如何實(shí)現(xiàn)IT和OT安全數(shù)據(jù)是否與第三方共享？

時(shí)間：2020-05-09 10:48:01

關(guān)鍵字：云計(jì)算軟件傳感器電力設(shè)施

手機(jī)看文章

掃描二維碼
隨時(shí)隨地手機(jī)看文章

[導(dǎo)讀] 在過去的十年中，隨著云計(jì)算的出現(xiàn)，IT發(fā)生了巨大變化，云計(jì)算提供無處不在的訪問、無限的計(jì)算和無邊界的存儲(chǔ)。另一方面，運(yùn)營(yíng)技術(shù)（OT）的發(fā)展則緩慢得多，這種技術(shù)是指運(yùn)行核反應(yīng)堆、石油鉆塔、電力設(shè)施

在過去的十年中，隨著云計(jì)算的出現(xiàn)，IT發(fā)生了巨大變化，云計(jì)算提供無處不在的訪問、無限的計(jì)算和無邊界的存儲(chǔ)。另一方面，運(yùn)營(yíng)技術(shù)（OT）的發(fā)展則緩慢得多，這種技術(shù)是指運(yùn)行核反應(yīng)堆、石油鉆塔、電力設(shè)施等的技術(shù)。

基于這種二分法，IT與OT安全的成熟度和發(fā)展也有各自的軌跡。

在企業(yè)的IT部門內(nèi)，增量?jī)?nèi)容不斷交付;例如，對(duì)最新產(chǎn)品的頻繁更新，或者當(dāng)發(fā)現(xiàn)嚴(yán)重漏洞時(shí)，安裝新軟件版本或補(bǔ)丁。然后是動(dòng)態(tài)性更高的環(huán)境，例如，DevOps團(tuán)隊(duì)不斷提供快速發(fā)布。

與此相反，企業(yè)的OT方面則很少進(jìn)行軟件更新。即使是嚴(yán)重的漏洞，也可能會(huì)持續(xù)數(shù)月甚至數(shù)年未修復(fù)，因?yàn)樯?jí)系統(tǒng)需要關(guān)閉電力設(shè)施或核電站，這必須進(jìn)行精心地協(xié)調(diào)，并且必須對(duì)軟件更新有絕對(duì)的信心。

但是，隨著IT開始擴(kuò)展到OT，以及OT延展到IT，這些對(duì)IT和OT安全性的嚴(yán)格分類開始模糊。

將OT引入IT團(tuán)隊(duì)

想象一下，某家企業(yè)正在安裝面部識(shí)別系統(tǒng)作為身份驗(yàn)證機(jī)制，以允許員工進(jìn)入辦公場(chǎng)所?；蛘咴跁?huì)議室安裝傳感器以檢測(cè)使用模式。這是IT還是OT范疇？如果這是傳統(tǒng)的B2C企業(yè)，并且該企業(yè)沒有OT章程，則屬于傳統(tǒng)IT的范圍。但是，這并不是傳統(tǒng)IT內(nèi)的東西，傳統(tǒng)IT部門從未處理過這些操作組件，這明顯地?cái)U(kuò)展了IT的范圍。并且，這樣的連接部署帶來很多安全和隱私隱患。對(duì)于面部識(shí)別系統(tǒng)，這些內(nèi)容可能包括：

員工是否知道自己的照片正在用于身份驗(yàn)證？

員工離開公司后，數(shù)據(jù)將保留多長(zhǎng)時(shí)間？

數(shù)據(jù)是否與第三方共享？

問題并不止于此，對(duì)于這種IoT部署，傳統(tǒng)IT企業(yè)正在進(jìn)入OT供應(yīng)商的領(lǐng)域。

將IT帶到OT團(tuán)隊(duì)

核電廠中的傳統(tǒng)OT傳感器平均使用壽命為10到20年。這里的安全問題是，對(duì)于最新發(fā)現(xiàn)的漏洞或重要功能更新，安裝軟件更新可能需要幾個(gè)月或幾年的時(shí)間。為什么呢？因?yàn)樵谶@樣的關(guān)鍵環(huán)境中，任何停機(jī)都可能造成災(zāi)難性后果，因此需要精心規(guī)劃。

但是，這種情況正在迅速發(fā)生改變。隨著物聯(lián)網(wǎng)和5G的到來，以及無線更新成為常態(tài)，互聯(lián)設(shè)備以及在其中運(yùn)行的軟件突然變得更容易訪問-不僅是對(duì)于OT團(tuán)隊(duì)，而且是對(duì)于黑客。傳統(tǒng)上，由于物理隔離，通常OT不用擔(dān)心網(wǎng)絡(luò)攻擊，但現(xiàn)在這種隔離已經(jīng)被打破。而且，對(duì)這些傳感器進(jìn)行儀表化以提高效率突然成為現(xiàn)實(shí)。例如，在寒冷的天氣中調(diào)低冷卻風(fēng)扇的轉(zhuǎn)速可以節(jié)省大量能源并節(jié)省成本。通過IoT部署，現(xiàn)在數(shù)據(jù)收集、分析、預(yù)測(cè)和操作都加入到OT范疇，以及與之相關(guān)的所有安全性、隱私和法規(guī)。這一切突然開始看起來像是IT“故事”。

實(shí)現(xiàn)IT和OT安全

原本獨(dú)立的IT與OT安全的正在迅速發(fā)展。企業(yè)應(yīng)該教育和培訓(xùn)員工以適應(yīng)這種變化，并做好準(zhǔn)備應(yīng)對(duì)IT進(jìn)入OT以及OT進(jìn)入IT的安全隱患。

以下是三個(gè)實(shí)用技巧，可幫助你應(yīng)對(duì)這種IT與OT融合以及提高意識(shí)：

人員-跨領(lǐng)域招聘是一種很好的方法，可互相引入各自領(lǐng)域的人才。例如，傳統(tǒng)的IT企業(yè)可以很好地向OT企業(yè)尋求技術(shù)人才。同樣，任何OT企業(yè)都將擁有內(nèi)部IT人才，這些人才可以加入主流產(chǎn)品開發(fā)部門，以提高網(wǎng)絡(luò)安全意識(shí)以及數(shù)字化轉(zhuǎn)型對(duì)該社區(qū)的影響。

培訓(xùn)-永遠(yuǎn)會(huì)有需要學(xué)習(xí)的東西。但是，學(xué)習(xí)的資源多種多樣-從在線自我學(xué)習(xí)到講師指導(dǎo)的培訓(xùn)，甚至是由供應(yīng)商贊助的培訓(xùn)。后者是OT企業(yè)進(jìn)行數(shù)字轉(zhuǎn)型時(shí)可以利用的方法，以從供應(yīng)商的角度獲得培訓(xùn)和學(xué)習(xí)，以了解如何連接性和數(shù)據(jù)收集的最佳做法。

規(guī)章制度-規(guī)章制度通常被人們憤世嫉俗地視為企業(yè)合規(guī)稅，這里可以是創(chuàng)新和學(xué)習(xí)的“狩獵場(chǎng)”，不僅可確保合規(guī)，還可以在法規(guī)內(nèi)蓬勃發(fā)展。GDPR和《加州消費(fèi)者隱私法案》都是實(shí)用和有價(jià)值法規(guī)的很好例子，IT和OT都需要考慮數(shù)據(jù)安全性、隱私性和透明性。