2024年能源網(wǎng)絡(luò)安全：建立問責制和責任

網(wǎng)絡(luò)威脅與安全之間的競爭正在加速。在全球范圍內(nèi)，網(wǎng)絡(luò)攻擊在2022年增長了38%，去年增長了48%。

隨著網(wǎng)絡(luò)攻擊的增加，組織需要盡一切努力來應(yīng)對這些更常見的網(wǎng)絡(luò)威脅帶來的日益嚴峻的挑戰(zhàn)。顯而易見的解決方案當然是招募具備必要網(wǎng)絡(luò)安全技能的人員來抵御這些威脅。

然而，許多企業(yè)也在應(yīng)對更廣泛的網(wǎng)絡(luò)安全技能差距，這使得這種應(yīng)對日益增長的網(wǎng)絡(luò)風險的潛在解決方案陷入了死胡同，特別是對于那些沒有足夠預(yù)算和投資來擊敗其他競爭對手、招聘到最優(yōu)秀人才的企業(yè)來說。

如果，招募新人才來應(yīng)對這些不斷變化的威脅不是一個可行的選擇，那么什么才是呢？首先，這要認識到網(wǎng)絡(luò)安全最佳實踐的角色和責任已經(jīng)發(fā)生了變化。

超越網(wǎng)絡(luò)技能差距障礙

過去，網(wǎng)絡(luò)安全是一項特定的工作職能?，F(xiàn)在，已經(jīng)發(fā)展成為一個問題，只能通過將網(wǎng)絡(luò)安全責任整合到整個組織的直線職能和員工職能中來解決。

如果將這種想法具體應(yīng)用到電力行業(yè)，將會描繪出一幅令人擔憂的畫面。十年前，電網(wǎng)運營商的高管層人員主要是工程師，他們對電網(wǎng)技術(shù)和運營有透徹的了解，并對潛在的網(wǎng)絡(luò)風險和威脅有一定的了解。但也應(yīng)該注意到，這主要是在運營技術(shù)（OT）方面，而不是信息技術(shù)（IT）方面，因此從安全角度對兩者如何交互的理解仍處于相對不成熟的階段。

但如今，由于能源轉(zhuǎn)型給電網(wǎng)運營商帶來了變革管理和財務(wù)挑戰(zhàn)，電網(wǎng)運營商的高管級別員工主要具有咨詢或財務(wù)背景。

雖然這也許可以從財務(wù)審慎的商業(yè)角度來理解，但也帶來了網(wǎng)絡(luò)安全挑戰(zhàn)。迄今為止，針對此問題廣泛選擇的解決方案是設(shè)立首席信息安全官(CISO)角色，并將網(wǎng)絡(luò)安全責任委托給CISO。然而，作為一個獨立的解決方案，這已經(jīng)越來越不夠了。

CISO通常不是董事會成員，這意味著他們?nèi)狈Χ聲墑e的預(yù)算和決策權(quán)，因此可能會在整個企業(yè)實施所需的變革以增強網(wǎng)絡(luò)安全防御方面造成障礙。

因此，現(xiàn)在全企業(yè)的所有員工都有責任在反網(wǎng)絡(luò)戰(zhàn)爭的前線盡自己的一份力量。隨著網(wǎng)絡(luò)威脅形勢的發(fā)展如此之大，包括網(wǎng)絡(luò)黑客可以在我們工作生活中使用的日常技術(shù)中利用的接觸點呈指數(shù)級增長，這一點現(xiàn)在比以往任何時候都更加重要。

建立問責制并賦予CISO權(quán)力

為了使網(wǎng)絡(luò)安全策略與時俱進，面對能源市場持續(xù)存在的技能差距和監(jiān)管限制，證明技能投資回報的合理性可能具有挑戰(zhàn)性，現(xiàn)在有兩個方面至關(guān)重要。

首先，必須跨組織任命網(wǎng)絡(luò)安全責任和問責制，并在需要時提供外部第三方支持。其次，必須授權(quán)安全專家獨立開發(fā)并向決策者提供意見，甚至在必要時阻止影響網(wǎng)絡(luò)安全的決策，以最大限度地審查其網(wǎng)絡(luò)安全決策，以確保最佳實踐。

雖然網(wǎng)絡(luò)技術(shù)在烏克蘭的影響仍然有限，但它已發(fā)展成為戰(zhàn)爭武器，電網(wǎng)運營商已經(jīng)被卷入戰(zhàn)火。國家在知識和技能開發(fā)方面的投資顯然無法與電網(wǎng)運營商相提并論，但盡管如此，它們?nèi)詫⒚媾R攻擊。

為了創(chuàng)建應(yīng)對這些攻擊的復(fù)雜性和規(guī)模所需的知識和技能，需要新的協(xié)作工作方式來建立和維持這種知識和技能水平。運營團隊負責在其職責范圍內(nèi)進行風險分析。

具體來說，要明確責任和決策權(quán)限。對于每項工作職能，應(yīng)確定專門的安全知識和技能要求，并在明確和實用的培訓(xùn)和發(fā)展計劃中予以解決。

在歐洲網(wǎng)絡(luò)安全網(wǎng)絡(luò)（ENCS），已經(jīng)確定了對運營職能、員工職能和管理職能的需求，并為電網(wǎng)運營商開發(fā)了專門的培訓(xùn)組合，以反映應(yīng)對現(xiàn)代網(wǎng)絡(luò)威脅的整體方法。也還看到其他關(guān)鍵基礎(chǔ)設(shè)施部門對此類培訓(xùn)的需求，包括天然氣、水和運輸。

OT網(wǎng)絡(luò)安全專家是知識和技能構(gòu)建過程的關(guān)鍵，不一定對安全負有責任，但需要被充分授權(quán)。

如果員工職位上的網(wǎng)絡(luò)安全專家被指派負責某些安全職能，他們?nèi)匀徊痪邆渑c高管級別同事相同的決策權(quán)或預(yù)算；他們不能讓事情發(fā)生，不能激勵想要的行為，也不能最終創(chuàng)造所需的改變規(guī)模。

因此，除非他們獲得授權(quán)，否則將可能會看到許多有著良好意圖的同事感到沮喪并尋找其他機會，特別是在電力部門，對網(wǎng)絡(luò)安全專家的保留產(chǎn)生連鎖反應(yīng)。相反，我們需要為OT專家提供與IT安全專家類似的職業(yè)道路和激勵措施，包括財務(wù)激勵。

最大限度地發(fā)揮專業(yè)知識，留住人才

盡管雇主在招聘頂級網(wǎng)絡(luò)安全人才方面存在競爭，尤其是對于許多電網(wǎng)運營商而言，但總有辦法靈活地適應(yīng)日益增長的威脅。

然而，除了電網(wǎng)運營商本身，還必須注意監(jiān)管變化，公用事業(yè)必須繼續(xù)施壓，無論是單獨還是通過像ENCS這樣的成員組織。

與此同時，這并沒有降低他們盡一切努力通過更集體、更協(xié)作的方法和增強現(xiàn)有人才能力來改善現(xiàn)有安全的重要性和緊迫性。

生成海報

免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關(guān)資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。