2024年能源網(wǎng)絡(luò)安全：建立問責(zé)制和責(zé)任

作者：佚名 2024-02-29 14:02:32

網(wǎng)絡(luò)威脅與安全之間的競(jìng)爭(zhēng)正在加速。在全球范圍內(nèi)，網(wǎng)絡(luò)攻擊在2022年增長(zhǎng)了38%，去年增長(zhǎng)了48%。隨著網(wǎng)絡(luò)攻擊的增加，組織需要盡一切努力來(lái)應(yīng)對(duì)這些更常見的網(wǎng)絡(luò)威脅帶來(lái)的日益嚴(yán)峻的挑戰(zhàn)。

網(wǎng)絡(luò)威脅與安全之間的競(jìng)爭(zhēng)正在加速。在全球范圍內(nèi)，網(wǎng)絡(luò)攻擊在2022年增長(zhǎng)了38%，去年增長(zhǎng)了48%。

隨著網(wǎng)絡(luò)攻擊的增加，組織需要盡一切努力來(lái)應(yīng)對(duì)這些更常見的網(wǎng)絡(luò)威脅帶來(lái)的日益嚴(yán)峻的挑戰(zhàn)。顯而易見的解決方案當(dāng)然是招募具備必要網(wǎng)絡(luò)安全技能的人員來(lái)抵御這些威脅。

然而，許多企業(yè)也在應(yīng)對(duì)更廣泛的網(wǎng)絡(luò)安全技能差距，這使得這種應(yīng)對(duì)日益增長(zhǎng)的網(wǎng)絡(luò)風(fēng)險(xiǎn)的潛在解決方案陷入了死胡同，特別是對(duì)于那些沒有足夠預(yù)算和投資來(lái)?yè)魯∑渌?jìng)爭(zhēng)對(duì)手、招聘到最優(yōu)秀人才的企業(yè)來(lái)說(shuō)。

如果，招募新人才來(lái)應(yīng)對(duì)這些不斷變化的威脅不是一個(gè)可行的選擇，那么什么才是呢?首先，這要認(rèn)識(shí)到網(wǎng)絡(luò)安全最佳實(shí)踐的角色和責(zé)任已經(jīng)發(fā)生了變化。

超越網(wǎng)絡(luò)技能差距障礙

過去，網(wǎng)絡(luò)安全是一項(xiàng)特定的工作職能。現(xiàn)在，已經(jīng)發(fā)展成為一個(gè)問題，只能通過將網(wǎng)絡(luò)安全責(zé)任整合到整個(gè)組織的直線職能和員工職能中來(lái)解決。

如果將這種想法具體應(yīng)用到電力行業(yè)，將會(huì)描繪出一幅令人擔(dān)憂的畫面。十年前，電網(wǎng)運(yùn)營(yíng)商的高管層人員主要是工程師，他們對(duì)電網(wǎng)技術(shù)和運(yùn)營(yíng)有透徹的了解，并對(duì)潛在的網(wǎng)絡(luò)風(fēng)險(xiǎn)和威脅有一定的了解。但也應(yīng)該注意到，這主要是在運(yùn)營(yíng)技術(shù)(OT)方面，而不是信息技術(shù)(IT)方面，因此從安全角度對(duì)兩者如何交互的理解仍處于相對(duì)不成熟的階段。

但如今，由于能源轉(zhuǎn)型給電網(wǎng)運(yùn)營(yíng)商帶來(lái)了變革管理和財(cái)務(wù)挑戰(zhàn)，電網(wǎng)運(yùn)營(yíng)商的高管級(jí)別員工主要具有咨詢或財(cái)務(wù)背景。

雖然這也許可以從財(cái)務(wù)審慎的商業(yè)角度來(lái)理解，但也帶來(lái)了網(wǎng)絡(luò)安全挑戰(zhàn)。迄今為止，針對(duì)此問題廣泛選擇的解決方案是設(shè)立首席信息安全官(CISO)角色，并將網(wǎng)絡(luò)安全責(zé)任委托給CISO。然而，作為一個(gè)獨(dú)立的解決方案，這已經(jīng)越來(lái)越不夠了。

CISO通常不是董事會(huì)成員，這意味著他們?nèi)狈Χ聲?huì)級(jí)別的預(yù)算和決策權(quán)，因此可能會(huì)在整個(gè)企業(yè)實(shí)施所需的變革以增強(qiáng)網(wǎng)絡(luò)安全防御方面造成障礙。

