與人相關(guān)的兩大 OT 安全問題:人為錯(cuò)誤和人員短缺
國外安全網(wǎng)站SecurityWeek一篇文章指出,一項(xiàng)針對(duì)全球 3,500 名安全專家的調(diào)查顯示,許多與運(yùn)營技術(shù) (OT) 相關(guān)的網(wǎng)絡(luò)安全問題都涉及到人,尤其是人為錯(cuò)誤和人員嚴(yán)重短缺。
這項(xiàng)由物聯(lián)網(wǎng)和 OT 安全公司 SCADAfence 進(jìn)行的調(diào)查發(fā)現(xiàn),超過 75% 的專家認(rèn)為其 OT 安全風(fēng)險(xiǎn)級(jí)別對(duì)于公司的整體風(fēng)險(xiǎn)狀況來說是高或嚴(yán)重的。
雖然一些受訪者認(rèn)為技術(shù)和流程對(duì) OT 系統(tǒng)構(gòu)成最大風(fēng)險(xiǎn),但 79% 的受訪者最擔(dān)心的是人為錯(cuò)誤。
調(diào)查還發(fā)現(xiàn),83% 的人認(rèn)為 OT 安全人員嚴(yán)重短缺。超過三分之二的受訪者表示,缺乏專門的安全人員正在導(dǎo)致其組織 OT 安全的有效性效果不佳。69% 的受訪者認(rèn)為,由于潛在候選人缺乏適當(dāng)?shù)募寄堋T工高度倦怠和資源匱乏,組織很難找到這類優(yōu)秀的員工。
根據(jù) SCADAfence 的CTO Paul Smith 的說法,OT 安全人員配備的問題之一與薪酬息息有關(guān),工業(yè)網(wǎng)絡(luò)安全專家實(shí)際上是自動(dòng)化/控制專家、IT 網(wǎng)絡(luò)專家和網(wǎng)絡(luò)安全專家的組合體。
在國外,自動(dòng)化專家的工資在 55,000 美元到 113,000 美元之間,IT 網(wǎng)絡(luò)專家的工資在 58,000 美元到 95,000 美元之間,網(wǎng)絡(luò)安全專家的工資在 69,000 美元到 133,000 美元之間。
由于工業(yè)網(wǎng)絡(luò)安全專家的角色被描述為這三種職業(yè)的“可變混合”,史密斯說組織應(yīng)該創(chuàng)建一個(gè)新的薪酬類別。這樣做將有助于吸引團(tuán)隊(duì)成員承擔(dān)這份工作帶來的額外責(zé)任(和頭痛)。
擔(dān)任上述三個(gè)角色的人也有可能過渡到工業(yè)網(wǎng)絡(luò)安全。自動(dòng)化或控制專家擁有 Smith 所說的“領(lǐng)先優(yōu)勢(shì)”,因?yàn)樗麄円呀?jīng)對(duì)流程、技術(shù)和 OT 環(huán)境中某些操作的影響擁有先進(jìn)的知識(shí),仍需要學(xué)習(xí)網(wǎng)絡(luò)和網(wǎng)絡(luò)安全。
對(duì)于 IT 網(wǎng)絡(luò)和網(wǎng)絡(luò)安全專家來說,情況要復(fù)雜一些,因?yàn)樗麄兊男袨榭赡軙?huì)導(dǎo)致代價(jià)高昂的生產(chǎn)停機(jī)時(shí)間。史密斯認(rèn)為,最好的方法是讓他們與自動(dòng)化專家并肩工作一段時(shí)間,直到其獲得所需的知識(shí)和經(jīng)驗(yàn)。
SCADAfence 在其報(bào)告中稱:“全球 OT 安全勞動(dòng)力缺口巨大,需要?jiǎng)?chuàng)造性地填補(bǔ)缺口。為了找到合適的人才,行業(yè)組織在填補(bǔ)勞動(dòng)力缺口時(shí)需要有兩個(gè)核心概念。設(shè)定合理的期望并對(duì)誰有資格擔(dān)任 OT 安全職位持開放態(tài)度。在許多情況下,組織在建立 OT 安全團(tuán)隊(duì)時(shí)會(huì)根據(jù)嚴(yán)格和限制性的指導(dǎo)方針來制定參數(shù)。
”當(dāng)下,許許多多的網(wǎng)絡(luò)安全人員自認(rèn)為OT是一個(gè)和IT差不多的東西,對(duì)其認(rèn)識(shí)不足,對(duì)其敬畏不夠。即使有些IT對(duì)其有一定的認(rèn)知和敬畏,仍然欠缺太多,而OT安全往往帶來的可能是機(jī)毀人亡的事故,甚至于驚天災(zāi)難,失誤性操作可能很容易擊穿現(xiàn)場(chǎng)一線員工的安全帽,所以在工業(yè)控制領(lǐng)域,OT人才奇缺的同時(shí),也成為一個(gè)亟需解決而不能急于求成的事情。國外OT人才奇缺,我國起步較晚前期重心都放在了業(yè)務(wù)層,對(duì)安全重視不夠,現(xiàn)在需要補(bǔ)課但也需要沉下來心好好沉淀,特別是工業(yè)控制系統(tǒng)有關(guān)人才,擔(dān)負(fù)的是生產(chǎn)安全,生產(chǎn)安全帶來的損失或影響往往都是人命關(guān)天的、巨大的,不可接受的。
且行且珍惜,戒驕戒躁,行穩(wěn)致遠(yuǎn)!
