新型物理安全设备现在大多联网,保护物理安全系统免遭网络攻击的责任谁来承担的问题就值得讨论了。联网获益无穷,那网络安全谁来负责呢?
最近几年,物理安全系统依赖IT的事实越来越明显,物理安全系统越来越脆弱的事实也昭然若揭。
2007年,电影《虎胆龙威4》里就出现过犯罪团伙控制交通系统令华盛顿特区和股票交易市场陷入停滞的场景。2018年的电影《憨豆特工3》里,英国所有列车都被导向了布里斯托。
这些电影可不是凭空想象,而是有现实依据的。2016年,英国安全行业协会(BSIA)向英国民众警示了此类风险,并建议“IP入网的闭路电视监控系统(CCTV)最终用户应确保设置全面的网络安全及信息安全策略。”
虽然这些都是运营技术系统,但2019年BBC剧集《真相捕捉》就展示过怎么黑入CCTV,通过篡改系统时间框架诱导警方和安保部门的调查判定首要嫌疑人有罪。如今,这一电视桥段再次不幸成为现实。IFSEC《2020年全球视频监控报告》指出,76%的受访者担忧监控系统网络安全问题。
如果你尚未注意到这一问题,现在开始清查不失为明智的选择。物理安全系统如今还真是会遭受网络攻击了。早在2014年,英国国家基础设施保护中心(CPNI)就告诫过这种可能性。此后,网络安全快速发展,网络安全主管应与网络安全团队协作,反之亦然。
谁的责任?
但是到底该谁负责保护物理安全系统不受网络攻击侵害呢?
是系统拥有者吗?在一些人看来,这明显是物理安全主管的责任。毕竟,他们或者他们的前任购买或建议购买了这些系统不是?
但现在,他们在听到系统不安全的时候遇到了一个问题:如果攻击者通过CCTV系统攻入了IT企业电子邮件,并成功说服财务总监授权转账成千上万英镑,谁该对公司负责?
IT主管授权了CCTV系统,并将日常管理责任转给了物理安全主管,该IT主管负责吗?网络安全主管是这个领域的专家,而且在网络上实现了一系列控制措施来缓解网络攻击,那该网络安全主管负责吗?这个人必须是负责的那个?
大概吧
去年11月在14位安全专业人士中间进行的小范围调查显示,69%的受访者认为物理安全系统问题是网络问题。遭受勒索软件攻击且有所损失后,谁面临工作不保的风险,CEO/CIO/CISO还是CSO?董事会可能做出炒掉其中一位或多位的决定。
要支付赎金时,谁来执行付款操作?这是个灰色地带,但系统万一被黑,责任就会变得明确,有人就会丢掉工作。
这些问题存在简单的答案吗?是由某个人承担责任吗?或者,如某些人争辩的,难道不是安全问题人人有责?
