網(wǎng)絡威脅與安全之間的競爭正在加速�。在全球范圍內,網(wǎng)絡攻擊在2022年增長了38%,去年增長了48%����。隨著網(wǎng)絡攻擊的增加�����,組織需要盡一切努力來應對這些更常見的網(wǎng)絡威脅帶來的日益嚴峻的挑戰(zhàn)�����。
網(wǎng)絡威脅與安全之間的競爭正在加速�。在全球范圍內,網(wǎng)絡攻擊在2022年增長了38%�����,去年增長了48%�。
隨著網(wǎng)絡攻擊的增加,組織需要盡一切努力來應對這些更常見的網(wǎng)絡威脅帶來的日益嚴峻的挑戰(zhàn)��。顯而易見的解決方案當然是招募具備必要網(wǎng)絡安全技能的人員來抵御這些威脅��。
然而�����,許多企業(yè)也在應對更廣泛的網(wǎng)絡安全技能差距�,這使得這種應對日益增長的網(wǎng)絡風險的潛在解決方案陷入了死胡同,特別是對于那些沒有足夠預算和投資來擊敗其他競爭對手��、招聘到最優(yōu)秀人才的企業(yè)來說�����。
如果����,招募新人才來應對這些不斷變化的威脅不是一個可行的選擇,那么什么才是呢?首先��,這要認識到網(wǎng)絡安全最佳實踐的角色和責任已經(jīng)發(fā)生了變化�。
超越網(wǎng)絡技能差距障礙
過去,網(wǎng)絡安全是一項特定的工作職能?,F(xiàn)在,已經(jīng)發(fā)展成為一個問題�����,只能通過將網(wǎng)絡安全責任整合到整個組織的直線職能和員工職能中來解決。
如果將這種想法具體應用到電力行業(yè)�����,將會描繪出一幅令人擔憂的畫面�����。十年前�,電網(wǎng)運營商的高管層人員主要是工程師,他們對電網(wǎng)技術和運營有透徹的了解�,并對潛在的網(wǎng)絡風險和威脅有一定的了解。但也應該注意到��,這主要是在運營技術(OT)方面�����,而不是信息技術(IT)方面��,因此從安全角度對兩者如何交互的理解仍處于相對不成熟的階段��。
但如今�,由于能源轉型給電網(wǎng)運營商帶來了變革管理和財務挑戰(zhàn),電網(wǎng)運營商的高管級別員工主要具有咨詢或財務背景。
雖然這也許可以從財務審慎的商業(yè)角度來理解��,但也帶來了網(wǎng)絡安全挑戰(zhàn)�����。迄今為止�,針對此問題廣泛選擇的解決方案是設立首席信息安全官(CISO)角色�,并將網(wǎng)絡安全責任委托給CISO。然而�����,作為一個獨立的解決方案�����,這已經(jīng)越來越不夠了����。
CISO通常不是董事會成員,這意味著他們缺乏董事會級別的預算和決策權����,因此可能會在整個企業(yè)實施所需的變革以增強網(wǎng)絡安全防御方面造成障礙。
因此,現(xiàn)在全企業(yè)的所有員工都有責任在反網(wǎng)絡戰(zhàn)爭的前線盡自己的一份力量����。隨著網(wǎng)絡威脅形勢的發(fā)展如此之大,包括網(wǎng)絡黑客可以在我們工作生活中使用的日常技術中利用的接觸點呈指數(shù)級增長��,這一點現(xiàn)在比以往任何時候都更加重要�。
建立問責制并賦予CISO權力
為了使網(wǎng)絡安全策略與時俱進,面對能源市場持續(xù)存在的技能差距和監(jiān)管限制��,證明技能投資回報的合理性可能具有挑戰(zhàn)性����,現(xiàn)在有兩個方面至關重要。
首先�����,必須跨組織任命網(wǎng)絡安全責任和問責制��,并在需要時提供外部第三方支持��。其次�,必須授權安全專家獨立開發(fā)并向決策者提供意見,甚至在必要時阻止影響網(wǎng)絡安全的決策�����,以最大限度地審查其網(wǎng)絡安全決策,以確保最佳實踐��。
雖然網(wǎng)絡技術在烏克蘭的影響仍然有限�,但它已發(fā)展成為戰(zhàn)爭武器,電網(wǎng)運營商已經(jīng)被卷入戰(zhàn)火�。國家在知識和技能開發(fā)方面的投資顯然無法與電網(wǎng)運營商相提并論,但盡管如此����,它們仍將面臨攻擊�。
為了創(chuàng)建應對這些攻擊的復雜性和規(guī)模所需的知識和技能,需要新的協(xié)作工作方式來建立和維持這種知識和技能水平�����。運營團隊負責在其職責范圍內進行風險分析����。
具體來說,要明確責任和決策權限�。對于每項工作職能,應確定專門的安全知識和技能要求�����,并在明確和實用的培訓和發(fā)展計劃中予以解決。
在歐洲網(wǎng)絡安全網(wǎng)絡(ENCS)����,已經(jīng)確定了對運營職能、員工職能和管理職能的需求�����,并為電網(wǎng)運營商開發(fā)了專門的培訓組合�����,以反映應對現(xiàn)代網(wǎng)絡威脅的整體方法�。也還看到其他關鍵基礎設施部門對此類培訓的需求,包括天然氣����、水和運輸。
OT網(wǎng)絡安全專家是知識和技能構建過程的關鍵��,不一定對安全負有責任�����,但需要被充分授權。
如果員工職位上的網(wǎng)絡安全專家被指派負責某些安全職能����,他們仍然不具備與高管級別同事相同的決策權或預算;他們不能讓事情發(fā)生,不能激勵想要的行為�����,也不能最終創(chuàng)造所需的改變規(guī)模��。
因此�,除非他們獲得授權,否則將可能會看到許多有著良好意圖的同事感到沮喪并尋找其他機會����,特別是在電力部門�,對網(wǎng)絡安全專家的保留產生連鎖反應。相反�����,我們需要為OT專家提供與IT安全專家類似的職業(yè)道路和激勵措施����,包括財務激勵����。
最大限度地發(fā)揮專業(yè)知識��,留住人才
盡管雇主在招聘頂級網(wǎng)絡安全人才方面存在競爭�,尤其是對于許多電網(wǎng)運營商而言,但總有辦法靈活地適應日益增長的威脅�����。
然而����,除了電網(wǎng)運營商本身,還必須注意監(jiān)管變化��,公用事業(yè)必須繼續(xù)施壓�,無論是單獨還是通過像ENCS這樣的成員組織。
與此同時�,這并沒有降低他們盡一切努力通過更集體、更協(xié)作的方法和增強現(xiàn)有人才能力來改善現(xiàn)有安全的重要性和緊迫性��。
