網(wǎng)絡(luò)威脅與安全之間的競(jìng)爭(zhēng)正在加速。在全球范圍內(nèi),網(wǎng)絡(luò)攻擊在2022年增長(zhǎng)了38%,去年增長(zhǎng)了48%。隨著網(wǎng)絡(luò)攻擊的增加,組織需要盡一切努力來(lái)應(yīng)對(duì)這些更常見的網(wǎng)絡(luò)威脅帶來(lái)的日益嚴(yán)峻的挑戰(zhàn)。
網(wǎng)絡(luò)威脅與安全之間的競(jìng)爭(zhēng)正在加速。在全球范圍內(nèi),網(wǎng)絡(luò)攻擊在2022年增長(zhǎng)了38%,去年增長(zhǎng)了48%。
隨著網(wǎng)絡(luò)攻擊的增加,組織需要盡一切努力來(lái)應(yīng)對(duì)這些更常見的網(wǎng)絡(luò)威脅帶來(lái)的日益嚴(yán)峻的挑戰(zhàn)。顯而易見的解決方案當(dāng)然是招募具備必要網(wǎng)絡(luò)安全技能的人員來(lái)抵御這些威脅。
然而,許多企業(yè)也在應(yīng)對(duì)更廣泛的網(wǎng)絡(luò)安全技能差距,這使得這種應(yīng)對(duì)日益增長(zhǎng)的網(wǎng)絡(luò)風(fēng)險(xiǎn)的潛在解決方案陷入了死胡同,特別是對(duì)于那些沒有足夠預(yù)算和投資來(lái)?yè)魯∑渌?jìng)爭(zhēng)對(duì)手、招聘到最優(yōu)秀人才的企業(yè)來(lái)說(shuō)。
如果,招募新人才來(lái)應(yīng)對(duì)這些不斷變化的威脅不是一個(gè)可行的選擇,那么什么才是呢?首先,這要認(rèn)識(shí)到網(wǎng)絡(luò)安全最佳實(shí)踐的角色和責(zé)任已經(jīng)發(fā)生了變化。
超越網(wǎng)絡(luò)技能差距障礙
過(guò)去,網(wǎng)絡(luò)安全是一項(xiàng)特定的工作職能。現(xiàn)在,已經(jīng)發(fā)展成為一個(gè)問題,只能通過(guò)將網(wǎng)絡(luò)安全責(zé)任整合到整個(gè)組織的直線職能和員工職能中來(lái)解決。
如果將這種想法具體應(yīng)用到電力行業(yè),將會(huì)描繪出一幅令人擔(dān)憂的畫面。十年前,電網(wǎng)運(yùn)營(yíng)商的高管層人員主要是工程師,他們對(duì)電網(wǎng)技術(shù)和運(yùn)營(yíng)有透徹的了解,并對(duì)潛在的網(wǎng)絡(luò)風(fēng)險(xiǎn)和威脅有一定的了解。但也應(yīng)該注意到,這主要是在運(yùn)營(yíng)技術(shù)(OT)方面,而不是信息技術(shù)(IT)方面,因此從安全角度對(duì)兩者如何交互的理解仍處于相對(duì)不成熟的階段。
但如今,由于能源轉(zhuǎn)型給電網(wǎng)運(yùn)營(yíng)商帶來(lái)了變革管理和財(cái)務(wù)挑戰(zhàn),電網(wǎng)運(yùn)營(yíng)商的高管級(jí)別員工主要具有咨詢或財(cái)務(wù)背景。
雖然這也許可以從財(cái)務(wù)審慎的商業(yè)角度來(lái)理解,但也帶來(lái)了網(wǎng)絡(luò)安全挑戰(zhàn)。迄今為止,針對(duì)此問題廣泛選擇的解決方案是設(shè)立首席信息安全官(CISO)角色,并將網(wǎng)絡(luò)安全責(zé)任委托給CISO。然而,作為一個(gè)獨(dú)立的解決方案,這已經(jīng)越來(lái)越不夠了。
CISO通常不是董事會(huì)成員,這意味著他們?nèi)狈Χ聲?huì)級(jí)別的預(yù)算和決策權(quán),因此可能會(huì)在整個(gè)企業(yè)實(shí)施所需的變革以增強(qiáng)網(wǎng)絡(luò)安全防御方面造成障礙。
因此,現(xiàn)在全企業(yè)的所有員工都有責(zé)任在反網(wǎng)絡(luò)戰(zhàn)爭(zhēng)的前線盡自己的一份力量。隨著網(wǎng)絡(luò)威脅形勢(shì)的發(fā)展如此之大,包括網(wǎng)絡(luò)黑客可以在我們工作生活中使用的日常技術(shù)中利用的接觸點(diǎn)呈指數(shù)級(jí)增長(zhǎng),這一點(diǎn)現(xiàn)在比以往任何時(shí)候都更加重要。
