五分之一的工业组织因OT安全团队短缺而威胁到保护

卡巴斯基最近的报告“提升OT安全结果的七个关键”显示，19%的工业企业表示，缺乏运营技术（OT）安全专业人员正在威胁到他们的网络保护。总体来看，66%的受访对象面临重大的OT安全人员配置挑战，例如员工超负荷工作以及难于吸引具有资质的人员。这份报告还揭示，企业在在人员配置和薪金方面普遍缺乏投资。

业内人士证实，由于威胁升级以及IT/OT安全框架和法规的日益普及，对OT / ICS安全技能和特定专业知识的需求在过去几年中一直在上升。

根据卡巴斯基的一项调查，工业组织遇到严重的人员配置问题，包括缺乏相关的网络安全专家（19%）、员工超负荷工作（46%）以及人员流动问题（30%）。只有4%的工业企业表示在人力资源方面完全没有感到压力。

报告指出，资金不足是有资质员工供需之间出现这种差距的可能原因之一。资金不足导致员工人数减少，每两个组织中，就有一个组织（55%）在OT/ICS网络安全方面面临严重的人员配备资金不足问题。另有35%的受访者也将低工资和薪酬列为特别关注的问题。

整体看，只有不要到一半（43%）的工业组织拥有专门的OT/ICS安全团队。考虑到招聘熟练的工业网络安全专家的难度，很多组织正在考虑将这项工作外包，自疫情以来，58%的工业组织已经变得更加依赖外部OT安全服务提供商。

“要组织对工业企业得网络保护，求助于专业团队是一个有效的选择，例如管理安全服务提供商（MSSP）。但是，如果企业需要拥有自己的专业团队，他们可以让专家组织和CERT（计算机应急响应小组）参与进来，例如卡巴斯基ICS CERT，他们在寻找漏洞、检测威胁和调查网络事件方面具有专业知识，可以培训企业内部得团队从事这些工作。除了培训OT网络安全专业人员之外，还有必要确保其他员工了解网络安全问题。这一领域得培训可通过专门得安全意识计划来获取，博爱阔面对面培训以及在线和电子课程。这可以成为关键基础设施企业的一项法律要求，”卡巴斯基ICS CERT服务小组经历Dmitriy Petrovichev评论说。

卡巴斯基建议采取以下步骤来缩小OT/ICS安全专业知识的差距：

提高所有与工业计算机交互的员工的一般安全意识，尽量减少因人为错误而导致的攻击风险。这包括一些基础得安全实践，例如不要将ICS计算机用于个人目的或在这些计算机上安装未经授权的软件。

了解面向 IT/OT 经理和工程师的网络安全课程。卡巴斯基ICS CERT建议对IT员工、IT安全员工和ICS专业人员提供现场安全意识培训，这是卡巴斯基自动安全意识平台中提供的一个在线模块，同时还提供关于数字取证和事件响应的深入专业课程。

完整版报告“卡巴斯基2022年ICS安全调查：提升OT安全结果的七个关键”可点击这里下载。