#EnergySector και #CyberSecurity: Το άλλο κενό χωρητικότητας

Γνωρίζουμε τα κενά δυναμικότητας στον ενεργειακό τομέα. Ακολουθεί μια δήλωση με την οποία είμαι βέβαιος ότι οι περισσότεροι από τους ηγέτες του κλάδου μας θα συμφωνούσαν: Η κοινωνία χρειάζεται ενέργεια και η ζήτηση θα αυξηθεί μόνο. Χρειαζόμαστε περισσότερη ισχύ και να είμαστε πιο έξυπνοι σχετικά με το πώς τη χρησιμοποιούμε για να διατηρήσουμε την ασφάλεια του εφοδιασμού, γράφει ο Michael John, διευθυντής επιχειρήσεων στο ENCS.

Τώρα αντικαταστήστε τη λέξη «ισχύς» με «πόρος ασφάλειας στον κυβερνοχώρο». Θα συμφωνούσαν όσοι πολλοί; Θα έπρεπε, γιατί είναι αλήθεια.

Αυτό το κενό πόρων είναι πολύ πραγματικό και είναι σημαντικό να το αντιμετωπίσουμε καθώς η υποδομή μας γίνεται πιο έξυπνη και πιο συνδεδεμένη. Ένα μέρος αυτής της εξίσωσης είναι το χάσμα δεξιοτήτων - το έλλειμμα σε επαγγελματίες ασφάλειας στον κυβερνοχώρο στον τομέα - το οποίο έχουμε συζητήσει προηγουμένως. Ωστόσο, εκτός από τις δεξιότητες, πρέπει να αυξήσουμε τους πόρους και να είμαστε πιο έξυπνοι σχετικά με τον τρόπο που τους αξιοποιούμε.

Όλα επί του σκάφους;

Οι ενεργειακές εταιρείες της Ευρώπης έχουν σημειώσει πραγματική πρόοδο στην ασφάλεια στον κυβερνοχώρο με πολλούς τρόπους. Ενώ πριν από μια δεκαετία, πολλές συνομιλίες σε επίπεδο διοικητικού συμβουλίου δεν αφορούσαν καν την ασφάλεια στον κυβερνοχώρο, τώρα δεν είναι ασυνήθιστο να ακούμε έναν CEO να καθησυχάζει τους ενδιαφερόμενους πόσο σοβαρά παίρνουν το θέμα.

Αλλά οι πράξεις μιλούν πιο δυνατά από τα λόγια, και η ειλικρίνεια δεν αρκεί. Συνήθως, τα μέλη του διοικητικού συμβουλίου θα είναι ολοκληρωμένα, ανώτερα στελέχη που έκαναν τη σταδιοδρομία τους σε έναν πολύ διαφορετικό κόσμο, όπου η ασφάλεια σχετίζεται με φράκτες με αλυσίδα. Είναι κατανοητό ότι μπορεί να μην κατανοούν την κλίμακα και τη σημασία της απειλής και - εκτός αυτού - έχουν πολλά άλλα επιχειρηματικά ζητήματα που διεκδικούν την προσοχή τους.

Έτσι, αυτό που χρειαζόμαστε είναι περισσότερα άτομα με δεξιότητες ασφάλειας στον κυβερνοχώρο στα διοικητικά συμβούλια, για να διασφαλίσουμε ότι είναι στην κορυφή της ατζέντας. Το «C» στο CISO δείχνει πόσο σημαντικά είναι και οι βαθμίδες των Chief Information Security Officers (CISOs) στον ευρωπαϊκό ενεργειακό τομέα αυξάνονται, αλλά χρειαζόμαστε ακόμη περισσότερους από αυτούς με μεγαλύτερη εξουσία λήψης αποφάσεων. Η ασφάλεια στον κυβερνοχώρο πρέπει να αποτελεί βασικό συστατικό της στρατηγικής οποιουδήποτε βοηθητικού προγράμματος.

