导言：当前风险状况的基础--"我们是如何走到这一步的？

美国制造商面临着众多网络安全挑战，这些挑战威胁着他们的运营，降低了生产力，并危及他们的知识产权和数据。在过去两年中，制造业一直是勒索软件攻击的最大目标行业，[1]2023 年，制造商在每次攻击中平均花费 182 万美元，这还不包括任何赎金支付[2]。

制造业务通常依赖于各种相互交织的系统，而这些系统在设计时并未考虑到网络安全问题，这一简单的现实加剧了这些网络安全挑战和风险。改造这些系统既昂贵又复杂。但是，拥有更现代化系统的制造商也难逃风险。虽然技术和连通性在生产运营中的快速集成带来了前所未有的创新和效率，但同时也成倍地扩大了网络攻击的范围，并产生了新类别的漏洞。

下载报告

同样存在问题的是，应对网络攻击的复杂程度、频率和成本都在增加。根据网络安全公司 Sophos 最近的一项研究，在 2023 年 1 月至 3 月期间，56% 的制造业调查对象遭遇过勒索软件攻击。[3 ]其中，只有四分之一的公司在数据被完全加密之前挫败了攻击，超过三分之一的公司不得不支付赎金以恢复数据。

为了应对各种网络安全挑战，美国制造商必须采取全面的方法来保护其运营和数据，并建立一个既能保护公司又有助于提高盈利能力的系统。在本文中，我们首先概述了制造商面临的五大网络安全挑战，确定了管理这些风险的方法，并介绍了制造商在解决这些问题时需要考虑的法律和保险因素。接下来，我们提出了有可能开创智能、安全制造新时代的新方法，将网络安全从成本中心转变为价值驱动型利润中心。最后，我们将介绍公私合作伙伴关系在应对网络安全挑战方面的力量。

I.应对网络安全挑战的复杂局面

要采用整体方法来保障运营和保护数据，就必须考虑制造运营中固有的众多网络安全挑战。在不贬低特定制造商所面临的其他独特挑战的重要性的前提下，以下是日常面临的五大挑战。

1.工业物联网（IIoT）的普及

第一个挑战源于工业物联网 (IIoT) 的日益普及（见下图 A）。虽然这些 IIoT 设备和自动化系统提高了生产率和效率，但它们的安全性往往不足，扩大了网络犯罪分子和民族国家对手的攻击面。单个设备的漏洞可能引发连锁效应，导致整个制造网络被渗透、运营中断、数据泄露，甚至对工人造成人身伤害。

图 A[6］

2.熟练的网络安全专业人员短缺

制造业缺乏熟练的网络安全专业人员，这是企业面临的一个重大问题，可能会升级为国家安全挑战。制造商需要既了解错综复杂的工业流程，又了解如何确保这些流程安全的专家。如果没有这些专家，企业就可能成为各种攻击载体的受害者，造成经济损失和生产力下降。在国家层面，民族国家的对手积极寻找网络漏洞，利用这些漏洞削弱美国的关键制造能力。

3.供应链脆弱性

供应链漏洞对美国制造商和全球经济构成严重威胁。交织在一起的全球供应链网络支撑着制造业的运营，使网络犯罪分子有能力瞄准并利用供应链中最薄弱、最不安全的环节。2023 年，针对供应链的网络攻击显著增加，尤其是针对第三方软件、硬件和服务的攻击。

网络犯罪分子将目标对准网络安全基础设施不那么强大的小型组织，然后可以利用被入侵的第三方来访问和入侵这些实体所提供的制造商的系统。供应链中的任何薄弱环节都可能导致在产品中引入恶意代码或后门，或危及整个网络系统。因此，制造商在选择外部合作伙伴时必须更加谨慎，必须进行更严格的合规性验证，以审查这些潜在合作伙伴所使用的网络工具。

