随着世界日益数字化,公用事业部门的安全领导面临着一个动态而复杂的环境。公用事业拥有和运营着一系列系统、资产、设施、设备和设备,这些系统通过各种通信网络相互连接并与物理世界互动。除了传统的信息安全领域外,公用事业的网络安全计划必须具有更广泛的范围,以保护多种目标免受攻击。IIoT(工业物联网)和陈旧的ICS(工业控制系统)环境等新兴技术创造了一个动态的环境。不同的网络安全风险水平和网络攻击的后果增加了保护这种环境的复杂性。为了帮助安全领导保障公用事业行业的数字化转型,全球IT研究和咨询公司Info-Tech Research Group(信息技术研究集团)发布了其新资源——《公用事业网络安全报告》。
信息技术研究集团的主要研究主任Jing Wu表示:“数字化是一把双刃剑。一方面,它推动了自动化,并增强了公用事业的控制力,推动了运营卓越,提高了服务可靠性。另一方面,由于IT、OT和IIoT领域之间的互联不断增加,数字化引入了更大的网络攻击风险。”
根据该公司最近发布的报告,在越来越多地采用IIoT技术的情况下,公用事业正努力应对现在需要保护的设备数量之多以及各种复杂的网络攻击或数据泄露。许多现有的IT网络安全专家并不完全了解OT的操作方式,也不知道如何遵守行业特定的法规和标准。此外,领导人还会发现自己要应对不断变化的政府政策和法规。
网络安全已成为执行和董事会会议议程中的重要议题,但大多数执行领导和董事会成员并不深入了解网络安全。为了保护组织免受网络攻击,安全领导人需要填补战略制定和战术实施之间的差距。该报告提供了以下公用事业部门当前网络安全情况的概述:
人才短缺带来风险
员工短缺会影响日常运营,并使公用事业面临三个主要后果:系统配置错误、缺乏风险评估和管理的时间以及关键系统更新的延迟。该公司建议组织关注人员发展和保留以解决这一差距。对于规模较小的公用事业,通过咨询服务进行按需人才招聘可能是一种成本效益较高的方式。
增强监督和透明度
该报告还解释了人为因素是导致大多数配置错误的原因,例如不正确的权限、缺失的身份验证和弱密码。公司范围的网络安全治理计划可以执行政策并将网络安全思维方式嵌入到组织文化中。每个公用事业部门都面临着独特的挑战和法规,包括电力、天然气、水和废水。
除了全企业的分析外,该公司建议公用事业应使用行业特定框架评估成熟度并确定差距。
采用成本效益技术
该公司的研究表明,虽然数字领域(例如IT、OT和IoT)存在适用于常见治理和控制管理实践,但事实是OT环境内也存在独特的挑战,需要采用不同的方法。遗留的嵌入式系统无法扫描漏洞,而虚警可能会造成同样的破坏性后果。并非OT中的所有资产都可以打补丁或升级。在某些情况下,有效补丁的源代码也可能丢失。
随着公用事业网络安全环境不断发展,网络安全技术市场将成为各种供应商之间的战场。
不断发展的公用事业网络安全法规
该报告探讨的另一个领域是不断发展的公用事业网络安全法规。全球各国政府机构对网络安全法律和标准采取不同的方法,并不断提出和实施更新。公用事业必须遵守国家或地区政府颁布的网络安全法律和法规。法规有时包括由受信任的组织建立的标准。
在遵守法规之前采用标准
好的法规制定可能很难,因为它们必须平衡网络安全合规性的益处与公用事业和客户的成本。正如公用事业网络安全技术环境一样动态,法规也在随着监管机构对政府立法更新或改革做出回应而不断发展。法律和法规通常包括延迟,以允许公用事业实施特定细节。
全面推进网络安全成熟度
公用事业应首先关注基本的网络安全卫生,同时进行全面的风险评估。进行评估以确定组织当前的IT/OT网络安全成熟度和未来的目标状态至关重要。战略性地制定计划是弥合差距的关键,这是一个持续且迭代的过程。
最近针对国家关键基础设施的网络攻击是对公用事业的警示,因为它们可能造成毁灭性的后果。基于对各种攻击面的风险评估,信息技术研究集团建议,安全领导人必须通过技术细节,并着重关注更广泛的影响,以保护组织免受网络攻击。