網(wǎng)絡(luò)威脅與安全之間的競(jìng)爭(zhēng)正在加速。在全球范圍內(nèi)��,網(wǎng)絡(luò)攻擊在2022年增長(zhǎng)了38%���,去年增長(zhǎng)了48%�����。隨著網(wǎng)絡(luò)攻擊的增加���,組織需要盡一切努力來應(yīng)對(duì)這些更常見的網(wǎng)絡(luò)威脅帶來的日益嚴(yán)峻的挑戰(zhàn)。
網(wǎng)絡(luò)威脅與安全之間的競(jìng)爭(zhēng)正在加速�����。在全球范圍內(nèi)��,網(wǎng)絡(luò)攻擊在2022年增長(zhǎng)了38%��,去年增長(zhǎng)了48%��。
隨著網(wǎng)絡(luò)攻擊的增加,組織需要盡一切努力來應(yīng)對(duì)這些更常見的網(wǎng)絡(luò)威脅帶來的日益嚴(yán)峻的挑戰(zhàn)�����。顯而易見的解決方案當(dāng)然是招募具備必要網(wǎng)絡(luò)安全技能的人員來抵御這些威脅��。
然而�,許多企業(yè)也在應(yīng)對(duì)更廣泛的網(wǎng)絡(luò)安全技能差距,這使得這種應(yīng)對(duì)日益增長(zhǎng)的網(wǎng)絡(luò)風(fēng)險(xiǎn)的潛在解決方案陷入了死胡同��,特別是對(duì)于那些沒有足夠預(yù)算和投資來擊敗其他競(jìng)爭(zhēng)對(duì)手����、招聘到最優(yōu)秀人才的企業(yè)來說。
如果���,招募新人才來應(yīng)對(duì)這些不斷變化的威脅不是一個(gè)可行的選擇,那么什么才是呢?首先�����,這要認(rèn)識(shí)到網(wǎng)絡(luò)安全最佳實(shí)踐的角色和責(zé)任已經(jīng)發(fā)生了變化����。
超越網(wǎng)絡(luò)技能差距障礙
過去,網(wǎng)絡(luò)安全是一項(xiàng)特定的工作職能。現(xiàn)在�����,已經(jīng)發(fā)展成為一個(gè)問題�,只能通過將網(wǎng)絡(luò)安全責(zé)任整合到整個(gè)組織的直線職能和員工職能中來解決。
如果將這種想法具體應(yīng)用到電力行業(yè)�,將會(huì)描繪出一幅令人擔(dān)憂的畫面。十年前�,電網(wǎng)運(yùn)營(yíng)商的高管層人員主要是工程師,他們對(duì)電網(wǎng)技術(shù)和運(yùn)營(yíng)有透徹的了解�����,并對(duì)潛在的網(wǎng)絡(luò)風(fēng)險(xiǎn)和威脅有一定的了解�。但也應(yīng)該注意到,這主要是在運(yùn)營(yíng)技術(shù)(OT)方面�,而不是信息技術(shù)(IT)方面,因此從安全角度對(duì)兩者如何交互的理解仍處于相對(duì)不成熟的階段�。
但如今,由于能源轉(zhuǎn)型給電網(wǎng)運(yùn)營(yíng)商帶來了變革管理和財(cái)務(wù)挑戰(zhàn)���,電網(wǎng)運(yùn)營(yíng)商的高管級(jí)別員工主要具有咨詢或財(cái)務(wù)背景��。
雖然這也許可以從財(cái)務(wù)審慎的商業(yè)角度來理解����,但也帶來了網(wǎng)絡(luò)安全挑戰(zhàn)。迄今為止�����,針對(duì)此問題廣泛選擇的解決方案是設(shè)立首席信息安全官(CISO)角色�����,并將網(wǎng)絡(luò)安全責(zé)任委托給CISO��。然而�,作為一個(gè)獨(dú)立的解決方案,這已經(jīng)越來越不夠了�。
CISO通常不是董事會(huì)成員,這意味著他們?nèi)狈Χ聲?huì)級(jí)別的預(yù)算和決策權(quán)�,因此可能會(huì)在整個(gè)企業(yè)實(shí)施所需的變革以增強(qiáng)網(wǎng)絡(luò)安全防御方面造成障礙。
因此��,現(xiàn)在全企業(yè)的所有員工都有責(zé)任在反網(wǎng)絡(luò)戰(zhàn)爭(zhēng)的前線盡自己的一份力量�����。隨著網(wǎng)絡(luò)威脅形勢(shì)的發(fā)展如此之大���,包括網(wǎng)絡(luò)黑客可以在我們工作生活中使用的日常技術(shù)中利用的接觸點(diǎn)呈指數(shù)級(jí)增長(zhǎng)���,這一點(diǎn)現(xiàn)在比以往任何時(shí)候都更加重要。
