#EnergySector en #CyberSecurity: Die ander kapasiteitsgaping

Ons is bekend met kapasiteitsgapings in die energiesektor. Hier is 'n verklaring dat ek seker is dat die meeste van ons bedryfsleiers saamstem met: die samelewing benodig energie en die vraag sal net groei. Ons benodig meer krag en moet slimmer wees oor hoe ons dit gebruik om sekuriteit van voorraad te handhaaf, skryf Michael John, direkteur van bedrywighede by Aanhegsels.

Vervang nou die woord 'power' met 'cyber security resource'. Sou soveel mense saamstem? Hulle moet, want dit is waar.

Hierdie hulpbrongaping is baie werklik, en dit is van kardinale belang dat ons dit moet aangaan namate ons infrastruktuur slimmer en meer verbind word. Een deel van hierdie vergelyking is die vaardigheidsgaping - die tekort aan professionele kubersekuriteit in die sektor - wat ons voorheen bespreek het. Afgesien van vaardighede, moet ons egter hulpbronne vergroot en meer intelligent wees oor hoe ons dit gebruik.

Alle aan boord?

Europa se energiemaatskappye het op baie maniere werklike vooruitgang op die gebied van kuberveiligheid gemaak. Terwyl 'n dekade gelede nie baie raadvlak-gesprekke selfs oor kuberveiligheid raak nie, is dit nie ongewoon om 'n uitvoerende hoof van gerusstellende belanghebbendes te hoor hoe ernstig hulle die onderwerp hanteer nie.

Maar aksies spreek harder as woorde, en lippediens is nie genoeg nie. Gewoonlik sal bestuurslede bereik word, senior leiers wat hul loopbane in 'n heel ander wêreld gemaak het, waar veiligheid verband hou met kettingverbindings. Dit is te verstane dat hulle nie die omvang en die belangrikheid van die bedreiging sal begryp nie, en buitendien het hulle baie ander sake-sake wat om hul aandag veg.

Dus, wat ons nodig het, is meer mense met kuberveiligheidsvaardighede op die direksies om te verseker dat dit bo-aan die agenda is. Die C in CISO toon hoe belangrik dit is, en die geledere van hoofinligtingsbeamptes (CISO's) in die Europese energiesektor groei, maar ons benodig nog meer van hulle met groter besluitnemingsmag. Cyber ​​sekuriteit moet 'n kernkomponent van enige nut se strategie wees.

advertensie

Hulpbron kompetisie

Die meeste nutsdienste het deesdae talentvolle sekuriteitsmense in die organisasie. Baie min het egter genoeg mense, wat 'n hulpbron-beperkte span verlaat om 'n aantal kompeterende prioriteite te hanteer.

Aangesien sekuriteitsregulasies en -standaarde terecht in die energieruimte kom, sal spanne vind dat hulle tyd en hulpbronne in nakoming belê, terwyl hulle terselfdertyd steeds oor 'n aantal algemene veiligheidstake handel.

Dit sal goed wees in 'n goed-beveiligde sekuriteitspan, maar in werklikheid sal ons sien dat ander belangrike projekte in die pik-orde val. Daar sal kuberbeveiligingsbehoeftes wees in die program wat ongeduldig raak as gevolg van hulpbronbeperkings. Belegging moet dus toeneem.

Die ou OT / IT verdeel

Die operasionele tegnologie (OT) / inligtingstegnologie (IT) is iets wat vir die man op straat min sal beteken, maar in ons wêreld baie bekend is. IT-stelsels en OT-stelsels verskil nog steeds baie. Dit word gebou deur verskillende mense met verskillende grade en wêreldbeskouings, en gebruik verskillende protokolle met verskillende doeleindes. Die ingenieur wat die transformator twintig jaar gelede in die substasie ontwerp het, het nooit 'n kuberveiligheidsgedagte in sy kop gehad nie - stelsels was immers nie onderling verbind soos vandag nie. Net so het die programmeerder wat die kliëntfaktureringstelsel ontwerp het, waarskynlik nooit opgekom om na te dink oor die slimmeterkommunikasieprotokol nie, aangesien so iets nie bestaan ​​nie.