4.弥合 IT-OT 差距

信息技术（IT）和运营技术（OT）的融合以及不同安全文化之间可能出现的沟通不畅也会造成另一个漏洞。信息技术侧重于数据完整性和保密性，而运营技术则强调安全性和可靠性。在没有适当调整和沟通的情况下合并这些领域，可能会导致混乱、配置错误和漏洞，从而被网络犯罪分子利用。

5.不断演变的网络威胁格局

网络犯罪分子的资金和资源日益充足，这些国家不仅想破坏我们的制造商，还想破坏全球经济。他们的威胁手段也在不断变化，从传统的恶意软件到零日漏洞和勒索软件攻击，不一而足。随着网络犯罪分子不断演变并以制造业为目标，制造商应该预料到会有更多细微的攻击会降低制造业的生产率，并损害制造商的基础设施和员工。制造商必须通过采取预防措施、实施下一代安全防御架构和本文稍后讨论的其他技术，主动保持领先地位。

美国制造商面临着复杂且快速发展的网络安全形势。IIoT 的集成、供应链的漏洞、训练有素的专业人员的短缺、IT-OT 的融合以及无数的协议（和提供 "解决方案 "的供应商）都是造成这一挑战的原因。虽然单个公司承担着网络安全的风险和成本，但美国制造商所面临的集体风险汇总起来，会对美国和全球经济构成重大威胁。

II.当今的网络风险管理

制造商需要采用综合、多方面的方法来降低网络安全风险。这种新方法必须发展更快，比对手更敏捷，并引入创新，为物理流程 提供可验证的安全保证。在数字世界和物理世界相互连接的时代，确保制造流程和数据的安全对于确保美国制造业的全球竞争力和恢复力至关重要。

制造商不应让自己有虚假的安全感。例如，"安全架构 "一词可能具有误导性，因为它

意味着周边防御和数据安全的结合；
通常涉及仅适用于运营或供应链有限方面的不适当安全控制；
很少或根本没有考虑现实世界的实际后果；以及
往往只符合合规要求。

目前，已有许多有效的工具。不过，这些工具主要侧重于防止入侵者访问网络--通过实施强有力的安全措施来实现外围防御。这些措施包括防火墙、入侵检测和防御系统、安全访问控制和空气阻隔。通过控制对网络的访问，制造商可以降低入侵的可能性。此外，对员工网络安全培训和意识的投资也能进一步降低风险，因为人的因素是最大的网络安全风险。员工往往是抵御网络威胁的第一道防线，因此培训他们识别网络钓鱼邮件、社交工程企图以及优盘等便携式设备的相关风险至关重要。

定期更新软件至关重要。这些更新通常可以防止最近暴露的已知漏洞。最近，网络安全和基础设施安全局（CISA）发布了一份联合网络安全咨询报告，确认威胁行为者通常会瞄准较旧的软件漏洞，因为这些漏洞通常是入侵目标的低成本和有影响的方法。制造商清楚地认识到，过时的软件隐藏着成千上万的网络漏洞，网络犯罪分子可以加以利用。通过维护整个系统的最新软件，制造商可以关闭攻击者的潜在入口。然而，仅仅打补丁并不总是足够的；企业需要应用建议的检测技术进行持续监控。在某些情况下，攻击者可以对更新进行反向工程，找到利用新漏洞变种绕过已发布补丁的方法，[9]这就强调了企业持续监控其网络和系统的必要性。

因此，与第三方厂商和供应商合作也能降低风险。最近推出的制造业信息共享与分析中心 (ISAC)(https://www.mfgisac.org/) 是有关最新网络威胁的宝贵公共信息来源。ISAC 提供关键信息，帮助制造商确保自身系统的安全和保护。制造商还可以利用 ISAC 的信息，要求其供应商遵守更高的网络安全标准，从而大大降低供应链遭受攻击的风险。美国还资助了负责保护美国制造商安全的组织，包括网络安全制造创新研究所（CyManII）。

