Spojte sa s nami

Cyber-špionáže

#EnergySector a #CyberSecurity: Ďalšia medzera kapacity

ZDIEĽAM:

uverejnené

on

Vaše prihlásenie používame na poskytovanie obsahu spôsobmi, s ktorými ste súhlasili, a na zlepšenie porozumenia vám. Z odberu sa môžete kedykoľvek odhlásiť.

Poznáme kapacitné medzery v energetickom sektore. Tu je vyhlásenie, že som si istý, že väčšina našich vedúcich predstaviteľov priemyslu bude súhlasiť s tým, že spoločnosť potrebuje energiu a dopyt rastie. Potrebujeme viac moci a byť múdrejší v tom, ako ju používame na zachovanie bezpečnosti dodávok, píše Michael John, riaditeľ operácií na ENCS.

Nahraďte slovo „power“ slovom „cyber security resource“. Súhlasilo by s tým veľa ľudí? Mali by, pretože je to pravda.

Táto medzera v zdrojoch je veľmi skutočná a je nevyhnutné ju zvládnuť, keď bude naša infraštruktúra inteligentnejšia a prepojenejšia. Jednou časťou tejto rovnice je nedostatok zručností - nedostatok odborníkov v oblasti kybernetickej bezpečnosti v tomto sektore - o ktorom sme hovorili už skôr. Okrem zručností však musíme zvýšiť zdroje a byť inteligentnejší v tom, ako ich nasadíme.

Všetko na palube?

Európske energetické spoločnosti dosiahli v mnohých smeroch skutočný pokrok v oblasti kybernetickej bezpečnosti. Zatiaľ čo pred desiatimi rokmi by sa veľa počítačových diskusií na úrovni rady ani nedotýkalo kybernetickej bezpečnosti, teraz nie je nezvyčajné, že počuje generálneho riaditeľa, ktorý uisťuje zainteresované strany o tom, ako vážne berú túto tému.

Avšak činy hovoria hlasnejšie ako slová a obsluha pier nestačí. Členovia predstavenstva budú zvyčajne dosiahnutí, vyšší vedúci, ktorí sa zamestnali vo veľmi odlišnom svete, kde bezpečnosť súvisí s reťazovými plotmi. Je pochopiteľné, že možno nepochopia rozsah a dôležitosť hrozby a okrem toho majú veľa ďalších obchodných problémov, ktoré sa uchádzajú o ich pozornosť.

Takže to, čo potrebujeme, je viac ľudí s kybernetickými bezpečnostnými zručnosťami v radách, aby sa zabezpečilo, že je na vrchole programu. „C“ v CISO ukazuje, aké sú dôležité, a počet hlavných úradníkov pre informačnú bezpečnosť (CISOs) v európskom energetickom sektore rastie, ale stále potrebujeme viac z nich s väčšou rozhodovacou právomocou. Kybernetická bezpečnosť musí byť základnou zložkou stratégie akéhokoľvek nástroja.

Reklama

Hospodárska súťaž v oblasti zdrojov

Väčšina verejných služieb v súčasnosti má v organizácii nejakých talentovaných bezpečnostných pracovníkov. Veľmi málo ľudí však má dosť ľudí, pričom ponecháva tím s obmedzenými zdrojmi na zvládnutie mnohých konkurenčných priorít.

Keďže bezpečnostné predpisy a normy sa správne dostávajú do energetického priestoru, tímy sa ocitnú v investovaní času a zdrojov do dodržiavania predpisov, pričom sa zároveň stále zaoberajú množstvom všeobecných bezpečnostných úloh.

To by bolo v poriadku v dobre zabezpečenom bezpečnostnom tíme, ale v skutočnosti uvidíme ďalšie dôležité projekty, ktoré spadajú do poriadku. Budú existovať potreby kybernetickej bezpečnosti v nástroji, ktoré sa kvôli nedostatočným zdrojom neriešia. Investície sa preto musia zvýšiť.

