本文参考：security week

Ponemon Institute和工业网络安全公司Dragos发布了一份调查报告，称受安全事件影响，工控系统（ICS）或其他运营技术系统（OT）相关公司造成的平均损失约300万美元，一些公司损失过亿美元。

该报告基于Ponemon Institute对600名IT安全从业者的调查数据。29%的受访者表示，他们的组织在过去两年曾遭受勒索软件的攻击，其中超过一半称他们平均支付了超过50万美元的赎金，一些组织报告说支付了超过200万美元。

近三分之二的受访者表示，他们在过去两年中经历了ICS/OT网络安全事件。最常见的原因是内部人员疏忽、与维护相关的问题，或者由于IT和OT之间的分段不佳而导致的IT安全事件"溢出"到OT网络。

平均而言，组织需要 170 天来检测事件，花费 66 天来调查它，80 天来修正事件。根据一个六人团队检测、调查和修复事件所需的总小时数进行的计算显示，总人工成本接近 100 万美元。加上大约200万美元的停机时间、法律费用、监管罚款和设备更换费用，平均总成本约为300万美元。

在确认遭受事故的公司中，1%的公司表示ICS/OT事件造成的损失超过1亿美元，2%的公司表示成本在1000万美元至1亿美元之间。总体上，13%的受访者表示，事件使他们损失超过100万美元。

调查还确定了几个问题：

• C级高管和董事会没有定期了解其ICS / OT网络安全计划的效率，有效性和安全性;
• 许多高级管理人员缺乏对OT环境的风险和威胁的认识，这导致资源分配不足;
• OT安全的报告关系和问责制结构不合理，阻碍了OT和ICS网络安全的投资;
• 在许多组织中，ICS/ OT的网络安全成熟度水平不足。