国外安全网站SecurityWeek的一篇文章指出,一项针对全球3500名安全专家的调查显示,许多与运营技术(OT)相关的网络安全问题都涉及人,尤其是人为错误和严重短缺。这项由物联网和OT安全公司SCADAfence进行的调查发现,超过75%的专家认为他们的OT安全风险级别很高或对公司的整体风险状况至关重要。虽然一些受访者认为技术和流程对OT系统构成最大风险,但79%的人最担心人为错误。调查还发现,83%的人认为OT安全人员严重短缺。超过三分之二的受访者表示,缺乏专门的安全人员导致他们组织的OT安全效率低下。69%的受访者认为,由于潜在候选人缺乏适当的技能、员工倦怠程度高以及缺乏资源,组织很难找到如此优质的员工。SCADAfence的首席技术官PaulSmith表示,OT安全人员配置的一个问题与薪酬有关,工业网络安全专家实际上是自动化/控制专家、IT网络专家和网络安全专家的混合体。在海外,自动化专家的薪水从55,000美元到113,000美元不等,IT网络专家的薪水从58,000美元到95,000美元不等,网络安全专家的薪水从69,000美元到133,000美元不等。由于工业网络安全专家的角色被描述为三种职业的“可变组合”,史密斯表示,组织应该创建一个新的薪酬类别。这样做将有助于吸引团队成员承担这项工作带来的额外责任(和麻烦)。担任上述三个角色的人员也有可能过渡到工业网络安全领域。自动化或控制专家拥有Smith所说的“领先优势”,因为他们已经对OT环境中某些操作的过程、技术和影响有了先进的了解,并且仍然需要学习网络和网络安全。对于IT网络和网络安全专家来说,情况要复杂一些,因为他们的行为可能导致代价高昂的生产停机。根据Smith的说法,最好的方法是让他们与自动化专家并肩工作一段时间,直到他们获得所需的知识和经验。SCADAfence在其报告中表示:“全球OT安全劳动力缺口巨大,需要创造性地填补。为了找到合适的人才,行业组织在填补劳动力缺口时需要牢记两个核心概念。设定合理的期望并获得OT安全职位的资格是开放的。在许多情况下,组织在建立OT安全团队时会根据严格且限制性的准则设置参数。“目前很多网络安全人员认为OT是类似于IT的东西,对它的了解不够,对它也不够尊重。即使有些IT对它有一定的认识和敬畏,还是欠缺太多,OT安全往往会带来机器死机、人员死亡的事故,甚至是触目惊心的灾难。误操作很容易击穿现场一线员工的头盔。因此,在工业领域控制,OT人才稀缺,也成了问题,是急需解决的事情,不能急于求成。国外OT人才短缺,我国起步较晚,重点在前期业务层,对安全的重视不够,现在需要补课也需要安身立命,尤其是工控系统相关的人才,负责安全生产,流失安全生产带来的后果或影响往往是危及生命的、巨大的、不可接受的。行且珍惜,戒骄戒躁,踏踏实实走远!
