在融合OT与IT技术上,工业,尤其是零部件制造业,明显落后于其他行业。举个例子,金融机构和医疗设施都已将运营技术,比如暖通空调系统及楼宇自动化设备,融合进了用于通信的IP网络。但制造业却仍在观望,惧怕融合动作会导致宕机停产或引入不必要的漏洞。
但步履缓慢并非全无进展。事实上,缓慢的融合反而有利行业发展。工控制造业仔细审查自身系统现状,并积极采纳适应其独特属性的关键理论及最佳实践方法,目前已经已经可以赶上并开始获得金融、消费和医疗市场上如今方兴未艾的那些生产、经济和安全效益。
我们必须承认,在实现OT-IT上工业面临的难题远比其他行业来得多。制造业工厂车间满是成千上万的零散部件。生产线上的一个小裂缝都可能会造成数百万美元的损失,对工人造成身体伤害,甚至使客户处于危险之中。因此,OT部门建立了规避风险的环境。
OT和IT部门的职能划分长久以来保护着生产车间,使它们免遭网络安全风险侵害。然而,随着IIoT和其他联网设备的兴起,运营经理如今面临新的挑战和责任:需求很高、资源紧张、残酷的安全威胁数不胜数。
无论融合过程多么痛苦,拒绝融合都是不现实不理智的。OT与IT的融合对IIoT的好处不可否认,且能给制造商带来赢取市场空间与份额的竞争优势。
德勤律师事务所最近公布的一份报告就指出:
迪尔公司制造带有卫星导航、实时数据监测等功能的智能联网产品。数据通过传感器被收集并推送到云端进行分析,帮助客户做出明智的决定。通过网页平台,该公司还可以远程诊断机器,并帮助客户凭借预测性维护明智决策,减少宕机时间。透过核心数字创新,迪尔公司已经能够向其客户提供持续的价值。
问题的解决肯定不会那么容易,但专注未来的制造商可以参考迪尔公司的成功战例,避开一些早期陷阱,打造一个更安全、更赚钱的环境。
1. 构筑沟通的桥梁
OT与IT的融合在精明的制造商中间不算秘密,但融合有很多方面及技术影响。想将这些团队都统合到同一个安全策略下,需要了解每个部门及其独特的职能。
成功的融合需要构筑沟通的桥梁,CISO就是理想的桥梁构筑者。罗马非一日建成,OT和IT不仅运营方式各异,而且历来抗拒改变并互不信任。
在融合过程开始前每周召开OT-IT亲善交流会是个不错的开端。随着双方各自摆出领域内的独特经验,两个部门便有了合作解决问题的基础。
2. 思想的碰撞
如下表所示,每个部门都需要了解对方职能范围内的方法论。比如说,电子邮件服务器下线10小时似乎是可以接受的,因为这仅仅影响到邮件服务,但工厂停工1小时都有可能让公司损失掉不小的生产力。
OT与IT的差异
研究显示,利益相关者之间意见不合往往是阻碍项目成功的绊脚石。反过来说,纳入利益相关者不仅能清除隔阂,还能将工作提升到战略高度,推动跨部门主人翁意识。
很多成功的OT与IT部门都通过部门间轮岗、工作共享等方式建立了“交换”项目,保持联系,锻造更强的合作伙伴关系。
3. 明确责任
从本质上讲,融合打开了安全假定的大门。各部门可能会简单地假定其他部门负责特定安全职能。但这种“模糊的安全”已不再是可接受的操作,尤其是在如今万物互联的商业通用基础设施中,OT经理必须要承担安全职责。
组成统一管理,共同承担责任的联合任务组有助于增强凝聚力和支持业务目标,尤其是在实现集成安全策略的时候。
4. 构建信任
尽管两个部门间的信任不能一夜建成,但可以加速建成。
先从能带来可感知的价值的低风险小型实验性项目开始。确保记录下所有重要经验。这么做不仅可以构建信任,还能创造出发展团队成员间跨职能技能的机会。
5. 敏捷性
没有敏捷性就没有成功,打破整个网络中拖慢安全实现的壁垒十分重要。安全既是风险,同时也是有助缓解威胁的机会。Gartner认为,OT和IT融合能带来巨大回报。
成功实现OT-IT融合计划的大多数公司,在弹性安全策略的支持下,通过优化业务过程、增强信息支持决策、降低损耗、减小风险和缩短项目时间线,撑起了敏捷的企业运作,获得了丰厚的安全投资回报(ROSI)。
德勤律师事务所报告:
https://www2.deloitte.com/insights/us/en/focus/industry-4-0/digital-leaders-in-manufacturing-fourth-industrial-revolution.html
【本文是51CTO专栏作者“李少鹏”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】
戳这里,看该作者更多好文