Διαφήμιση

Διαγωνισμός πόρων

Οι περισσότερες επιχειρήσεις κοινής ωφέλειας σήμερα έχουν μερικούς ταλαντούχους ανθρώπους ασφαλείας στον οργανισμό. Ωστόσο, πολύ λίγοι έχουν αρκετό κόσμο, αφήνοντας μια ομάδα με περιορισμένους πόρους για να χειριστεί έναν αριθμό ανταγωνιστικών προτεραιοτήτων.

Καθώς οι κανονισμοί και τα πρότυπα ασφαλείας δικαίως μπαίνουν στον ενεργειακό χώρο, οι ομάδες θα βρεθούν να επενδύουν χρόνο και πόρους για τη συμμόρφωση, ενώ, ταυτόχρονα, θα εξακολουθούν να αντιμετωπίζουν μια σειρά από γενικές εργασίες ασφάλειας.

Αυτό θα ήταν εντάξει σε μια ομάδα ασφαλείας με καλούς πόρους, αλλά στην πραγματικότητα, θα δούμε άλλα σημαντικά έργα να καταρρέουν. Θα υπάρξουν ανάγκες ασφάλειας στον κυβερνοχώρο στο βοηθητικό πρόγραμμα που δεν αντιμετωπίζονται λόγω περιορισμών πόρων. Επομένως, οι επενδύσεις πρέπει να αυξηθούν.

Το παλιό χάσμα OT/IT

Ο διαχωρισμός επιχειρησιακής τεχνολογίας (OT)/τεχνολογίας πληροφοριών (IT) είναι κάτι που θα σημαίνει ελάχιστα για τον άνθρωπο στο δρόμο, αλλά είναι εξαιρετικά οικείο στον κόσμο μας. Τα συστήματα πληροφορικής και τα συστήματα OT εξακολουθούν να είναι πολύ διαφορετικά. Κατασκευάζονται από διαφορετικούς ανθρώπους με διαφορετικούς βαθμούς και κοσμοθεωρίες, χρησιμοποιώντας διαφορετικά πρωτόκολλα με διαφορετικούς σκοπούς. Ο μηχανικός που σχεδίασε τον μετασχηματιστή στον υποσταθμό πριν από είκοσι χρόνια δεν είχε ποτέ στο μυαλό του μια σκέψη για την ασφάλεια στον κυβερνοχώρο - τελικά, τα συστήματα δεν ήταν διασυνδεδεμένα όπως σήμερα. Ομοίως, πιθανότατα δεν πέρασε ποτέ από το μυαλό του προγραμματιστή που σχεδίασε το σύστημα χρέωσης πελατών να σκεφτεί το πρωτόκολλο επικοινωνίας του έξυπνου μετρητή καθώς κάτι τέτοιο δεν υπήρχε.

Ωστόσο, τώρα οι κόσμοι συγχωνεύονται. Με τη δημιουργία περισσότερων ψηφιακών, συνδεδεμένων έξυπνων δικτύων συγκεντρώνουμε IT και OT και δημιουργούμε προκλήσεις ασφαλείας στον τομέα OT που προηγουμένως ανήκε αποκλειστικά στον τομέα IT.

Σίγουρα χρειαζόμαστε περισσότερα άτομα στον κλάδο που να κατανοούν και τους δύο τομείς. Αυτό θα πάρει χρόνο. Ωστόσο, οι εταιρείες συχνά επιδεινώνουν το πρόβλημα με την κακή οργάνωση των πόρων που διαθέτουν σε έναν οργανισμό.

Μέχρι τώρα, τα παιδιά πληροφορικής είχαν πιθανώς πολύ μικρή αλληλεπίδραση με τους μηχανικούς που φρόντιζαν το ΟΤ. Ωστόσο, οι επιχειρήσεις κοινής ωφέλειας πρέπει να επινοήσουν τρόπους για να φέρουν αυτούς τους ανθρώπους κοντά και να τους κάνουν να μιλήσουν, προκειμένου να αρχίσουν να δημιουργούν το μείγμα γνώσης και δεξιοτήτων και να μεγιστοποιούν την αξία από έναν περιορισμένο πόρο.

Η ασφάλεια ως εκ των υστέρων

Εδώ και πάνω από δέκα χρόνια, ακούμε φράσεις όπως «από άκρο σε άκρο ασφάλεια» και «ασφάλεια από το σχεδιασμό». Η βασική αρχή είναι ότι η ασφάλεια πρέπει να λαμβάνεται υπόψη από την αρχή και όχι στο τέλος.