此外，制造商必须保持网络意识，熟悉各种工具和安全框架，如美国国家标准与技术研究院 (NIST)、美国国防部 (DoD)、美国能源部 (DOE)、美国国家安全局 (NSA) 和联邦调查局 (FBI) 以及 CISA 文件。这些组织提供了有关 "热点 "网络威胁以及如何主动缓解这些威胁的信息。制造商还应制定事故响应计划，并准备好如何应对，包括如何报告事故以及向谁报告。

制造商可以通过部署先进的威胁检测和响应机制，在持续的网络安全战争中领先一步。例如，入侵检测系统可持续监控网络流量的可疑模式，而高级分析和机器学习可帮助识别异常情况，这些异常情况往往预示着正在发生的网络攻击。此类系统与全面、训练有素的快速事件响应计划相结合，可在发生可疑入侵时进一步将损失降至最低。

遗憾的是，仅靠这些预防措施可能仍不足以保护制造商。关键是要记住根本问题：所使用的系统在设计时没有考虑到安全性。虽然上述可用的 "附加 "方法有助于加强安全性和防范网络攻击，但也只能起到这样的作用。制造商必须不断发展并实施新的创新战略，以确保美国制造商的安全，维持和发展经济，并保持全球竞争力。

技术立方体 — "制造商可以通过部署先进的威胁检测和响应机制，在当前的网络安全战争中领先一步"。

III.法律影响、义务和责任

除上述网络安全风险外，制造商还应了解各种法律义务和影响，包括潜在的重大财务和法律责任。

1.现行立法和法律义务

为应对日益严重的网络安全威胁，美国出台了各种立法和行政行动，以加强对关键基础设施的保护。在联邦层面，这些行动包括但不限于

2018 年网络安全和基础设施安全局（CISA）法案: 该法案设立了 CISA，作为负责保障关键基础设施安全的牵头联邦机构。CISA 的职能和作用包括
- 快速部署：CISA 的职责包括向受影响的实体迅速部署资源和支持，以减轻持续的网络威胁。
- 事件分析：CISA 将对报告的事件进行分析，以确定模式和趋势，提高有效应对新威胁的能力。
- 威胁情报共享：CISA 将促进各实体之间高效的威胁情报共享，促进集体网络安全防御态势。
关键基础设施网络事件报告法》（CIRCIA）：CIRCIA 于 2022 年 3 月签署成为法律，规定关键基础设施公司（包括关键制造部门的公司）必须分别在 72 小时和 24 小时内向 CISA 报告重大网络安全事件和勒索软件付款。
美国证券交易委员会（SEC）：2022 年 3 月，美国证券交易委员会提出一项规则，要求上市公司报告网络安全事件、网络安全能力以及董事会的网络安全专业知识和监督情况。
国防联邦采购条例补充规定》（DFARS）：与国防部签订合同的制造商必须遵守 DFARS，该法规对承包商提出了具体的网络安全要求。这包括保护受控非机密信息 (CUI) 和遵守 NIST 特别出版物 800-171 标准。不遵守这些要求可能导致合同终止和法律后果。
联邦能源管理委员会 (FERC)： FERC 为能源行业制定了网络安全标准，以保护国家的关键能源基础设施。遵守 FERC 法规对能源相关制造商和公用事业公司至关重要。不遵守规定可能会导致处罚、许可证丢失以及能源网可靠性受损。

遵守 CIRCIA 和 FERC 等法律规定的报告要求至关重要。不遵守这些要求可能会导致严重的处罚和法律后果。虽然 CISA 要到 2024 年 3 月才能制定并最终确定要求受保护实体向 CISA 报告受保护网络事件和勒索软件付款的法规，[10]但我们鼓励在法规制定期间积极主动地共享信息。因此，CISA 所定义的 16 个关键基础设施部门中的实体（包括关键制造部门中的实体）以及所有在美国证券交易委员会注册的公司都必须考虑并准备向相关机构报告事件，并遵守适用法规。

