佛罗里达州坦帕市--2024 年 10 月 9 日--由OPSWAT 赞助的《SANS 2024 年 ICS/OT 网络安全状况报告》(SANS 2024 State of ICS/OT Cybersecurity Report)显示,工业控制系统(ICS)和操作技术(OT)安全团队在员工经验和培训方面存在巨大差距。超过 50% 的 ICS 员工的工作经验不足五年,这一差距对关键工业基础设施的安全构成了巨大风险。调查结果强调了投资人力资本以防范日益复杂的网络威胁的紧迫性--这在今年 10 月工业界纪念网络安全意识月之际恰逢其时。
该报告收集了 500 多名 ICS/OT 环境中的网络安全专业人员的数据,指出特定行业认证方面的劳动力短缺。51%的受访者表示缺乏正规的网络安全证书,这进一步加剧了工业系统安全所面临的挑战。尽管这些数据令人震惊,但只有 25% 的企业将预算的很大一部分用于员工培训、招聘和留用,这不禁让人怀疑企业是否优先考虑了保护其运营的正确领域。
目前,缺乏训练有素、经验丰富的 ICS/OT 人员队伍是确保关键基础设施安全和复原力的一大挑战。我们需要将工作重点转移到让员工掌握正确的工具和知识,以管理 ICS 和 OT 环境中日益复杂的网络风险。
主要劳动力调查结果
- 经验差距:半数以上的综合服务部门专业人员的工作经验不足 5 年,这反映了该部门的快速发展以及对经验丰富的专业人员提供更多指导和知识传授的需求。
- 认证短缺:51% 的员工没有获得特定行业的认证,这让人担心专业人员是否做好了应对 ICS/OT 特定威胁和挑战的准备。
- 预算分配不当:虽然 66% 的组织认为 "人 "是 ICS 环境的最大风险,但只有 25% 的网络安全预算用于员工培训和招聘,而 52% 的预算用于技术投资。
随着各组织越来越多地将技术投资作为保护其运营的优先事项,本报告表明需要一种更加平衡的方法来强调员工队伍的能力。技术解决方案固然重要,但 ICS/OT 环境日益复杂,需要一支技术熟练、经过认证的员工队伍来有效管理新出现的风险。
报告还强调了劳动力发展如何与关键网络安全战略的成功直接挂钩。例如,拥有更多经验丰富的认证人员的公司更有能力实施事件响应计划和可防御架构,而这两者都是报告中概述的 SANS 五项 ICS 网络安全控制措施的关键组成部分。
如果没有合适的人力资本,再好的技术也会落空。我们必须投资于我们的员工,确保他们接受过培训,能够应对 ICS 和 OT 系统独特的安全挑战。
报告还指出,集中管理 ICS 安全的组织,尤其是由首席信息安全官 (CISO) 领导的组织,更有可能采用基于标准的网络安全方法。由首席信息安全官领导的项目对行业标准的符合率达到 82%,而在领导权较为分散的情况下,符合率仅为 42%。这凸显了强有力的领导不仅在指导安全战略方面,而且在应对劳动力发展挑战方面的重要性。
SANS 2024 ICS/OT 网络安全报告》明确提醒我们,技术在工业网络安全中发挥着关键作用,而 OT 安全人员同样至关重要。要保护关键基础设施,ICS/OT 社区必须将解决人力资本缺口问题作为重中之重。
下载报告全文,了解更多有关工业组织衡量自身进展和规划未来的重要基准的信息。
关于OPSWAT
在过去的20年里,OPSWAT作为全球IT、OT和ICS关键基础设施网络安全的领导者,不断发展出一个端到端解决方案平台,为公部门和私部门的组织和企业提供保护其复杂网络和确保合规性所需的关键优势。秉持「不信任任何文件。不信任任何设备。™ 」的理念,OPSWAT通过零信任解决方案和专利技术,解决全球客户的挑战,保护其每一层基础设施,保障其网络、数据和设备的安全,防止已知和未知的威胁、零时差攻击和恶意软件。了解OPSWAT如何保护世界的关键基础设施,并帮助保障我们的生活方式;请访问 www.opswat.com。
