如何使IT與OT安全協(xié)同工作

張格

在過去的10年中，隨著云計算的出現(xiàn)，IT發(fā)生了巨大變化，云計算提供無處不在的訪問、無限的計算和無邊界的存儲。另一方面，運營技術(shù)（OT）的發(fā)展則緩慢得多，基于這種二分法，IT與OT安全的成熟度和發(fā)展也有各自的軌跡。

在企業(yè)的IT部門內(nèi)，增量內(nèi)容不斷交付，例如，對最新產(chǎn)品的頻繁更新，或者當(dāng)發(fā)現(xiàn)嚴(yán)重漏洞時，安裝新軟件版本或補(bǔ)??；然后是動態(tài)性更高的環(huán)境，例如，DevOps團(tuán)隊不斷提供快速發(fā)布。

與此相反，企業(yè)的OT方面則很少進(jìn)行軟件更新。即使是嚴(yán)重的漏洞，也可能會持續(xù)數(shù)月甚至數(shù)年未修復(fù)，因為升級系統(tǒng)需要關(guān)閉電力設(shè)施或核電站，這必須進(jìn)行精心地協(xié)調(diào)，并且必須對軟件更新有絕對的信心。

但是，隨著IT開始擴(kuò)展到OT，以及OT延展到IT，這些對IT和OT安全性的嚴(yán)格分類開始變得模糊。

將OT引入IT團(tuán)隊

想象一下，某家企業(yè)正在安裝面部識別系統(tǒng)作為身份驗證機(jī)制，以允許員工進(jìn)入辦公場所，或者在會議室安裝傳感器以檢測使用模式，這是IT還是OT范疇？如果這是傳統(tǒng)的B2C企業(yè)，并且該企業(yè)沒有OT章程，則屬于傳統(tǒng)IT的范圍。但是，這并不是傳統(tǒng)IT內(nèi)的東西，傳統(tǒng)IT部門從未處理過這些操作組件，這明顯擴(kuò)展了IT的范圍。并且，這樣的連接部署帶來很多安全和隱私隱患。對于面部識別系統(tǒng)，這些內(nèi)容可能包括：

員工是否知道自己的照片正在用于身份驗證？

員工離開公司后，數(shù)據(jù)將保留多長時間？

數(shù)據(jù)是否與第三方共享？

問題并不止于此，對于這種IoT部署，傳統(tǒng)IT企業(yè)正在進(jìn)入OT供應(yīng)商的領(lǐng)域。

將IT帶到OT團(tuán)隊

核電廠中的傳統(tǒng)OT傳感器平均使用壽命為10～20年。這里的安全問題是，對于最新發(fā)現(xiàn)的漏洞或重要功能更新，安裝軟件更新可能需要幾個月或幾年的時間。為什么呢？因為在這樣的關(guān)鍵環(huán)境中，任何停機(jī)都可能造成災(zāi)難性后果，因此需要精心規(guī)劃。

但是，這種情況正在迅速發(fā)生改變。隨著物聯(lián)網(wǎng)和5G的到來，以及無線更新成為常態(tài)，互聯(lián)設(shè)備以及在其中運行的軟件突然變得更容易訪問———不僅是對于OT團(tuán)隊，而且是對于黑客。傳統(tǒng)上，由于物理隔離，通常OT不用擔(dān)心網(wǎng)絡(luò)攻擊，但現(xiàn)在這種隔離已經(jīng)被打破。而且，對這些傳感器進(jìn)行儀表化以提高效率突然成為現(xiàn)實。例如，在寒冷的天氣中調(diào)低冷卻風(fēng)扇的轉(zhuǎn)速可以節(jié)省大量能源并節(jié)省成本。通過IoT部署，現(xiàn)在數(shù)據(jù)收集、分析、預(yù)測和操作都加入到OT范疇，以及與之相關(guān)的所有安全性、隱私和法規(guī)。這一切突然開始看起來像是IT“故事”。

實現(xiàn)IT和OT安全

原本獨立的IT與OT安全的正在迅速發(fā)展。企業(yè)應(yīng)該教育和培訓(xùn)員工適應(yīng)這種變化，并做好準(zhǔn)備應(yīng)對IT進(jìn)入OT以及OT進(jìn)入IT的安全隱患。

以下是3個實用技巧，可幫助應(yīng)對這種IT與OT融合以及提高意識：

人員。跨領(lǐng)域招聘是一種很好的方法，可互相引入各自領(lǐng)域的人才，例如，傳統(tǒng)的IT企業(yè)可以很好地向OT企業(yè)尋求技術(shù)人才。同樣，任何OT企業(yè)都將擁有內(nèi)部IT人才，這些人才可以加入主流產(chǎn)品開發(fā)部門，以提高網(wǎng)絡(luò)安全意識以及數(shù)字化轉(zhuǎn)型對該社區(qū)的影響。

培訓(xùn)。永遠(yuǎn)都會有需要學(xué)習(xí)的東西。但是，學(xué)習(xí)的資源多種多樣，從在線自我學(xué)習(xí)到講師指導(dǎo)的培訓(xùn)，甚至是由供應(yīng)商贊助的培訓(xùn)。后者是OT企業(yè)進(jìn)行數(shù)字轉(zhuǎn)型時可以利用的方法，以從供應(yīng)商的角度獲得培訓(xùn)和學(xué)習(xí)，了解如何連接和數(shù)據(jù)收集的最佳做法。

規(guī)章制度。規(guī)章制度通常被人們視為企業(yè)“合規(guī)稅”，這里可以是創(chuàng)新和學(xué)習(xí)的“狩獵場”，不僅可確保合規(guī)，還可以在法規(guī)內(nèi)蓬勃發(fā)展。IT和OT都需要考慮數(shù)據(jù)安全性、隱私性和透明性，GDPR和《加州消費者隱私法案》都是實用和有價值法規(guī)的很好例子。