虽然大多数工业组织机构认为已做好准备应对网络安全事件，但这种信心毫无根据。卡巴斯基实验室发布的调查报告显示，去年，工业控制系统（ICS）公司每秒就会经历1至5起安全事件。工业组织机构平均每年花费的无效网络安全成本高达49.7万美元（约合337万元）。

新兴工业4.0趋势正让全球工业组织机构将网络安全视为头等大事，同时工业4.0也为ICS增加了新挑战：包括IT和运营技术（OT）的融合，以及向外部提供商提供工业控制网络。为了更深入了解ICS组织机构如今面临的问题和挑战，卡巴斯基实验室和Business Advantage组织今年2月至4月对359位工业网络安全从业人员进行了调查。

调查发现，ICS事件的现实与感知存在差距。83%的调查对象认为已做好准备应对OT/ICS事件，接受调查的一半公司过去十二个月经历了1至5起安全事件，4%的公司经历的安全事件超过6起。既然问题如此严峻，那么这些组织机构的IT安全策略和保护措施应当作何改变，以便更有效保护关键业务数据和技术流程。

ICS公司很清楚它们面临的风险：74%的调查对象认为，基础设施可能会遭遇网络安全攻击。尽管调查对象对新威胁（例如针对性攻击和勒索软件）有很高的意识，但大多数ICS组织机构的最大痛点仍然是传统恶意软件，这是56%的调查对象最担心的攻击媒介，在这方面感知与现实相符，去年，受访对象每秒都必须缓解传统恶意软件带来的影响。

然而，员工的失误和无意行为对ICS组织机构构成的威胁远远大于供应链、合作伙伴的失误以及外部攻击者带来的破坏和物理破坏。但是，ICS组织机构最担心的前三大威胁也包括外部攻击者。

前三大事件经验后果包括：

产品和服务质量受到影响；

专利或保密信息丢失；

以及生产减少或损失。

86%的调查组织机构已经制定并通过了ICS网络安全政策，旨在保护自身免受潜在完全事件影响。但事件经验证明，网络安全政策还不够。由于缺乏内部和外部IT安全专业知识，工业组织机构承认，缺乏ICS安全技能让它们最头疼。其原因在于，这说明工业组织机构并非一如既往地做好了打击攻击的准备，它们时常处于被攻击的边缘。有时，工业组织机构会被内部员工出卖。一名德国产品制造厂的ICS从业人员承认，内部威胁更危险。公司在全力防御外部威胁，但威胁却从内部产生。内部威胁源于内部员工，这通常毫无察觉。

令人宽慰的是，ICS从业人员采用的安全策略看起来十分有力。大多数公司已经放弃将物理隔离作为安全手段，而是采取综合的网络安全解决方案。接下来12个月，一些调查对象计划采用工业异常检测工具并培训员工的安全意识。但必须承认的是访问组织机构工业控制网络的外部提供商加大了威胁面。

卡巴斯基实验关键基础设施保护负责人安德烈·苏沃洛夫表示，IT和OT系统的互联性引发了更多安全挑战，需要董事会成员、工程师和IT安全团队做好应对准备。他们需要深入了解威胁形势，采取深思熟虑的保护措施，并提高员工意识。网络威胁就在身边，最好做好万全准备。