Staré rozdelenie OT / IT

Rozdelenie prevádzkových technológií (OT) a informačných technológií (IT) je niečo, čo pre človeka na ulici bude znamenať málo, ale v našom svete je mimoriadne známe. IT systémy a OT systémy sú stále veľmi odlišné. Stavajú ich rôzni ľudia s rôznymi stupňami a svetonázormi pomocou rôznych protokolov s rôznymi účelmi. Inžinier, ktorý pred dvadsiatimi rokmi navrhol transformátor v rozvodni, nikdy nemal v hlave myšlienku kybernetickej bezpečnosti - koniec koncov, systémy neboli vzájomne prepojené ako dnes. Rovnako pravdepodobne nikdy nenapadlo programátora, ktorý navrhol fakturačný systém zákazníka, aby premýšľal o komunikačnom protokole inteligentného merača, pretože také niečo neexistovalo.

Teraz sa však svet spája. Vytváraním viac digitálnych, prepojených inteligentných sietí prinášame IT a OT spoločne a vytvárame bezpečnostné výzvy v doméne OT, ktorá predtým patrila výlučne IT.

Určite potrebujeme viac ľudí v priemysle, ktorí rozumejú obom doménam. Bude to chvíľu trvať. Spoločnosti však často tento problém zhoršujú zlou organizáciou zdrojov, ktoré majú v rámci organizácie.

Doteraz mali IT chlapci veľmi málo interakcie s inžiniermi, ktorí sa starali o OT. Verejnoprospešné služby však musia navrhnúť spôsoby, ako spojiť týchto ľudí a prinútiť ich, aby hovorili, aby začali vytvárať zmes vedomostí a zručností a maximalizovali hodnotu z obmedzeného zdroja.

Bezpečnosť ako dodatok

Už viac ako desať rokov sme počuli frázy ako „end-end security“ a „security by design“. Základnou zásadou je, že bezpečnosť musí byť zohľadnená od začiatku, nie na konci.

Ale v praxi to nie je dosť.

Povedzte, že pracujete v nástroji a chcete vyskúšať novú technológiu alebo službu. Je pravdepodobné, že budete pracovať na značnom časovom tlaku, aby sa konkurencia nedostala na trh. V tomto bode, veľa spech dostať pilotný program hore a beží na testovanie uskutočniteľnosti, ale nie faktor v kybernetickej bezpečnosti. Koniec koncov, nemusí to byť myšlienka, ktorá je prijatá vpred, takže by bolo stratou času a zdrojov starať sa o bezpečnosť v tomto ranom štádiu, nie?

Pochopiteľné, ale nesprávne. Pretože bezpečnosť nemôže byť pridaná len na konci. Tam môže byť zásadná chyba v prístupe, ktorý nemôže byť jednoducho opravené, môže byť príliš veľa zraniteľnosti, aby ju na trh. Bezpečnostný tím, volaný ako posledná úvaha, môže byť v nezávideniahodnej pozícii nixingu celého projektu a úplne ho pritlačiť. Všetko, čo funguje za nič!

To nie je úloha, ktorú chcú profesionáli v oblasti bezpečnosti hrať, ale príliš často je to ten, ktorý musia. A bude to aj naďalej, kým nebudú riadne konzultovaní od najskorších štádií projektu. Opäť bude vyžadovať reorganizáciu spôsobu, akým spoločnosti využívajú obmedzené zdroje počítačovej bezpečnosti, ktoré majú.

Dôvody, prečo byť veselý?

Nie je to všetko doom a šero. Tam sú investície do kybernetickej bezpečnosti - oveľa viac, než kedykoľvek predtým. To ide ruka v ruke s rastúcim povedomím naprieč vedúcimi tímami a to, čo začína ako pery, sa postupne stáva úprimným, pretože realizácia dôležitosti kybernetickej bezpečnosti.

A práve samotný energetický prechod, ktorý zvyšuje potrebu kybernetickej bezpečnosti, tiež vytvára príležitosť. Pozrite sa na všetky veľké nástroje zásadne mení svoju stratégiu ako podnikanie, spinning majetku a rekalibrácia vedúcich tímov úplne. Nikdy nebol lepší čas na radikálnu zmenu - ako napríklad uvedenie bezpečnostných expertov do správnej rady.

Dobrou správou je, že robíme veľa správnych vecí. Zlá správa je, že to nerobíme nikde dosť rýchlo.

Zdieľaj tento článok:

EU Reporter publikuje články z rôznych externých zdrojov, ktoré vyjadrujú širokú škálu názorov. Stanoviská zaujaté v týchto článkoch nemusia byť nevyhnutne stanoviská EU Reporter.

Trendy