因此，現(xiàn)在全企業(yè)的所有員工都有責(zé)任在反網(wǎng)絡(luò)戰(zhàn)爭(zhēng)的前線盡自己的一份力量。隨著網(wǎng)絡(luò)威脅形勢(shì)的發(fā)展如此之大，包括網(wǎng)絡(luò)黑客可以在我們工作生活中使用的日常技術(shù)中利用的接觸點(diǎn)呈指數(shù)級(jí)增長(zhǎng)，這一點(diǎn)現(xiàn)在比以往任何時(shí)候都更加重要。

建立問責(zé)制并賦予CISO權(quán)力

為了使網(wǎng)絡(luò)安全策略與時(shí)俱進(jìn)，面對(duì)能源市場(chǎng)持續(xù)存在的技能差距和監(jiān)管限制，證明技能投資回報(bào)的合理性可能具有挑戰(zhàn)性，現(xiàn)在有兩個(gè)方面至關(guān)重要。

首先，必須跨組織任命網(wǎng)絡(luò)安全責(zé)任和問責(zé)制，并在需要時(shí)提供外部第三方支持。其次，必須授權(quán)安全專家獨(dú)立開發(fā)并向決策者提供意見，甚至在必要時(shí)阻止影響網(wǎng)絡(luò)安全的決策，以最大限度地審查其網(wǎng)絡(luò)安全決策，以確保最佳實(shí)踐。

雖然網(wǎng)絡(luò)技術(shù)在烏克蘭的影響仍然有限，但它已發(fā)展成為戰(zhàn)爭(zhēng)武器，電網(wǎng)運(yùn)營(yíng)商已經(jīng)被卷入戰(zhàn)火。國(guó)家在知識(shí)和技能開發(fā)方面的投資顯然無(wú)法與電網(wǎng)運(yùn)營(yíng)商相提并論，但盡管如此，它們?nèi)詫⒚媾R攻擊。

為了創(chuàng)建應(yīng)對(duì)這些攻擊的復(fù)雜性和規(guī)模所需的知識(shí)和技能，需要新的協(xié)作工作方式來(lái)建立和維持這種知識(shí)和技能水平。運(yùn)營(yíng)團(tuán)隊(duì)負(fù)責(zé)在其職責(zé)范圍內(nèi)進(jìn)行風(fēng)險(xiǎn)分析。

具體來(lái)說(shuō)，要明確責(zé)任和決策權(quán)限。對(duì)于每項(xiàng)工作職能，應(yīng)確定專門的安全知識(shí)和技能要求，并在明確和實(shí)用的培訓(xùn)和發(fā)展計(jì)劃中予以解決。

在歐洲網(wǎng)絡(luò)安全網(wǎng)絡(luò)(ENCS)，已經(jīng)確定了對(duì)運(yùn)營(yíng)職能、員工職能和管理職能的需求，并為電網(wǎng)運(yùn)營(yíng)商開發(fā)了專門的培訓(xùn)組合，以反映應(yīng)對(duì)現(xiàn)代網(wǎng)絡(luò)威脅的整體方法。也還看到其他關(guān)鍵基礎(chǔ)設(shè)施部門對(duì)此類培訓(xùn)的需求，包括天然氣、水和運(yùn)輸。

OT網(wǎng)絡(luò)安全專家是知識(shí)和技能構(gòu)建過程的關(guān)鍵，不一定對(duì)安全負(fù)有責(zé)任，但需要被充分授權(quán)。

如果員工職位上的網(wǎng)絡(luò)安全專家被指派負(fù)責(zé)某些安全職能，他們?nèi)匀徊痪邆渑c高管級(jí)別同事相同的決策權(quán)或預(yù)算;他們不能讓事情發(fā)生，不能激勵(lì)想要的行為，也不能最終創(chuàng)造所需的改變規(guī)模。

因此，除非他們獲得授權(quán)，否則將可能會(huì)看到許多有著良好意圖的同事感到沮喪并尋找其他機(jī)會(huì)，特別是在電力部門，對(duì)網(wǎng)絡(luò)安全專家的保留產(chǎn)生連鎖反應(yīng)。相反，我們需要為OT專家提供與IT安全專家類似的職業(yè)道路和激勵(lì)措施，包括財(cái)務(wù)激勵(lì)。