりました。 調査では、組織がサイバー攻撃のリスクを過小評価していることも明らかになりました。CIOとCISOの73%は、組織が来年にOT違反を被ることはないと「非常に確信しています」。

「企業はOTに依存しているだけでなく、一般の人々はエネルギーや水などの重要なサービスをこのテクノロジーに依存しています。 残念ながら、サイバー犯罪者は、重要なインフラストラクチャのセキュリティが一般的に弱いことを十分に認識しています。 その結果、脅威の攻撃者は、OTに対するランサムウェア攻撃が報われる可能性が非常に高いと考えています」とSkyboxSecurityのCEO兼創設者のGidiCohenは述べています。 「悪が無関心で繁栄するのと同じように、ランサムウェア攻撃は、何もしないことが続く限り、OTの脆弱性を悪用し続けます。」

新しい調査であるオペレーショナルテクノロジーのサイバーセキュリティリスクは大幅に過小評価されており、ネットワークの複雑さ、機能のサイロ、サプライチェーンのリスク、限られた脆弱性修復オプションで構成される、OTセキュリティが直面する困難な戦いを明らかにしています。 脅威アクターは、これらのOTの弱点を利用して、個々の企業を危険にさらすだけでなく、公衆衛生、安全、および経済を脅かします。

2021年の調査からの重要なポイントは次のとおりです。

•組織はサイバー攻撃のリスクを過小評価しています。全回答者の83%が、組織が来年にOT違反を経験しないことを「非常に確信している」と回答しました。 それでも、36%は、過去XNUMXか月間に少なくともXNUMX回のOTセキュリティ違反があったとも述べています。 これらの施設の重要性にもかかわらず、実施されているセキュリティ慣行はしばしば弱いか存在しません。

•認識と現実の間のCISOの切断CIOとCISOの37%は、来年もOTセキュリティシステムが侵害されないことを確信しています。 攻撃の影響を直接経験したプラント管理者のわずかXNUMX%と比較して。 OTシステムが脆弱であると信じることを拒否する人もいれば、次の違反が間近に迫っていると言う人もいます。

•コンプライアンスはセキュリティと同等ではありません今日まで、コンプライアンス基準はセキュリティインシデントの防止には不十分であることが証明されています。 規制と要件の遵守を維持することは、すべての回答者の最も一般的な最大の関心事でした。 重要なインフラストラクチャに対する最近の攻撃に照らして、規制順守要件は引き続き増加します。

•複雑さがセキュリティリスクを増大させる39%が、マルチベンダーテクノロジーによる複雑さはOT環境を保護する上での課題であると述べています。 さらに、全回答者のXNUMX%が、セキュリティプログラムを改善する上での最大の障壁は、中央の監視なしに個々のビジネスユニットで意思決定が行われることであると述べています。

•サイバー賠償責任保険は約XNUMX%が十分であると考えており、回答者のXNUMX%がサイバー賠償責任保険が十分な解決策であると考えていると述べています。 ただし、サイバー賠償責任保険は、調査回答者の上位XNUMXつの懸念事項のXNUMXつである、ランサムウェア攻撃に起因するコストのかかる「失われたビジネス」をカバーしていません。

•エクスポージャーとパス分析はサイバーセキュリティの最優先事項ですCISOとCIOの48%は、実際のエクスポージャーを理解するために環境全体でパス分析を実行できないことが、セキュリティ上の40つの懸念事項のXNUMXつであると述べています。 さらに、CISOとCIOは、OT環境とIT環境にまたがるばらばらのアーキテクチャ(XNUMX%)とITテクノロジーの統合(XNUMX%)が、セキュリティリスクの上位XNUMXつのうちのXNUMXつであると述べました。

•機能的なサイロは、プロセスのギャップとテクノロジーの複雑さにつながります。CIO、CISO、アーキテクト、エンジニア、およびプラントマネージャーはすべて、OTインフラストラクチャを保護する上での最大の課題のXNUMXつとして機能的なサイロを挙げています。 OTセキュリティの管理はチームスポーツです。 チームメンバーが異なるプレイブックを使用している場合、一緒に勝つ可能性は低くなります。

•サプライチェーンとサードパーティのリスクが大きな脅威である回答者の46%が、ネットワークへのサプライチェーン/サードパーティのアクセスは、セキュリティリスクの上位XNUMXつのうちのXNUMXつであると述べています。 それでも、OTに適用されるサードパーティのアクセスポリシーとして組織を挙げたのはわずかXNUMX%でした。

引用符のサポート

•Navistar、Inc。、情報セキュリティマネージャーのRobert Lynch:「一部のCISOは、すでに侵害されているにもかかわらず、まだこれを特定していないため、誤った信頼を持っている可能性があります。 時々ハッカーは彼らの足場を確立するために長期間そこにいます。 悪者はとても良いので、自信を持つのは危険です。」

•SkyboxSecurity ResearchLabの脅威インテリジェンスリードSivanNir:「私たちの脅威インテリジェンスは、OTの新しい脆弱性が46年上半期と比較して2020%増加したことを示しています。脆弱性の増加と最近の攻撃にもかかわらず、多くのセキュリティチームはOTセキュリティを企業の優先順位。 どうして? 驚くべき発見のXNUMXつは、一部のセキュリティチームの担当者は、脆弱性を否定しているにもかかわらず、侵害されたことを認めていることです。 彼らのインフラストラクチャは安全であるという信念は、それとは反対の証拠にもかかわらず、不十分なOTセキュリティ対策につながっています。」

詳細については、完全な調査研究をダウンロードしてください。

方法論

調査研究には、米国、英国、ドイツ、オーストラリアの179人のOTセキュリティ意思決定者からの回答が含まれていました。 回答者の大多数(152人)は、製造業、エネルギー、公益事業で1億ドル以上の収益を上げている企業からのものでした。 

著者,

リンダ・ホーンホルツのアバター

リンダ・ホーンホルツ

の編集長 eTurboNews eTN本社に拠点を置いています。

ニュースレター登録
通知する
ゲスト
0 コメント
インラインフィードバック
すべてのコメントを見る
0
ご意見をお聞かせください、コメントしてください。x
共有する...