风险管理领域可以使用RACI(负责、批准、审核、知会)表,这个表格指明了执行工作和管理风险的责任人,通常是系统或业务单元所有者。但大企业里面可能很难确定出这个人。
其他业务部门应该提供自身专业知识和技术服务,支持这位同事的工作。担任此类职务的人也应确保确实在保护系统不受攻击,无论自己是直接还是间接负责。看到有人需要帮助就伸出援助之手,既是为了他们的利益,也是为了公司的成功。
无论你认为谁最应该负责保护物理安全系统免遭网络攻击,这项工作最终都是跨部门的团队协作。
争论继续
2020年12月,LinkedIn上做了个小调查,征集安全和IT从业者的看法。调查激起的关注和评论很是令人鼓舞。
一周内,调查收到了来自安全和IT各个领域的81份反馈。IFSEC Global、安全研究全球领导者Mike Gips(专业安全全球洞察),还有转发此调查的TPSO杂志执行主编Rollo Davies助推了此项调查,帮助调查收获了各方观点。
28%票投给了物理安全主管,认为系统所有者才是负责人(假定是物理安全等),并且应该寻求其他人的支持。信息系统审计与控制协会(ISACA)应该也会根据信息系统监控认证(CRISC)研究材料中得出同样的建议。IT主管将责任分配给各个业务单元,然后系统所有者承担起责任。同样,美国工业安全学会(ASIS)CSO组织标准阐述道,CSO负责总体安全风险,可以向受相应部门安全团队支持的业务单元主管委派“一些”责任。因此,物理安全主管应向网络安全主管需求支持,提供降低风险所需的专业服务。
安永会计师事务所(EY)网络顾问Brian Allen评论道:“这个问题上,系统所有者,也就是CSO,充当了物理安全设备的角色,负责网络环境中的系统状态。我得说,CSO就是系统所有者,数字环境中资产保护的责任人有责任让防护达到利益相关者(CSO)要求的程度。”
图:调查数据
63%的受访者选择了网络安全主管,回复中包括了高级物理安全人员和高级网络安全人员。这是最有趣的地方,某种程度上讲,也是预期结果。这一结果反映了此前调查中69%的受访者认为物理系统问题实际上是网络问题的结论。
多年来,无论是物理安全界还是网络安全界,很多人都认为物理安全人员不是网络安全专家,不应该试图管理网络安全风险。也有一群人努力多年,认为这是个高度复杂的融合安全领域,想要帮助保护物联网和物理安全设备。但由于物联网安全从业人员多为各自领域的专业人士,很多此类系统明显未受保护。这么说是因为,如果大多数人认为应该由网络安全主管负责,而实际上应该是由物理安全主管负责,那就会出现问题。
事实上,没几个物理安全主管知道怎么保护自己的系统不受网络攻击侵害,觉得网络安全主管会做这事儿。然而,网络部门应付自身解决方案安全漏洞(如SolarWinds)、勒索软件威胁和在家办公压力之类新风险都已经分身乏术了。很多情况下,CCTV和楼宇管理系统(BMS)之类的问题甚至都排不上网络安全主管的待办事项列表。
CISO或网络安全主管有多少时间投入到这些问题上?随着能源行业遭受攻击数量上升,随着最近杜塞尔多夫大学医院遭受勒索软件攻击导致一名病患死亡,运营技术问题逐渐引起重视。但只要官方观点认为运营技术问题属于物理安全的责任,那么业内就必须正视这一问题并采取行动。
9%的人投给了IT主管。很明显,部分IT和安全人员认为IT主管应承担全部责任,再将日常系统运行委派给业务单元。这个答案当然合乎情理,表明公司意识到所有系统的网络安全问题很重要。
IT系统应自我防护,到2024年,CEO还将担负起个人责任。我们都知道,一些先进的CCTV系统是自我防护的,但很遗憾,这不是主流。
调查中没有列出CSO选项,部分原因在于此类高级职位比较少,而调查希望得到的答案是物理安全或网络安全。不过,要是能看看都有谁会选CSO也挺有趣。CSO好歹能委派安全防护任务给物理安全主管或网络安全主管。
物理安全主管完全了解网络安全明显有困难,于是协作和组建跨职能团队解决常见风险就具有现实意义了。而且,正如IFSEC融合安全中心所展现的,如果想要即时发现风险,就更要重视监控这些系统上的实时攻击。但如果控制室缺乏实时网络安全监控技术,物理安全主管又怎能期望看到这些攻击呢?
所以,我们需要融合安全运营中心,并且推进到数字时代。没有融合技术,控制室里的人员根本无法知道摄像头掉线到底是因为网络攻击还是物理攻击。
倒不是要盗版布鲁斯·威利斯,但如果他能在《虎胆龙威4》里跟黑客合作拯救股市于恶意接管,为什么我们不可以?
IFSEC《2020年全球视频监控报告》:
https://www.ifsecglobal.com/downloads/the-video-surveillance-report-2020/
声明:本文来自数世咨询,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。