在過去的十年中，隨著云計算的出現(xiàn)，IT發(fā)生了巨大變化，云計算提供無處不在的訪問、無限的計算和無邊界的存儲。另一方面，運營技術(shù)(OT)的發(fā)展則緩慢得多，這種技術(shù)是指運行核反應(yīng)堆、石油鉆塔、電力設(shè)施等的技術(shù)。

基于這種二分法，IT與OT安全的成熟度和發(fā)展也有各自的軌跡。

[[312290]]

在企業(yè)的IT部門內(nèi)，增量內(nèi)容不斷交付;例如，對最新產(chǎn)品的頻繁更新，或者當(dāng)發(fā)現(xiàn)嚴重漏洞時，安裝新軟件版本或補丁。然后是動態(tài)性更高的環(huán)境，例如，DevOps團隊不斷提供快速發(fā)布。

與此相反，企業(yè)的OT方面則很少進行軟件更新。即使是嚴重的漏洞，也可能會持續(xù)數(shù)月甚至數(shù)年未修復(fù)，因為升級系統(tǒng)需要關(guān)閉電力設(shè)施或核電站，這必須進行精心地協(xié)調(diào)，并且必須對軟件更新有絕對的信心。

但是，隨著IT開始擴展到OT，以及OT延展到IT，這些對IT和OT安全性的嚴格分類開始模糊。

將OT引入IT團隊

想象一下，某家企業(yè)正在安裝面部識別系統(tǒng)作為身份驗證機制，以允許員工進入辦公場所?；蛘咴跁h室安裝傳感器以檢測使用模式。這是IT還是OT范疇?如果這是傳統(tǒng)的B2C企業(yè)，并且該企業(yè)沒有OT章程，則屬于傳統(tǒng)IT的范圍。但是，這并不是傳統(tǒng)IT內(nèi)的東西，傳統(tǒng)IT部門從未處理過這些操作組件，這明顯地擴展了IT的范圍。并且，這樣的連接部署帶來很多安全和隱私隱患。對于面部識別系統(tǒng)，這些內(nèi)容可能包括：

• 員工是否知道自己的照片正在用于身份驗證?
• 員工離開公司后，數(shù)據(jù)將保留多長時間?
• 數(shù)據(jù)是否與第三方共享?

問題并不止于此，對于這種IoT部署，傳統(tǒng)IT企業(yè)正在進入OT供應(yīng)商的領(lǐng)域。

將IT帶到OT團隊

核電廠中的傳統(tǒng)OT傳感器平均使用壽命為10到20年。這里的安全問題是，對于最新發(fā)現(xiàn)的漏洞或重要功能更新，安裝軟件更新可能需要幾個月或幾年的時間。為什么呢?因為在這樣的關(guān)鍵環(huán)境中，任何停機都可能造成災(zāi)難性后果，因此需要精心規(guī)劃。

但是，這種情況正在迅速發(fā)生改變。隨著物聯(lián)網(wǎng)和5G的到來，以及無線更新成為常態(tài)，互聯(lián)設(shè)備以及在其中運行的軟件突然變得更容易訪問-不僅是對于OT團隊，而且是對于黑客。傳統(tǒng)上，由于物理隔離，通常OT不用擔(dān)心網(wǎng)絡(luò)攻擊，但現(xiàn)在這種隔離已經(jīng)被打破。而且，對這些傳感器進行儀表化以提高效率突然成為現(xiàn)實。例如，在寒冷的天氣中調(diào)低冷卻風(fēng)扇的轉(zhuǎn)速可以節(jié)省大量能源并節(jié)省成本。通過IoT部署，現(xiàn)在數(shù)據(jù)收集、分析、預(yù)測和操作都加入到OT范疇，以及與之相關(guān)的所有安全性、隱私和法規(guī)。這一切突然開始看起來像是IT“故事”。

實現(xiàn)IT和OT安全

原本獨立的IT與OT安全的正在迅速發(fā)展。企業(yè)應(yīng)該教育和培訓(xùn)員工以適應(yīng)這種變化，并做好準備應(yīng)對IT進入OT以及OT進入IT的安全隱患。

以下是三個實用技巧，可幫助你應(yīng)對這種IT與OT融合以及提高意識：

• 人員-跨領(lǐng)域招聘是一種很好的方法，可互相引入各自領(lǐng)域的人才。例如，傳統(tǒng)的IT企業(yè)可以很好地向OT企業(yè)尋求技術(shù)人才。同樣，任何OT企業(yè)都將擁有內(nèi)部IT人才，這些人才可以加入主流產(chǎn)品開發(fā)部門，以提高網(wǎng)絡(luò)安全意識以及數(shù)字化轉(zhuǎn)型對該社區(qū)的影響。
• 培訓(xùn)-永遠會有需要學(xué)習(xí)的東西。但是，學(xué)習(xí)的資源多種多樣-從在線自我學(xué)習(xí)到講師指導(dǎo)的培訓(xùn)，甚至是由供應(yīng)商贊助的培訓(xùn)。后者是OT企業(yè)進行數(shù)字轉(zhuǎn)型時可以利用的方法，以從供應(yīng)商的角度獲得培訓(xùn)和學(xué)習(xí)，以了解如何連接性和數(shù)據(jù)收集的最佳做法。
• 規(guī)章制度-規(guī)章制度通常被人們憤世嫉俗地視為企業(yè)合規(guī)稅，這里可以是創(chuàng)新和學(xué)習(xí)的“狩獵場”，不僅可確保合規(guī)，還可以在法規(guī)內(nèi)蓬勃發(fā)展。GDPR和《加州消費者隱私法案》都是實用和有價值法規(guī)的很好例子，IT和OT都需要考慮數(shù)據(jù)安全性、隱私性和透明性。