建立問責(zé)制并賦予CISO權(quán)力
為了使網(wǎng)絡(luò)安全策略與時(shí)俱進(jìn)����,面對(duì)能源市場(chǎng)持續(xù)存在的技能差距和監(jiān)管限制,證明技能投資回報(bào)的合理性可能具有挑戰(zhàn)性��,現(xiàn)在有兩個(gè)方面至關(guān)重要���。
首先���,必須跨組織任命網(wǎng)絡(luò)安全責(zé)任和問責(zé)制,并在需要時(shí)提供外部第三方支持�����。其次���,必須授權(quán)安全專家獨(dú)立開發(fā)并向決策者提供意見�,甚至在必要時(shí)阻止影響網(wǎng)絡(luò)安全的決策�,以最大限度地審查其網(wǎng)絡(luò)安全決策���,以確保最佳實(shí)踐。
雖然網(wǎng)絡(luò)技術(shù)在烏克蘭的影響仍然有限��,但它已發(fā)展成為戰(zhàn)爭(zhēng)武器�����,電網(wǎng)運(yùn)營(yíng)商已經(jīng)被卷入戰(zhàn)火��。國(guó)家在知識(shí)和技能開發(fā)方面的投資顯然無法與電網(wǎng)運(yùn)營(yíng)商相提并論����,但盡管如此,它們?nèi)詫⒚媾R攻擊�。
為了創(chuàng)建應(yīng)對(duì)這些攻擊的復(fù)雜性和規(guī)模所需的知識(shí)和技能,需要新的協(xié)作工作方式來建立和維持這種知識(shí)和技能水平�����。運(yùn)營(yíng)團(tuán)隊(duì)負(fù)責(zé)在其職責(zé)范圍內(nèi)進(jìn)行風(fēng)險(xiǎn)分析���。
具體來說��,要明確責(zé)任和決策權(quán)限�����。對(duì)于每項(xiàng)工作職能��,應(yīng)確定專門的安全知識(shí)和技能要求�����,并在明確和實(shí)用的培訓(xùn)和發(fā)展計(jì)劃中予以解決�����。
在歐洲網(wǎng)絡(luò)安全網(wǎng)絡(luò)(ENCS)��,已經(jīng)確定了對(duì)運(yùn)營(yíng)職能�、員工職能和管理職能的需求��,并為電網(wǎng)運(yùn)營(yíng)商開發(fā)了專門的培訓(xùn)組合�,以反映應(yīng)對(duì)現(xiàn)代網(wǎng)絡(luò)威脅的整體方法。也還看到其他關(guān)鍵基礎(chǔ)設(shè)施部門對(duì)此類培訓(xùn)的需求����,包括天然氣、水和運(yùn)輸��。
OT網(wǎng)絡(luò)安全專家是知識(shí)和技能構(gòu)建過程的關(guān)鍵,不一定對(duì)安全負(fù)有責(zé)任���,但需要被充分授權(quán)����。
如果員工職位上的網(wǎng)絡(luò)安全專家被指派負(fù)責(zé)某些安全職能��,他們?nèi)匀徊痪邆渑c高管級(jí)別同事相同的決策權(quán)或預(yù)算;他們不能讓事情發(fā)生����,不能激勵(lì)想要的行為,也不能最終創(chuàng)造所需的改變規(guī)模�。
因此,除非他們獲得授權(quán)�����,否則將可能會(huì)看到許多有著良好意圖的同事感到沮喪并尋找其他機(jī)會(huì)��,特別是在電力部門����,對(duì)網(wǎng)絡(luò)安全專家的保留產(chǎn)生連鎖反應(yīng)。相反,我們需要為OT專家提供與IT安全專家類似的職業(yè)道路和激勵(lì)措施���,包括財(cái)務(wù)激勵(lì)���。
最大限度地發(fā)揮專業(yè)知識(shí)����,留住人才
盡管雇主在招聘頂級(jí)網(wǎng)絡(luò)安全人才方面存在競(jìng)爭(zhēng),尤其是對(duì)于許多電網(wǎng)運(yùn)營(yíng)商而言�,但總有辦法靈活地適應(yīng)日益增長(zhǎng)的威脅。
然而�����,除了電網(wǎng)運(yùn)營(yíng)商本身����,還必須注意監(jiān)管變化,公用事業(yè)必須繼續(xù)施壓����,無論是單獨(dú)還是通過像ENCS這樣的成員組織。
與此同時(shí)����,這并沒有降低他們盡一切努力通過更集體��、更協(xié)作的方法和增強(qiáng)現(xiàn)有人才能力來改善現(xiàn)有安全的重要性和緊迫性��。
