当前地缘政治格局的转变和无处不在的数字创新,在水务公司内部引发了一场网络安全担忧的完美风暴。
网络恐慌
在持续的全球危机中,网络威胁达到了一个新的高点。佛罗里达州一家水处理厂遭黑客攻击,重新激起了人们对公共事业网络安全的兴趣。不幸的是,这样的教训很容易被遗忘。
例如,快速回顾过去的头条新闻。2016年,黑客操纵了美国所谓的凯uri水务公司(Kemuri Water Company,化名)的阀门。同年,以色列电力局遭受勒索软件攻击。
2015年,乌克兰发电厂的一次破坏导致大规模停电。甚至在更早的2010年,恶意计算机蠕虫Stuxnet首次被发现,目标是监控和数据采集系统(SCADA)。
与网络攻击一样,由技术错误引起的事件也同样会造成严重后果。就拿宣布已久的Adobe Flash来说,它影响了许多依赖图形软件调度的行业。例如,今年1月,该插件的自动关闭开关导致中国大连的一个关键铁路系统离线20个小时,导致乘客滞留。
“很少有人意识到,大多数网络安全漏洞从未被报告,因为这是负面宣传,受害者希望避免助长模仿犯罪。”
很少有人意识到,大多数网络安全漏洞从未被报告,因为这是负面宣传,受害者希望避免助长模仿犯罪。然而,从目前的地缘政治前景来看,网络威胁可能不可避免地会增加。
“影子IT”的兴起
水务公司的传统工业IT系统(PLC、SCADA)由于与外界隔离,因此具有固有的安全性。然而,有时,技术过时(如Adobe Flash)与越来越多的物联网噱头共存。
通过私有或公共网络无线传输数据的对象连接到第三方提供商,如物联网云。然后这些系统与在办公网络上运行的业务系统进行接口。简单地说:外部和内部IT系统之间的联系越来越紧密。
据称,新冠肺炎大流行加速了这种变革性的数字化趋势,受到媒体的广泛赞誉。
一个例子是现在广泛使用远程支持“AR眼镜”来避免在Covid-19封锁期间旅行:工厂技术活动的实时视频现在经常通过互联网传输!
这种创新解决方案的入门门槛较低,这意味着个别部门、小型初创企业,甚至学生可能都在以概念验证的形式追随这种系统。然而,这些发展往往在中央IT部门的雷达下飞行,产生了无数新的漏洞。这种现象被称为“影子IT”。
中国的教训
许多公司从技术角度解决网络安全问题:IT专家的领域。在有关部门已经发布网络安全法规的国家,如果发现不合规,法律部门可能会带头避免巨额罚款,通常会加强供应商合同中的法律条款。
然而,正如法国前总理乔治·克列孟梭曾经说过的:“战争太重要了,不能留给将军们。”
“中国政府的做法是将个人数据保护和国家安全结合起来。”
网络安全不仅仅是一个纯粹的技术或法律问题;它必须整合到公用事业的整体风险管理战略中。在这方面,中国的做法非常有趣。
政府开发了一个将个人数据保护和国家安全结合起来的网络安全整体观。由此产生的一套复杂、广泛、不断发展的网络安全法律仍然让许多观察人士感到困惑,但这是另一个故事了。
中国法律通过要求所有公司对网络安全风险进行自我评估,提出了一种“风险管理”(Risk Management)方法来解决这个问题。水和能源公用事业公司属于关键信息基础设施运营商(CIIO)的范畴,有非常具体的要求,但风险管理方法是所有在中国运营的公司的强制性要求。
更数字化是答案吗?
我个人欢迎这种方法,并认为这对公共事业来说是一种自然的方法,大概已经运行了成熟的风险管理程序。我们帮助中国水务公司实现了风险防范的数字化,这些风险防范过于复杂,无法人工管理,符合ISO 31000和ISO 55000标准。
一个例子就是中国南方一个300万人口城市的市政水务公司——中山水务。Siveco实施了一个旨在确保水质的项目,后来扩展到设备可靠性等其他风险领域。
这就提出了一个问题:实际上,是否需要进一步的数字化来帮助降低与数字化相关的风险?
布鲁诺Lhopiteau
董事总经理
Siveco中国
