网络威胁与安全之间的竞争正在加速。在全球范围内,网络攻击在2022年增长了38%,去年增长了48%。
随着网络攻击的增加,组织需要尽一切努力来应对这些更常见的网络威胁带来的日益严峻的挑战。显而易见的解决方案当然是招募具备必要网络安全技能的人员来抵御这些威胁。
然而,许多企业也在应对更广泛的网络安全技能差距,这使得这种应对日益增长的网络风险的潜在解决方案陷入了死胡同,特别是对于那些没有足够预算和投资来击败其他竞争对手、招聘到最优秀人才的企业来说。
如果,招募新人才来应对这些不断变化的威胁不是一个可行的选择,那么什么才是呢?首先,这要认识到网络安全最佳实践的角色和责任已经发生了变化。
超越网络技能差距障碍
过去,网络安全是一项特定的工作职能。现在,已经发展成为一个问题,只能通过将网络安全责任整合到整个组织的直线职能和员工职能中来解决。
如果将这种想法具体应用到电力行业,将会描绘出一幅令人担忧的画面。十年前,电网运营商的高管层人员主要是工程师,他们对电网技术和运营有透彻的了解,并对潜在的网络风险和威胁有一定的了解。但也应该注意到,这主要是在运营技术(OT)方面,而不是信息技术(IT)方面,因此从安全角度对两者如何交互的理解仍处于相对不成熟的阶段。
但如今,由于能源转型给电网运营商带来了变革管理和财务挑战,电网运营商的高管级别员工主要具有咨询或财务背景。
虽然这也许可以从财务审慎的商业角度来理解,但也带来了网络安全挑战。迄今为止,针对此问题广泛选择的解决方案是设立首席信息安全官(CISO)角色,并将网络安全责任委托给CISO。然而,作为一个独立的解决方案,这已经越来越不够了。
CISO通常不是董事会成员,这意味着他们缺乏董事会级别的预算和决策权,因此可能会在整个企业实施所需的变革以增强网络安全防御方面造成障碍。
因此,现在全企业的所有员工都有责任在反网络战争的前线尽自己的一份力量。随着网络威胁形势的发展如此之大,包括网络黑客可以在我们工作生活中使用的日常技术中利用的接触点呈指数级增长,这一点现在比以往任何时候都更加重要。
建立问责制并赋予CISO权力
为了使网络安全策略与时俱进,面对能源市场持续存在的技能差距和监管限制,证明技能投资回报的合理性可能具有挑战性,现在有两个方面至关重要。
首先,必须跨组织任命网络安全责任和问责制,并在需要时提供外部第三方支持。其次,必须授权安全专家独立开发并向决策者提供意见,甚至在必要时阻止影响网络安全的决策,以最大限度地审查其网络安全决策,以确保最佳实践。
虽然网络技术在乌克兰的影响仍然有限,但它已发展成为战争武器,电网运营商已经被卷入战火。国家在知识和技能开发方面的投资显然无法与电网运营商相提并论,但尽管如此,它们仍将面临攻击。
为了创建应对这些攻击的复杂性和规模所需的知识和技能,需要新的协作工作方式来建立和维持这种知识和技能水平。运营团队负责在其职责范围内进行风险分析。
具体来说,要明确责任和决策权限。对于每项工作职能,应确定专门的安全知识和技能要求,并在明确和实用的培训和发展计划中予以解决。
在欧洲网络安全网络(ENCS),已经确定了对运营职能、员工职能和管理职能的需求,并为电网运营商开发了专门的培训组合,以反映应对现代网络威胁的整体方法。也还看到其他关键基础设施部门对此类培训的需求,包括天然气、水和运输。
OT网络安全专家是知识和技能构建过程的关键,不一定对安全负有责任,但需要被充分授权。
如果员工职位上的网络安全专家被指派负责某些安全职能,他们仍然不具备与高管级别同事相同的决策权或预算;他们不能让事情发生,不能激励想要的行为,也不能最终创造所需的改变规模。
因此,除非他们获得授权,否则将可能会看到许多有着良好意图的同事感到沮丧并寻找其他机会,特别是在电力部门,对网络安全专家的保留产生连锁反应。相反,我们需要为OT专家提供与IT安全专家类似的职业道路和激励措施,包括财务激励。
最大限度地发挥专业知识,留住人才
尽管雇主在招聘顶级网络安全人才方面存在竞争,尤其是对于许多电网运营商而言,但总有办法灵活地适应日益增长的威胁。
然而,除了电网运营商本身,还必须注意监管变化,公用事业必须继续施压,无论是单独还是通过像ENCS这样的成员组织。
与此同时,这并没有降低他们尽一切努力通过更集体、更协作的方法和增强现有人才能力来改善现有安全的重要性和紧迫性。