摘要
信息安全风险评估已有相对成熟的框架、标准、指南等指导性文件,但随着对工业网络安全认知的深化以及数字化转型背景下工业网络开放化、智能化的发展,以信息为中心的安全风险评估已无法适用于面向OT的网络安全风险评估。工业网络风险评估的前提也是重要的基础,就是对工业网络风险要有共同的通用的理解和认知。本文结合信息安全风险的概念,从网络风险对工业场景产生物理上的影响或后果的角度,给出了工业网络风险的定义及计算公式。
一、引言
风险管理作为一个学科,要比网络安全早几百年。这些风险通常根据公司治理和流程以不同的成熟度级别进行管理。类似的风险包括财务风险、声誉风险、环境风险、竞争风险、安全(safety)风险和经营风险。充分理解这些风险,并遵循一致的过程来评估和沟通整个组织的风险,是企业领导者面临的重大课题。
工业网络风险也是如此。关注网络风险管理的组织将拥有与财务风险或安全风险类似的治理结构。事实上,任何通用的风险管理流程都可以适用于包括工业网络风险。由于风险管理是一种更为成熟的业务实践,网络风险从业者在适用的情况下利用现有的标准和知识体系将是有意义的。但这一切的前提就是,基于对工业网络特殊性的理解,对工业网络风险有明确的认知和界定。
二、以IT为中心的网络风险
由于参与网络安全管理的利益相关者多种多样,在描述风险时使用通用有共识的定义是至关重要的。不幸的是,“网络风险”历来被定义为一个以信息为中心或者以IT为中心的概念,主要关注的是数据泄露。虽然工业组织也需要了解信息网络风险,但更重要的是定义特定于操作技术或工业的网络风险(Industrial cyber risk)。
根据美国国家标准与技术研究所(NIST)的定义,“网络(cyber)”指的是“信息和通信网络”。但是,对于关键基础设施和工业组织,对Cyber更为恰当的定义是:用于信息和/或运营能力的数字技术和通信网络。
类似地,“风险”被定义为“考虑到威胁的潜在影响和威胁发生的可能性,信息系统的操作对组织运营、资产或个人产生的影响水平。”
在我国信息安全标准术语中,对“风险”的定义是这样:一个指定的威胁利用一项资产或多项资产的脆弱点、并由此造成对组织的损害的潜在可能。它是根据事件的概率和其后果的组合来衡量的。
GB/T20984-2007《信息安全技术-信息安全风险评估规范》中将信息安全风险(information security risk)定义为:人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响。将风险评估定义为:依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资 产价值来判断安全事件一旦发生对组织造成的影响。
GB/T26333-2010 《工业控制网络安全风险评估规范》中对工业控制网络安全风险评估定义为:依据有关信息安全技术与管理标准,考虑工业控制网络的特殊性,对工业控制网络及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资 产价值来判断安全事件一旦发生对工业企业造成的影响。
GB/T 36466-2018 《工业控制系统风险评估指南》中没有对工业控制系统风险评估进行明确的定义,但其规范引用了GB/T20984-2007《信息安全技术-信息安全风险评估规范》和GB/T31509-2015《信息安全技术-信息安全风险评估实施指南》,即沿用了这两个标准中安全风险和风险评估的概念。
可以看到,上述对风险或风险评估的界定,都是以信息为中心的,或者说是面向IT的定义。由于操作技术(OT)将数字命令转化为现实世界的物理影响,即IT域的风险一样会对OT域产生影响或后果,特别是在IT与OT融合发展的背景下,有必要对工业领域的风险概念进行扩展,同时将工业组织面临的风险与其可能产生的影响/后果联系起来才更有意义。
三、面向OT的工业网络风险
OT系统的所有者和操作人员都非常精通灾难恢复和业务连续性,这与物理影响密切相关。工业组织可能已经利用过程危害分析、安全评估和其他业务影响工具来评估“灾害风险”。“这些工具也可以用来讨论工业控制系统中网络风险的影响。
灾害风险(disaster risk)得益于数十年的研究和多种模型,其结构明显多于网络风险。联合国减灾办公室将灾害风险定义为“某一系统、社会或社区在特定时间内可能发生的生命损失、伤害以及资产破坏或损坏的可能性,这是由危险、暴露、脆弱性和能力的函数来决定的。
工业组织和关键基础设施运营商必须管理具有重大潜在影响的风险。在讨论如何管理网络风险之前,定义什么是网络风险是至关重要的。这个定义需要从运营、业务影响、法律、财务和安全的角度来理解网络风险——没有任何利益相关方能够单独定义和管理网络风险。
认识到工业组织的复杂性,需要将IT和OT网络风险与灾难恢复的具体概念结合起来。网络风险的定义必须与工业组织内的其他形式的业务风险相一致,例如法律、财务和可靠性风险。因此,这里将工业网络风险的定义为:用于运营能力的数字技术和通信网络的故障或错误操作可能造成的生命损失、人身伤害、资产损坏、经济损失和其他损害。
工业网络风险的评估在流程上可能与传统信息风险评估的流程一致,但最大的区别在于影响分析。即在工业网络风险评估中有一个影响分析步骤。
每个组织都需要利用客观的影响标准来帮助风险评估。基于业务影响,这个准则可以用来衡量特定风险对组织的严重程度。这些准则可以通过统一映射影响,帮助不同级别的工程师、管理人员、风险领导者和高管应对工业网络风险。参照ISA/IEC 62443-1和NIST SP 800-82,可设计如下有关财务、功能安全、业务连续性、环境、声誉、国家层面六方面的影响准则。
描述 | 影响评级 |
财务方面: 财产损失和恢复成本不超过XX$。 | 非常低 |
功能安全: 轻微伤害的可能性;没有人死亡。 | |
业务连续性:短期(最多X天)业务中断/费用。 | |
环境方面:没有环境影响。 | |
声誉方面:没有名誉损害或丧失公众信心。 | |
国家层面: 对组织以外的业务部门的影响很小或没有影响。对行业服务几乎没有影响。 | |
财务方面:恢复成本和财产损失方面的损失为X到Y美元。 | 低 |
功能安全:现场受伤并不普遍;现场以外不会有伤亡。 | |
业务连续性:短期(>X天到Y周)业务中断/费用。 | |
环境方面:只对事故现场地点造成轻微环境影响,而须在少于X年的时间内进行恢复。 | |
声誉方面:声誉或公众信心的损失较低;查询可能的监管;重要的当地媒体报道。 | |
国家层面:潜在影响业务部门或当地行业服务。 | |
财务方面:恢复成本和财产损失方面的损失超过X到Y美元。 | 中 |
功能安全:现场广泛的伤害的可能性;现场以外不会有伤亡。 | |
业务连续性:中期(X周到Y周)业务中数断/费用。 | |
环境方面:对厂站和/或厂站以处的环境影响,Y年后才能恢复。 | |
声誉方面:中等程度的声誉或公众信心损失;监管措施;国家媒体报道。 | |
国家层面:潜在影响业务部门或当地行业服务。 | |
财务方面:恢复成本和财产损失方面的损失超过X到Y美元。 | 高 |
功能安全:X至Y个人员现场死亡的可能性;可能有场外受伤。 | |
业务连续性:长期(X月到Y月)业务中数断/费用。 | |
环境方面:对现场和/或场外的环境影响非常大,需要在Y至Z年内恢复。 | |
声誉方面:声誉或公众信心的严重丧失;法律诉讼;全国媒体的广泛报道。 | |
国家层面:对组织以外的业务部门的影响。扰乱行业服务。 | |
财务方面:恢复成本和财产损失方面的损失超过X美元。 | 非常高 |
功能安全:大规模灾难造成场外人员死亡的可能性;现场多人死亡的可能性。 | |
业务连续性:非常长期(X月/年)业务中数断/费用。 | |
环境方面:对现场及/或场外造成重大环境影响,需要较长X年恢复/恢复的机会较低。 | |
声誉方面:声誉或公众信心的高度丧失;国际新闻报道。 | |
国家层面:对组织以外的业务部门的影响。扰乱社区服务或国民经济。 |
四、工业网络风险计算
一个更加以OT为中心的网络风险计算公式:网络风险=后果×威胁×漏洞;
通过结果驱动的方法,网络风险及其相关影响可以从工程和可靠性输入中受益,如PHA(过程风险分析)和FMEA(失效模式和影响分析)。这些评估可能已经存在于工业组织中,它们提供了关于可能导致控制系统不可靠、不安全以及可能具有破坏性状态的条件的详细信息——这在以IT为中心的网络风险模型中是不存在的。
由于与物理影响和可靠性的联系,工业网络风险应该包括来自灾难恢复和业务连续性的其他概念。灾害风险与网络风险有着极其相似的公式:
这里的三个变量分别是:
危险:导致损失的不利事件;
暴露:受不利事件威胁的财产、人员、工厂、环境;
漏洞:暴露风险于不利事件面前的脆弱性;
然而,在灾害风险中,还有一个概念是“应对能力”或灾害期间的可管理性。第四个元素定义了系统在事件发生后响应以减轻损失的能力。这就重新定义了灾害风险公式:
工业网络风险管理流程结合了结果驱动的ICS安全原则和业务恢复概念的最佳实践。在OT安全(security)中,了解网络安全事件可能产生的各种影响(物理损害、健康和人身安全、财务损失、声誉等)是很重要的,这些影响可能已经被评估为危害分析、财产保险研究和其他围绕工程过程一部分。事实上,与传统的以信息为中心的网络安全模型相比,对“后果”的分析更符合灾害风险。然而,另一方面,网络威胁具有独特的优势,能够危及“暴露”资产。因此,工业网络风险公式必须摄取威胁信息,以检查威胁行为者追求的具体后果。
工业网络风险公式的最后一个要素,很大程度上借鉴了围绕“能力”的灾难恢复概念。传统网络安全意义上的漏洞,从数字角度来看,在工业环境中无处不在。然而,对于OT安全专业人员来说,有很多方法可以利用手工恢复或加强缓解和限制,以防止漏洞被利用。这些能力通过缓解和恢复技术降低与特定漏洞相关的总体严重程度。由于这必须结合工程和网络安全,因此工业网络风险公式是经典的以IT为中心的网络风险公式和业务连续性概念的综合体:
利用这个新的公式,工业组织必须考虑建立风险管理程序,明确几个关键的原则性概念:
· 建立清晰的沟通以及角色和责任,跨IT和OT能力的网络风险,包括网络风险和灾难风险是如何关联的。
· 创建一个可重复的过程来评估影响,在可能的情况下利用业务连续性和/或功能安全影响分析。
· 使用每个业务单元的通用术语来描述风险。
· 评估相关威胁,特别注意可能影响工业过程的能力,这可以与结果驱动分析相联系。
· 保持一致的方法来评估网络风险。
· 利用工程、IT和OT团队的专业知识建立“风险所有者”和评估成功的标准。
· 使用行业组织可用的所有方法,包括技术和程序控制、监控和保险,处理已评估的网络风险。
· 理解OT系统总是会有残余风险的因素,这些风险永远不会被消除,但可以通过工程和财务控制进行管理。
传统的单纯的IT网络风险计划不能满足建立OT网络风险管理计划所需基本要素。保护工业过程需要多学科的方法,以工程学为基础,以物理世界的影响为基础。OT网络风险管理在保护企业方面发挥着关键作用,但运营技术(OT)需要根据独特的威胁、后果、漏洞以及它们的弹性运行能力,重新考虑网络风险。