網(wǎng)絡(luò)威脅與安全之間的競爭正在加速��。在全球范圍內(nèi),網(wǎng)絡(luò)攻擊在2022年增長了38%��,去年增長了48%����。隨著網(wǎng)絡(luò)攻擊的增加�,組織需要盡一切努力來應(yīng)對這些更常見的網(wǎng)絡(luò)威脅帶來的日益嚴(yán)峻的挑戰(zhàn)��。
網(wǎng)絡(luò)威脅與安全之間的競爭正在加速�。在全球范圍內(nèi)�����,網(wǎng)絡(luò)攻擊在2022年增長了38%����,去年增長了48%。
隨著網(wǎng)絡(luò)攻擊的增加�����,組織需要盡一切努力來應(yīng)對這些更常見的網(wǎng)絡(luò)威脅帶來的日益嚴(yán)峻的挑戰(zhàn)����。顯而易見的解決方案當(dāng)然是招募具備必要網(wǎng)絡(luò)安全技能的人員來抵御這些威脅。
然而���,許多企業(yè)也在應(yīng)對更廣泛的網(wǎng)絡(luò)安全技能差距�����,這使得這種應(yīng)對日益增長的網(wǎng)絡(luò)風(fēng)險的潛在解決方案陷入了死胡同����,特別是對于那些沒有足夠預(yù)算和投資來擊敗其他競爭對手、招聘到最優(yōu)秀人才的企業(yè)來說�。
如果,招募新人才來應(yīng)對這些不斷變化的威脅不是一個可行的選擇��,那么什么才是呢?首先�����,這要認(rèn)識到網(wǎng)絡(luò)安全最佳實踐的角色和責(zé)任已經(jīng)發(fā)生了變化�。
超越網(wǎng)絡(luò)技能差距障礙
過去,網(wǎng)絡(luò)安全是一項特定的工作職能?��,F(xiàn)在�,已經(jīng)發(fā)展成為一個問題��,只能通過將網(wǎng)絡(luò)安全責(zé)任整合到整個組織的直線職能和員工職能中來解決����。
如果將這種想法具體應(yīng)用到電力行業(yè),將會描繪出一幅令人擔(dān)憂的畫面��。十年前����,電網(wǎng)運營商的高管層人員主要是工程師���,他們對電網(wǎng)技術(shù)和運營有透徹的了解,并對潛在的網(wǎng)絡(luò)風(fēng)險和威脅有一定的了解����。但也應(yīng)該注意到�,這主要是在運營技術(shù)(OT)方面��,而不是信息技術(shù)(IT)方面�,因此從安全角度對兩者如何交互的理解仍處于相對不成熟的階段��。
但如今��,由于能源轉(zhuǎn)型給電網(wǎng)運營商帶來了變革管理和財務(wù)挑戰(zhàn)�,電網(wǎng)運營商的高管級別員工主要具有咨詢或財務(wù)背景�。
雖然這也許可以從財務(wù)審慎的商業(yè)角度來理解�,但也帶來了網(wǎng)絡(luò)安全挑戰(zhàn)。迄今為止�,針對此問題廣泛選擇的解決方案是設(shè)立首席信息安全官(CISO)角色���,并將網(wǎng)絡(luò)安全責(zé)任委托給CISO。然而�,作為一個獨立的解決方案,這已經(jīng)越來越不夠了��。
CISO通常不是董事會成員�����,這意味著他們?nèi)狈Χ聲墑e的預(yù)算和決策權(quán)����,因此可能會在整個企業(yè)實施所需的變革以增強(qiáng)網(wǎng)絡(luò)安全防御方面造成障礙�����。
因此��,現(xiàn)在全企業(yè)的所有員工都有責(zé)任在反網(wǎng)絡(luò)戰(zhàn)爭的前線盡自己的一份力量��。隨著網(wǎng)絡(luò)威脅形勢的發(fā)展如此之大��,包括網(wǎng)絡(luò)黑客可以在我們工作生活中使用的日常技術(shù)中利用的接觸點呈指數(shù)級增長�����,這一點現(xiàn)在比以往任何時候都更加重要�����。
建立問責(zé)制并賦予CISO權(quán)力
為了使網(wǎng)絡(luò)安全策略與時俱進(jìn),面對能源市場持續(xù)存在的技能差距和監(jiān)管限制�,證明技能投資回報的合理性可能具有挑戰(zhàn)性,現(xiàn)在有兩個方面至關(guān)重要�����。
首先��,必須跨組織任命網(wǎng)絡(luò)安全責(zé)任和問責(zé)制�����,并在需要時提供外部第三方支持��。其次�����,必須授權(quán)安全專家獨立開發(fā)并向決策者提供意見,甚至在必要時阻止影響網(wǎng)絡(luò)安全的決策��,以最大限度地審查其網(wǎng)絡(luò)安全決策����,以確保最佳實踐。
雖然網(wǎng)絡(luò)技術(shù)在烏克蘭的影響仍然有限����,但它已發(fā)展成為戰(zhàn)爭武器,電網(wǎng)運營商已經(jīng)被卷入戰(zhàn)火���。國家在知識和技能開發(fā)方面的投資顯然無法與電網(wǎng)運營商相提并論,但盡管如此����,它們?nèi)詫⒚媾R攻擊�����。
為了創(chuàng)建應(yīng)對這些攻擊的復(fù)雜性和規(guī)模所需的知識和技能,需要新的協(xié)作工作方式來建立和維持這種知識和技能水平��。運營團(tuán)隊負(fù)責(zé)在其職責(zé)范圍內(nèi)進(jìn)行風(fēng)險分析。
具體來說�,要明確責(zé)任和決策權(quán)限�。對于每項工作職能��,應(yīng)確定專門的安全知識和技能要求��,并在明確和實用的培訓(xùn)和發(fā)展計劃中予以解決����。
在歐洲網(wǎng)絡(luò)安全網(wǎng)絡(luò)(ENCS)����,已經(jīng)確定了對運營職能、員工職能和管理職能的需求����,并為電網(wǎng)運營商開發(fā)了專門的培訓(xùn)組合,以反映應(yīng)對現(xiàn)代網(wǎng)絡(luò)威脅的整體方法�。也還看到其他關(guān)鍵基礎(chǔ)設(shè)施部門對此類培訓(xùn)的需求,包括天然氣���、水和運輸�����。
OT網(wǎng)絡(luò)安全專家是知識和技能構(gòu)建過程的關(guān)鍵,不一定對安全負(fù)有責(zé)任�����,但需要被充分授權(quán)����。
如果員工職位上的網(wǎng)絡(luò)安全專家被指派負(fù)責(zé)某些安全職能����,他們?nèi)匀徊痪邆渑c高管級別同事相同的決策權(quán)或預(yù)算;他們不能讓事情發(fā)生���,不能激勵想要的行為�����,也不能最終創(chuàng)造所需的改變規(guī)模����。
因此��,除非他們獲得授權(quán),否則將可能會看到許多有著良好意圖的同事感到沮喪并尋找其他機(jī)會�����,特別是在電力部門�,對網(wǎng)絡(luò)安全專家的保留產(chǎn)生連鎖反應(yīng)���。相反�,我們需要為OT專家提供與IT安全專家類似的職業(yè)道路和激勵措施��,包括財務(wù)激勵����。
最大限度地發(fā)揮專業(yè)知識,留住人才
盡管雇主在招聘頂級網(wǎng)絡(luò)安全人才方面存在競爭��,尤其是對于許多電網(wǎng)運營商而言����,但總有辦法靈活地適應(yīng)日益增長的威脅��。
然而��,除了電網(wǎng)運營商本身,還必須注意監(jiān)管變化���,公用事業(yè)必須繼續(xù)施壓,無論是單獨還是通過像ENCS這樣的成員組織�����。
與此同時�����,這并沒有降低他們盡一切努力通過更集體��、更協(xié)作的方法和增強(qiáng)現(xiàn)有人才能力來改善現(xiàn)有安全的重要性和緊迫性�。