Tog is die wêrelde nou saam. Deur meer digitale, gekoppelde slimme netwerke te skep, bring ons IT en OT saam en skep veiligheidsuitdagings in die OT-domein wat voorheen uitsluitlik aan die IT-een behoort.

Ons het beslis meer mense in die bedryf nodig wat beide domeine verstaan. Dit sal tyd neem. Maatskappye maak egter dikwels die probleem erger deur die hulpbronne wat hulle oor 'n organisasie het, swak te organiseer.

Tot dusver het die IT-ouers waarskynlik baie min interaksie gehad met die ingenieurs wat OT na hulle kyk. Tog moet nutsdienste maniere ontwikkel om hierdie mense bymekaar te bring en hulle te praat om te begin met die skep van 'n mengsel van kennis en vaardighede en waarde te maksimaliseer van 'n beperkte hulpbron.

Sekuriteit as 'n nagedagte

Vir ruim tien jaar het ons ook frases soos 'end to end security' en 'security by design' gehoor. Die kernbeginsel is dat sekuriteit van die begin af ingevoer moet word, nie aan die einde toegepas word nie.

Maar in die praktyk gebeur dit net nie genoeg nie.

Sê jy werk by 'n program en wil 'n nuwe tegnologie of diens probeer. Die kans is dat jy aan beduidende tydsdruk sal werk, sodat die kompetisie jou nie op die mark sal slaan nie. Op hierdie punt, baie haastig om 'n loodskema op te doen om uitvoerbaarheid te toets, maar nie in die kuberveiligheidsfaktor nie. Dit kan immers nie 'n idee wees wat vorentoe geneem word nie, so dit sal 'n mors van tyd en hulpbronne wees om in hierdie vroeë stadium oor veiligheid te bekommer, reg?

Verstaanbaar, maar verkeerd. Omdat sekuriteit nie net op die einde bygevoeg kan word nie. Daar kan 'n fundamentele fout wees in die benadering wat nie eenvoudig geplaas kan word nie. Daar kan te veel kwesbaarhede wees om dit op die mark te bring. Die sekuriteitspan, wat as laaste oorweging ingewag word, kan in die onbenullige posisie wees om die hele projek te nixing en die idee heeltemal uit te snuif. Al wat werk vir niks!

Dit is nie die rol wat sekuriteitspersoneel wil speel nie, maar te dikwels is dit die een wat hulle moet hê. En dit sal bly totdat hulle behoorlik geraadpleeg word vanaf die vroegste stadiums van die projek. Weereens sal dit nodig wees om te herorganisasie van hoe maatskappye die beperkte kuberbeveiligingsbronne gebruik wat hulle het.

Redes om vrolik te wees?

Dit is egter nie alle straf en somberheid nie. Daar is belegging in kuberveiligheid - veel meer as wat daar ooit gewees het. Dit gaan hand in hand met toenemende bewustheid oor leierskapspanne en wat begin as lipdienste geleidelik opreg word, aangesien die verwesenliking van die kuberveiligheidsbelang belangrik word.

En die baie energie-oorgang wat die behoefte aan kuberveiligheid bied, skep ook geleentheid. Kyk na al die groot nutsdienste wat hul strategie fundamenteel verander as 'n besigheid, bates uitbuit en leierskapspanne heeltemal herbaliseer. Daar was nog nooit 'n beter tyd vir radikale verandering nie, soos om byvoorbeeld sekuriteitsdeskundiges op die bord te sit.

Die goeie nuus is dat ons baie van die regte dinge doen. Die slegte nuus is dat ons dit nie vinnig genoeg doen nie.

Deel hierdie artikel: