Cyber-spionasje
#EnergySector og #CyberSecurity: Den andre kapasitetsgapet
Vi er kjent med kapasitetsgap i energisektoren. Her er en uttalelse at jeg er sikker på at de fleste av våre bransjeledere vil være enige med: Samfunnet trenger energi, og etterspørselen vil bare vokse. Vi trenger mer kraft og være smartere om hvordan vi bruker det for å opprettholde forsyningssikkerheten, skriver Michael John, direktør for operasjoner på ENCS.
Bytt nå ordet 'power' med 'cyber security resource'. Ville så mange være enige? De burde, fordi det er sant.
Dette ressursgapet er veldig reelt, og det er viktig at vi får tak i det når infrastrukturen vår blir smartere og mer koblet sammen. En del av denne ligningen er ferdighetsgapet - mangelen på cybersikkerhetsfagfolk i sektoren - som vi har diskutert tidligere. Imidlertid, bortsett fra ferdigheter, må vi øke ressursene og være mer intelligente om hvordan vi distribuerer dem.
Alle ombord?
Europas energiselskaper har gjort reelle fremskritt på nettverkssikkerhet på mange måter. For et tiår siden, ville ikke mange konserter på styrets nivå også ta på nettverkssikkerhet, nå er det ikke uvanlig å høre en administrerende direktør beroligende interessenter hvor alvorlig de tar emnet.
Men handlinger snakker høyere enn ord, og leppetjeneste er ikke nok. Vanligvis vil styremedlemmer være dyktige, seniorledere som gjorde sin karriere i en helt annen verden, der sikkerhet knyttet til kjettinglenke gjerder. Det er forståelig at de kanskje ikke forstår omfanget og viktigheten av trusselen, og - i tillegg - de har mange andre forretningsmessige problemer som kjemper om deres oppmerksomhet.
Så, det vi trenger er flere personer med sikkerhetsferdigheter på styrene, for å sikre at det står øverst på dagsordenen. C'O'en i CISO viser hvor viktig de er, og lederne av Chief Information Security Officers (CISOs) i den europeiske energisektoren vokser, men vi trenger fortsatt flere av dem med større beslutningsstyrke. Cyber-sikkerhet må være en sentral del av ethvert verktøys strategi.
Ressurs konkurranse
De fleste verktøy har i dag noen talentfulle sikkerhetsfolk i organisasjonen. Meget få har nok folk, men forlater et ressursbegrenset lag for å håndtere en rekke konkurrerende prioriteringer.
Ettersom sikkerhetsforskrifter og standarder med rette går inn i energirommet, vil lagene finne seg å investere tid og ressurser i overholdelse, samtidig som de fortsatt arbeider med en rekke generelle sikkerhetsoppgaver.
Det ville være fint i et velfungerende sikkerhetslag, men i virkeligheten vil vi se andre viktige prosjekter falle ned i hakkeordren. Det vil være behov for cybersikkerhet i verktøyet som går uadressert på grunn av ressursbegrensninger. Investeringene må derfor øke.
Den gamle OT / IT-delen
Skillet mellom operativ teknologi (OT) og informasjonsteknologi (IT) er noe som vil bety lite for mannen på gaten, men er ekstremt kjent i vår verden. IT-systemer og OT-systemer er fortsatt veldig forskjellige. De er bygd av forskjellige mennesker med forskjellige grader og verdenssyn, og bruker forskjellige protokoller med forskjellige formål. Ingeniøren som designet transformatoren i transformatorstasjonen for tjue år siden hadde aldri en cybersikkerhetstank i hodet - tross alt var ikke systemene sammenkoblet slik de er i dag. Likeledes har det sannsynligvis aldri skjedd programmereren som designet kundefaktureringssystemet til å tenke på smartmeter-kommunikasjonsprotokollen, da en slik ting ikke eksisterte.
Likevel er verdenene fusjonere. Ved å skape flere digitale, tilkoblede smarte nettverk, bringer vi IT og OT sammen, og skaper sikkerhetsutfordringer i OT-domenet som tidligere bare tilhørte IT-en.
Vi trenger absolutt flere personer i bransjen som forstår begge domenene. Det vil ta tid. Imidlertid gjør selskapene ofte problemet verre ved dårlig organisering av ressursene de har over en organisasjon.
Inntil nå har IT-gutta sannsynligvis svært lite samspill med ingeniører som ser etter OT. Likevel må verktøyene utarbeide måter å bringe disse menneskene sammen og få dem til å snakke for å begynne å skape blanding av kunnskap og ferdigheter og maksimere verdien fra en begrenset ressurs.
Sikkerhet som en ettertanke
I godt over ti år har vi hørt setninger som "ende til slutt sikkerhet" og "sikkerhet ved design". Kjerneprinsippet er at sikkerheten må tas med i fra begynnelsen, ikke slått på på slutten.
Men i praksis skjer det ikke akkurat nok.
Si at du jobber på et verktøy og vil prøve en ny teknologi eller tjeneste. Sjansen er at du vil jobbe for betydelig tidstrykk, slik at konkurransen slår deg til markedet. På dette tidspunktet er det mange rush å få en pilotordning oppe for å teste gjennomførbarhet, men ikke faktor i nettverkssikkerhet. Tross alt kan det ikke være en ide som blir tatt fremover, så det ville være spild av tid og ressurs å bekymre seg for sikkerhet på dette tidlige stadium, ikke sant?
Forståelig, men feil. Fordi sikkerhet ikke bare kan legges på på slutten. Det kan være en grunnleggende feil i tilnærmingen som ikke bare kan lappes, det kan være for mange sårbarheter for å ta det til markedet. Sikkerhetslaget, som ble innkalt som det siste hensynet, kan være i den ubenyttelige posisjonen til å nixing hele prosjektet, snuff ideen helt ut. Alt som jobber for ingenting!
Det er ikke den rollen som sikkerhetsproffene ønsker å spille, men for ofte er det det de må. Og det vil fortsette å være til de blir riktig konsultert fra de tidligste stadiene av prosjektet. Igjen vil det kreve omorganisering av hvordan selskaper bruker de begrensede sikkerhetsressursene de har.
Grunner til å være munter?
Det er ikke alt dum og dyster skjønt. Det er investeringer i nettverkssikkerhet - langt mer enn det som pleide å være. Dette går hånd i hånd med økende bevissthet på tvers av ledergrupper, og det som begynner som leppetjenesten blir gradvis oppriktig som realiseringen av nettverkssikkerhetens betydning begynner.
Og den meget energibesparelsen som oppmer behovet for nettverkssikkerhet skaper også mulighet. Se på alle de store verktøyene som fundamentalt forandrer sin strategi som en bedrift, spinner ut eiendeler og rekalibrerer ledergrupper helt. Det har aldri vært en bedre tid for radikale endringer, for eksempel å sette sikkerhetseksperter på tavlen.
Den gode nyheten er at vi gjør mange av de riktige tingene. Den dårlige nyheten er at vi ikke gjør det hvor som helst raskt nok.
Del denne artikkelen:
Frankrike vedtar ny anti-kultlov mot Senatets opposisjon
Nasjonalkonservative lover å gå videre med arrangementet i Brussel
NatCons av/på-konferanse stoppet av Brussel-politiet
Lekkasje: EUs innenriksministre ønsker å unnta seg selv fra chatkontroll bulkskanning av private meldinger
NatCon-konferansen fortsetter på nytt sted i Brussel
EU-ledere fordømmer Irans "enestående" angrep på Israel
Borrell skriver sin stillingsbeskrivelse
Sikre demokrati og respekt for rettigheter i Romania: En oppfordring om rettferdighet og integritet
Oslo-erklæringen skaper nye utfordringer for utvikling av mennesker
Det europeiske råd handler mot Iran, men håper på fremgang mot fred
Fagforeninger sier at minimumslønnsdirektivet allerede fungerer
Ytringsfriheten seier hevdet da retten stoppet ordre om å stoppe NatCon
Gjør løfter til handling: G7s viktige rolle i å støtte Ukrainas fremtid
«La oss ikke glemme Gaza» sier Borrell etter at utenriksministrene har diskutert Israel-Iran-krisen
NatCons av/på-konferanse stoppet av Brussel-politiet
Kommisjonen støtter Ukraina-planen
To økter 2024 starter: Her er hvorfor det er viktig
President Xi Jinpings nyttårsbudskap for 2024
Inspirerende tur over Kina
Et tiår med BRI: Fra visjon til virkelighet
"Sneaking Cults" - Prisvinnende dokumentarfremvisning med suksess i Brussel
Religion og barns rettigheter - Uttalelse fra Brussel
Over 100 kirkemedlemmer ble slått og arrestert ved den tyrkiske grensen
Utdype energisamarbeidet med Aserbajdsjan - Europas pålitelige partner for energisikkerhet.
-
Frankrike5 dager sidenFrankrike vedtar ny anti-kultlov mot Senatets opposisjon
-
Konferanser5 dager sidenNasjonalkonservative lover å gå videre med arrangementet i Brussel
-
Konferanser2 dager sidenNatCons av/på-konferanse stoppet av Brussel-politiet
-
Masseovervåkning3 dager sidenLekkasje: EUs innenriksministre ønsker å unnta seg selv fra chatkontroll bulkskanning av private meldinger