建立問責(zé)制并賦予CISO權(quán)力
為了使網(wǎng)絡(luò)安全策略與時(shí)俱進(jìn),面對(duì)能源市場(chǎng)持續(xù)存在的技能差距和監(jiān)管限制,證明技能投資回報(bào)的合理性可能具有挑戰(zhàn)性,現(xiàn)在有兩個(gè)方面至關(guān)重要。
首先,必須跨組織任命網(wǎng)絡(luò)安全責(zé)任和問責(zé)制,并在需要時(shí)提供外部第三方支持。其次,必須授權(quán)安全專家獨(dú)立開發(fā)并向決策者提供意見,甚至在必要時(shí)阻止影響網(wǎng)絡(luò)安全的決策,以最大限度地審查其網(wǎng)絡(luò)安全決策,以確保最佳實(shí)踐。
雖然網(wǎng)絡(luò)技術(shù)在烏克蘭的影響仍然有限,但它已發(fā)展成為戰(zhàn)爭(zhēng)武器,電網(wǎng)運(yùn)營(yíng)商已經(jīng)被卷入戰(zhàn)火。國(guó)家在知識(shí)和技能開發(fā)方面的投資顯然無(wú)法與電網(wǎng)運(yùn)營(yíng)商相提并論,但盡管如此,它們?nèi)詫⒚媾R攻擊。
為了創(chuàng)建應(yīng)對(duì)這些攻擊的復(fù)雜性和規(guī)模所需的知識(shí)和技能,需要新的協(xié)作工作方式來(lái)建立和維持這種知識(shí)和技能水平。運(yùn)營(yíng)團(tuán)隊(duì)負(fù)責(zé)在其職責(zé)范圍內(nèi)進(jìn)行風(fēng)險(xiǎn)分析。
具體來(lái)說(shuō),要明確責(zé)任和決策權(quán)限。對(duì)于每項(xiàng)工作職能,應(yīng)確定專門的安全知識(shí)和技能要求,并在明確和實(shí)用的培訓(xùn)和發(fā)展計(jì)劃中予以解決。
在歐洲網(wǎng)絡(luò)安全網(wǎng)絡(luò)(ENCS),已經(jīng)確定了對(duì)運(yùn)營(yíng)職能、員工職能和管理職能的需求,并為電網(wǎng)運(yùn)營(yíng)商開發(fā)了專門的培訓(xùn)組合,以反映應(yīng)對(duì)現(xiàn)代網(wǎng)絡(luò)威脅的整體方法。也還看到其他關(guān)鍵基礎(chǔ)設(shè)施部門對(duì)此類培訓(xùn)的需求,包括天然氣、水和運(yùn)輸。
OT網(wǎng)絡(luò)安全專家是知識(shí)和技能構(gòu)建過(guò)程的關(guān)鍵,不一定對(duì)安全負(fù)有責(zé)任,但需要被充分授權(quán)。
如果員工職位上的網(wǎng)絡(luò)安全專家被指派負(fù)責(zé)某些安全職能,他們?nèi)匀徊痪邆渑c高管級(jí)別同事相同的決策權(quán)或預(yù)算;他們不能讓事情發(fā)生,不能激勵(lì)想要的行為,也不能最終創(chuàng)造所需的改變規(guī)模。
因此,除非他們獲得授權(quán),否則將可能會(huì)看到許多有著良好意圖的同事感到沮喪并尋找其他機(jī)會(huì),特別是在電力部門,對(duì)網(wǎng)絡(luò)安全專家的保留產(chǎn)生連鎖反應(yīng)。相反,我們需要為OT專家提供與IT安全專家類似的職業(yè)道路和激勵(lì)措施,包括財(cái)務(wù)激勵(lì)。
最大限度地發(fā)揮專業(yè)知識(shí),留住人才
盡管雇主在招聘頂級(jí)網(wǎng)絡(luò)安全人才方面存在競(jìng)爭(zhēng),尤其是對(duì)于許多電網(wǎng)運(yùn)營(yíng)商而言,但總有辦法靈活地適應(yīng)日益增長(zhǎng)的威脅。
然而,除了電網(wǎng)運(yùn)營(yíng)商本身,還必須注意監(jiān)管變化,公用事業(yè)必須繼續(xù)施壓,無(wú)論是單獨(dú)還是通過(guò)像ENCS這樣的成員組織。
與此同時(shí),這并沒有降低他們盡一切努力通過(guò)更集體、更協(xié)作的方法和增強(qiáng)現(xiàn)有人才能力來(lái)改善現(xiàn)有安全的重要性和緊迫性。