在过去的十年中,随着云计算的出现,IT发生了翻天覆地的变化,云计算提供了无处不在的访问、无限的计算和无国界的存储。另一方面,运行技术(OT),指用于运行核反应堆、石油钻井平台、电力设施等的技术,其发展要慢得多。基于这种二分法,IT和OT安全的成熟和发展也有着各自的轨迹。在企业的IT部门内部,不断交付增量内容;例如,经常更新最新产品,或者在发现严重漏洞时安装新的软件版本或补丁。还有更多的动态环境,例如,DevOps团队不断交付快速发布。相比之下,企业的OT端很少进行软件更新。即使是严重的错误也可能几个月甚至几年都得不到修复,因为升级系统需要关闭电力公司或核电站,这必须仔细协调,并且必须对软件更新有绝对的信心。然而,随着IT开始延伸到OT,OT延伸到IT,这些严格的IT和OT安全分类开始变得模糊。将OT引入IT团队想象一家企业正在安装面部识别系统作为身份验证机制,以允许员工进入场所。或者在会议室安装传感器来检测使用模式。这是IT还是OT类别?如果这是一个传统的B2C业务,并且该业务没有OT章程,那么它就属于传统IT的范围。然而,这不是传统IT中的事情,传统IT从未处理过这些操作组件,这显然扩展了IT的范围。此外,这种连接部署带来了许多安全和隐私风险。对于面部识别系统,这些可能包括:员工是否知道他们的照片被用于身份验证?员工离职后数据保留多久?数据是否与第三方共享?物联网部署,传统IT企业正在进入OT供应商领域。将IT引入OT团队核电站中的传统OT传感器的平均寿命为10到20年。这里的安全问题是,可能需要数月或数年才能为新发现的漏洞或重要功能更新安装软件更新。为什么?因为在如此关键的环境中,任何停机时间都可能是灾难性的,需要仔细规划。然而,这种情况正在迅速改变。随着物联网和5G的出现,以及无线更新成为常态,连接的设备和在其上运行的软件突然变得更容易访问——不仅对于OT团队,对于黑客也是如此。传统上,由于物理隔离,OT不必担心网络攻击,但现在这种隔离已经被打破。而且,为提高效率而配备这些传感器的仪器突然成为现实。例如,在寒冷的日子里关掉冷却风扇可以节省大量能源和金钱。通过物联网部署,数据收集、分析、预测和行动现在被添加到OT领域,以及与之相关的所有安全、隐私和法规。这一切突然开始看起来像一个IT“故事”。实现IT和OT安全性曾经分开的IT和OT安全性正在迅速发展。组织应教育和培训员工以适应这种变化,并为IT进入OT和OT进入IT的安全影响做好准备。以下是三个实用技巧,可帮助您驾驭IT-OT融合并提高认识:人员-跨学科招聘是从彼此领域引进人才的好方法。例如,传统IT公司可以很好地从OT公司寻求技术人才。同样,任何OT企业都将拥有可以加入主流产品开发的内部IT人才,以提高网络安全意识和数字转型对社区的影响。培训——总有东西要学。然而,学习资源多种多样——从在线自学到讲师指导的培训,甚至是供应商赞助的培训。后者是OT组织在进行数字化转型时可以利用的一种方法,可以从供应商的角度获得有关如何最佳实践连接和数据收集的培训和学习。法规-通常被愤世嫉俗地视为企业合规税,法规可以成为创新和学习的“猎场”,不仅可以确保合规性,还可以在法规范围内蓬勃发展。GDPR和《加州消费者隐私法案》都是IT和OT都需要考虑数据安全、隐私和透明度的实用且有价值的法规的好例子。