新出现的州立法：包括科罗拉多州、佛罗里达州、马里兰州和纽约州在内的几个州正在积极制定与关键基础设施网络安全相关的立法。虽然这些法案尚未通过，但成为法律可能只是时间问题[11]。

这些立法措施旨在改善信息共享，制定网络安全标准，加强公私合作伙伴关系，以保护关键基础设施。然而，承保实体必须着手准备并确保在发生网络事件时合规。

2.潜在的法律责任

一旦发生网络安全事件，制造商将面临各种法律责任，因此在应对事件时应考虑这些问题。

数据保护法：如果网络安全攻击涉及个人数据泄露，制造商可能会面临基于数据保护法的责任。例如，如果一家制造公司控制着大量的个人数据，包括客户或员工数据，它将受到数据保护法的约束，如欧盟的《通用数据保护条例》（GDPR）、《加利福尼亚州隐私权法案》（CPRA）以及美国其他州的综合数据隐私法。不遵守这些法律会导致巨额的监管罚款和处罚，根据 GDPR，罚款和处罚可高达全球年营业额的 4% 或 2,000 万欧元。此外，制造商还可能因受影响的个人提起集体诉讼而面临巨大的责任。同样，不遵守 CIRCIA 等联邦要求也会导致制裁、罚款或直接停业。
董事和高管责任：制造公司的董事和高管对股东负有受托责任，可能因被控违反受托责任而面临法律索赔。例如，董事或高管的谨慎责任可被解释为实施合理网络安全措施的义务。如果网络安全攻击导致重大经济损失，董事和高管可能因违反注意义务而被追究责任。同样，如果网络安全攻击是由于未能适当审查和监控供应商或其他第三方的网络安全政策和程序造成的，制造商可能会面临指控其违反所要求的注意义务的潜在索赔。股东也可能提起诉讼，指控董事和高管在应对网络安全风险方面的疏忽造成了经济损失。
知识产权 (IP) 影响：涉及知识产权损失或披露的网络安全事件，尤其是在工业间谍案件中，可能导致代价高昂的法律责任。
合同义务：如果网络安全攻击破坏了制造商履行合同义务的能力，制造商可能要承担违约责任。合同中通常包含与所需数据保护和网络安全相关的条款，不履行这些合同义务可能会导致各种法律后果。

3.网络保险考虑因素

应对日益增多的网络威胁和遵守不断增长的法律要求可能代价高昂。网络保险在降低与网络威胁相关的财务风险方面发挥着至关重要的作用。制造商应仔细考虑网络保险的各个方面。这些保险通常由两个主要部分组成：

第一方保险：这方面的保险涉及制造商因网络事件而产生的直接费用。它包括数据泄露应对、业务中断和数据恢复费用的保险。例如，如果勒索软件攻击导致业务中断，业务中断险可以帮助补偿停机期间的收入损失。
第三方保险： 第三方保险涉及网络事件引发的责任问题。它包括对法律费用的保护，例如因数据泄露、隐私侵犯和知识产权盗窃而引起的相关诉讼。制造商还可获得监管罚款和处罚的保障。

确定适当的网络保险级别和范围，首先要进行全面的风险评估。制造商应评估潜在的经济损失、法律责任、合规成本和声誉损失，以便根据具体需求和风险承受能力适当调整保险范围。

IV.积极应对网络风险

真正的网络安全需要的不仅仅是昂贵的、永无止境的 "附加 "应用。制造商必须与网络和法律专家合作，开发具有以下特点的 "安全防御架构"：

在整个供应链中实施数字化工程生命周期；
将每项操作、每台机器和每个人都视为数字化设计中的一个 "节点"，将供应链与操作无缝集成；
在网络物理身份（护照）中捕捉每个节点，提供
- 保证物理功能；
- 将安全性与产品质量和能源/排放效率（体现能源）联系起来；以及
可扩展到多个域的可验证安全属性。

作为 "安全可防御架构 "的一部分，制造商必须开发网络物理护照，确保所有供应链 "天生合格 "并 "植根于信任"。下图 B 展示了我们今天所处的位置（蓝色三角形）以及美国制造商需要开发和部署的相继创新。重要的是，该图还反映了我们如何设想在三个方面取得进展：网络安全；质量和诚信；以及生产力、能效和去碳化。

因此，一种综合而大胆的方法将网络安全从成本中心转变为利润中心。网络安全投资的利润回报途径包括：(a) 验证产品的完整性和质量，以此作为销售优势；(b) 优化设施和供应链网络层面的能效和减排。网络安全从一种无休止的、无法验证结果的投资转变为一种投资战略，在提高质量和完整性、减少能源消耗和排放的同时，为物理流程和产品提供可验证的安全保证。

图 B

还必须考虑另一个因素--网络漏洞检测和缓解。在网络威胁迅速发展的情况下，解决网络弱点、枚举和漏洞问题对于降低网络风险至关重要。网络弱点是指系统设计或实施中的缺陷或易发性。出现这些弱点的原因可能是编码错误、配置不当、安全控制不足或人为错误。枚举包括系统地探测目标系统，收集有关其架构、服务和潜在入口点的信息。网络漏洞是系统安全中的漏洞，可被利用来获得未经授权的访问、破坏操作或窃取数据。这些漏洞可能源于软件漏洞、过时软件或薄弱的验证机制。

目前，制造商通过软件更新 "修补 "网络漏洞。然而，鉴于漏洞的数量庞大且不断增长，许多人认为这种方法过于昂贵且不可扩展。取而代之的是，制造商必须制定全面的网络弱点清单（每个弱点都反映了数千到数百万个漏洞），对其进行分类和列举，然后制定专门的攻击附件来指导缓解策略。MITRE 等组织在 CyManII 和许多公司的协助下，已经制定了一份全面的网络弱点清单(https://cwe.mitre.org/)，CyManII 正在制定制造业攻击附件，以使美国制造商能够应对以前所未有的规模增长的弱点（和漏洞）。

另外一个挑战是，中小型制造商（SMM）目前缺乏托管安全服务提供商（MSSP）的专业知识。中小型制造商往往将其安全工作外包，认为自己的网络需求已得到充分满足，但在面对勒索软件时才发现情况并非如此。许多 MSSP 夸大了自己的能力和对 SMM 关键功能的可见性，同时由于缺乏劳动力和利润空间，他们的运营人员不足。CyManII 建议 SMM 尝试通过互助解决方案和适当的工具进行自我修复，而不是简单地依赖第三方。CyManII 正在为此开发生成式人工智能，并正确实施与及早妥善应对企图入侵相关的安全控制。将这种方法与针对整个常见弱点枚举（CWE）类别的攻击附件相结合，具有开创性意义。我们可能正处于将网络安全从笨重的青春期带入成熟期的十字路口。

我们还必须为制造商培养一支具有网络意识的员工队伍。为此，我们必须开发并实施大规模的培训。CyManII 开发了一套广泛的以制造业为重点的 OT-ICS 课程，可通过面授、虚拟和在线方式提供。利用这种方法，并与多个合作伙伴（中小企业 ToolingU、Cyber Readiness Institute 等）合作，我们正在迅速接近 100 万名工人获得网络安全方面的技能提升。为美国制造商增加这一技能组合可提高运营的网络安全性，同时最大限度地减少因网络攻击造成的停机和生产问题。