Αλλά στην πράξη, απλώς δεν συμβαίνει αρκετά.

Ας υποθέσουμε ότι εργάζεστε σε ένα βοηθητικό πρόγραμμα και θέλετε να δοκιμάσετε μια νέα τεχνολογία ή υπηρεσία. Οι πιθανότητες είναι ότι θα εργάζεστε με σημαντική πίεση χρόνου, μήπως ο ανταγωνισμός σας κερδίσει στην αγορά. Σε αυτό το σημείο, πολλοί βιάζονται να θέσουν σε λειτουργία ένα πιλοτικό πρόγραμμα για να δοκιμάσουν τη σκοπιμότητα, αλλά δεν λαμβάνουν υπόψη την ασφάλεια στον κυβερνοχώρο. Σε τελική ανάλυση, μπορεί να μην είναι μια ιδέα που προωθείται, επομένως θα ήταν χάσιμο χρόνου και πόρων να ανησυχούμε για την ασφάλεια σε αυτό το πρώιμο στάδιο, σωστά;

Κατανοητό, αλλά λάθος. Επειδή η ασφάλεια δεν μπορεί να προστεθεί απλώς στο τέλος. Μπορεί να υπάρχει ένα θεμελιώδες ελάττωμα στην προσέγγιση που δεν μπορεί απλώς να επιδιορθωθεί, μπορεί να υπάρχουν πάρα πολλά τρωτά σημεία για να διατεθεί στην αγορά. Η ομάδα ασφαλείας, που καλείται ως τελευταία σκέψη, μπορεί να βρίσκεται στην αζημίωτη θέση να καταρρίψει ολόκληρο το έργο, σβήνοντας εντελώς την ιδέα. Όλα αυτά λειτουργούν για το τίποτα!

Αυτός δεν είναι ο ρόλος που θέλουν να παίξουν οι επαγγελματίες ασφάλειας, αλλά πολύ συχνά είναι ο ρόλος που πρέπει. Και θα συνεχίσει να ισχύει έως ότου ζητηθεί η κατάλληλη γνώμη από τα πρώτα στάδια του έργου. Και πάλι, θα απαιτήσει αναδιοργάνωση του τρόπου με τον οποίο οι εταιρείες χρησιμοποιούν τους περιορισμένους πόρους ασφάλειας στον κυβερνοχώρο που διαθέτουν.

Λόγοι για να είσαι χαρούμενος;

Δεν είναι όμως όλα χαμός και κατήφεια. Υπάρχουν επενδύσεις στην ασφάλεια στον κυβερνοχώρο – πολύ περισσότερες από ό,τι στο παρελθόν. Αυτό συμβαδίζει με την αυξανόμενη ευαισθητοποίηση σε όλες τις ομάδες ηγεσίας και αυτό που ξεκινά ως αφιέρωμα σταδιακά γίνεται ειλικρινές καθώς η συνειδητοποίηση της σημασίας της ασφάλειας στον κυβερνοχώρο ξημερώνει.

Και η ίδια η ενεργειακή μετάβαση που αυξάνει την ανάγκη για ασφάλεια στον κυβερνοχώρο δημιουργεί επίσης ευκαιρίες. Κοιτάξτε όλες τις μεγάλες επιχειρήσεις κοινής ωφέλειας που αλλάζουν ριζικά τη στρατηγική τους ως επιχείρηση, ξεδιπλώνοντας περιουσιακά στοιχεία και επαναβαθμονομώντας πλήρως τις ηγετικές ομάδες. Δεν υπήρξε ποτέ καλύτερη στιγμή για ριζικές αλλαγές – όπως η τοποθέτηση ειδικών σε θέματα ασφάλειας στο ταμπλό, για παράδειγμα.

Τα καλά νέα είναι ότι κάνουμε πολλά από τα σωστά πράγματα. Τα κακά νέα είναι ότι δεν το κάνουμε πουθενά αρκετά γρήγορα.

Μοιραστείτε αυτό το άρθρο: