详细内容或原文请订阅后点击阅览
网络安全:解决运营技术风险所需的改进
GAO 的发现运营技术 (OT) 系统和设备用于控制分配过程(例如石油和天然气管道)和生产系统(例如发电)等。图 1 使用管道系统作为说明性示例显示了 OT 系统的关键组件。图 1:管道运营技术 (OT) 系统的关键组件尽管 13 个选定的非联邦实体中有 12 个引用了网络安全和基础设施方面积极经验的示例安全局 (CISA) 的 OT 产品和服务、CISA 和七个非联邦实体确定了两类相关挑战。具体来说:七个选定的非联邦实体将使用 CISA 产品和服务的负面体验视为一项挑战。例如,一个非联邦实体告诉 GAO,通过 CISA 流程报告的漏洞通常从首次报告漏洞到公开披露之间需要一年多的时间(见图 2)。CISA 官员和一个非联邦实体发现,具备必要 OT 的 CISA 工作人员不足技能作为挑战。例如,CISA 官员表示,其负责威胁搜寻和事件响应服务的 4 名联邦雇员和 5 名承包商人员不足以同时应对影响多个地点 OT 系统的重大攻击。为了应对这些类型的挑战,最佳实践强调 (1) 衡量客户服务和 (2) 执行有效的劳动力规划的重要性。然而,CISA 尚未完全解决这些做法。在 CISA 这样做之前,该机构将无法以最佳方式提供解决 OT 风险所需的产品和服务。 图 2:网络安全和基础设施安全局 (CISA) 运营技术 (OT) 网络安全产品和服务 七个选定机构中的六个引用了示例他们与 CISA 的合作在解决网络 OT 风险方面取得了积极成果。然而,四个机构还指出了与 CISA 协调方面的两个挑战:(1) CISA 与关键基础设施所有者和运营商无法有效地共享信息,以及 (2) CISA 和管道和危险材料安全管理局缺乏与所有者共享网络威胁信息的流程为了应对这些类型的挑战,采用领先的协作实践非常重要。然而,在与七个选定机构协调时,CISA 并未完全解决任何五个选定的领先协作实践(见表)。网络安全和基础设施安全局 (CISA) 在多大程度上与七个选定的机构解决了选定的领先协作实践以减轻网络运营风险关键基础设施面临的技术风险 协作实践 CESER DC3 FRA NSA PHMSA TSA USCG 定义共同成果 ◑ ◑ ◑ ◑ ◑ ◑ ◑ 确保问责制 ○ ○ ◑ ○ ◑ ◑ ◑ 弥合组织文化 ◑ ◑ ◑ ◑ ◑ ◑ ◑ 明确角色并重新制定
来源:美国政府问责局__信息安全信息美国政府问责署的发现
运营技术 (OT) 系统和设备用于控制配送流程(例如石油和天然气管道)和生产系统(例如发电)等。图 1 以管道系统为例,展示了 OT 系统的关键组件。
图 1:管道运营技术 (OT) 系统的关键组件
虽然 13 个选定的非联邦实体中有 12 个列举了使用网络安全和基础设施安全局 (CISA) OT 产品和服务的积极体验,但 CISA 和 7 个非联邦实体发现了两种相关挑战。具体来说:
7 个选定的非联邦实体将使用 CISA 产品和服务的负面体验视为挑战。例如,一家非联邦实体告诉 GAO,通过 CISA 流程报告的漏洞从首次报告漏洞到公开披露通常需要一年以上的时间(见图 2)。
使用 CISA 产品和服务的负面体验CISA 官员和一个非联邦实体认为,缺乏具备必要 OT 技能的 CISA 人员是一个挑战。例如,CISA 官员表示,其威胁搜寻和事件响应服务中的四名联邦雇员和五名承包商人员不足以同时应对影响多个地点 OT 系统的重大攻击。
缺乏具备必要 OT 技能的 CISA 人员为了应对这些类型的挑战,最佳实践强调了 (1) 衡量客户服务和 (2) 执行有效的劳动力规划的重要性。但是,CISA 尚未完全解决这些做法。在 CISA 这样做之前,该机构将无法以最佳状态提供解决 OT 风险所需的产品和服务。
图 2:网络安全和基础设施安全局 (CISA) 运营技术 (OT) 网络安全产品和服务
CESER
◑