数据智能英雄形象。 — 网络安全是一项团队运动，公私伙伴关系使最强大的团队能够协同工作--或者说 "Secure.TOGETHER"。

V.公私合作伙伴关系在应对制造业网络威胁中的力量

制造业正处于技术进步和网络安全风险升级的十字路口。在这个数字化时代，公私合作伙伴关系（PPP）成为应对和减轻美国制造商面临的网络威胁的强大力量（也是 CIRCIA 合规性的重要组成部分）。PPP 在政府、私营公司和网络安全专家之间建立协作、合作和合同关系。这种协同作用可利用各部门的力量，共同加强对网络威胁的防御。通过汇集资源、知识和专长，公私伙伴关系制定了全面的综合战略，将新的创新引入市场。

制造商可通过获取实时威胁信息、最佳实践指导和实施全行业标准，从公私伙伴关系中获益。最重要的是，公私伙伴关系让企业参与研究、开发并在其生产运营和设施中部署新的网络创新，使制造商能够更好地防范不断变化的漏洞。

网络安全是一项团队运动，公私伙伴关系使最强大的团队能够协同工作--或者说是 "Secure.TOGETHER"。在这个时代，网络威胁可能破坏运营、泄露专有数据、影响国家安全并威胁我们的经济，公私伙伴关系提供了一个强大的防御机制。联合公共和私营部门至关重要，因为这些公私伙伴关系是加强制造业网络复原力和确保数字世界持续增长的关键。

关于 CyManII 的更多信息

CyManII 于 2020 年由美国能源部发起，致力于与制造业、研究和学术机构以及联邦政府机构合作，开发能够确保美国制造业安全和增长的技术。Foley & Lardner 目前是 CyManII 的成员。

有关制造商面临的网络安全风险的更多信息，请参阅《制造业网络安全威胁管理建议》（Recommendations for ManagingCybersecurity Threats in Manufacturing Sector），该报告也是由 Foley & Lardner 和 CyManII 共同撰写的。

作者

合作伙伴

312.832.4367

协理

312.832.4389

首席执行官
网络安全制造创新研究所

[1] "X-Force Threat Intelligence Index 2023"，IBM Security，2023 年 2 月。

[2]《2023 年制造和生产领域的勒索软件状况》，Sophos，2023 年 6 月（对拥有 100-5000 名员工的 14 个国家的制造商进行的调查）。

[3] 同上。

[4] 同上。

[5] 同上。

[6]"物联网采用率加快将有利于数字经济"，Delta2020，2016 年 11 月 29 日。网址：https://delta2020.com/blog/150-an-accelerating-iot-adoption-rate-will-benefit-the-digital-economy

[7]《2023 年第二季度威胁态势报告：所有道路都通向供应链渗透》，Kroll，2023 年。

[8]"CISA、国家安全局、联邦调查局和国际合作伙伴就 2022 年最常被利用的漏洞发布咨询意见"，国家安全局/中央安全局，2023 年 8 月 3 日。见https://www.nsa.gov/Press-Room/Press-Releases-Statements/Press-Release-View/Article/3481350/cisa-nsa-fbi-and-international-partners-issue-advisory-on-the-top-routinely-exp/。

[9]"Finding Something New About CVE-2022-1388," VulnCheck, April 13, 2023.网址：https://vulncheck.com/blog/new-cve-2022-1388

[10]CISA 必须在 CIRCIA 颁布后 24 个月内发布拟议规则制定通知 (NPRM)，因此 NPRM 的截止日期为 2024 年 3 月。

[11]"2022年网络安全立法"，州立法机构全国会议，2022年7月22日。网址：https://www.ncsl.org/technology-and-communication/cybersecurity-legislation-2022

[12]数字工程生命周期是指开发和管理数字产品或系统的端到端过程。它涵盖了从概念化到报废的各个阶段，包括设计、模拟、原型开发、测试、部署和维护等活动。从本质上讲，它是一个综合框架，利用数字技术和工具来简化和增强传统的工程流程。

您认为网络安全只是一个成本中心？再想想吧。

亚伦-坦特洛夫

亚历克斯-米萨基安

霍华德-格兰姆斯