与人相关的两大 OT 安全问题：人为错误和人员短缺

国外安全网站SecurityWeek一篇文章指出，人相人一项针对全球 3,安全500 名安全专家的调查显示
，许多与运营技术 (OT) 相关的问题网络安全问题都涉及到人 ，尤其是错误人为错误和人员严重短缺。

这项由物联网和 OT 安全公司 SCADAfence 进行的和人调查发现，超过 75% 的员短专家认为其 OT 安全风险级别对于公司的整体风险状况来说是高或严重的 。

虽然一些受访者认为技术和流程对 OT 系统构成最大风险，人相人但 79% 的安全受访者最担心的高防服务器是人为错误。

调查还发现 ，问题83% 的错误人认为 OT 安全人员严重短缺 。超过三分之二的和人受访者表示，缺乏专门的员短安全人员正在导致其组织 OT 安全的有效性效果不佳 。69% 的人相人受访者认为，由于潜在候选人缺乏适当的安全技能  、员工高度倦怠和资源匮乏，问题组织很难找到这类优秀的模板下载员工。

根据 SCADAfence 的CTO Paul Smith 的说法，OT 安全人员配备的问题之一与薪酬息息有关，工业网络安全专家实际上是自动化/控制专家、IT 网络专家和网络安全专家的组合体。

在国外 ，自动化专家的工资在 55,000 美元到 113,000 美元之间
，IT 网络专家的工资在 58,000 美元到 95,000 美元之间 ，网络安全专家的源码下载工资在 69,000 美元到 133,000 美元之间。

由于工业网络安全专家的角色被描述为这三种职业的“可变混合”，史密斯说组织应该创建一个新的薪酬类别 。这样做将有助于吸引团队成员承担这份工作带来的额外责任（和头痛）。

担任上述三个角色的人也有可能过渡到工业网络安全
。自动化或控制专家拥有 Smith 所说的“领先优势”
，因为他们已经对流程 、技术和 OT 环境中某些操作的影响拥有先进的知识，云计算仍需要学习网络和网络安全。

对于 IT 网络和网络安全专家来说，情况要复杂一些，因为他们的行为可能会导致代价高昂的生产停机时间。史密斯认为，最好的方法是让他们与自动化专家并肩工作一段时间，直到其获得所需的知识和经验
。

SCADAfence 在其报告中称 ：“全球 OT 安全劳动力缺口巨大，需要创造性地填补缺口
。为了找到合适的人才，源码库行业组织在填补劳动力缺口时需要有两个核心概念。设定合理的期望并对谁有资格担任 OT 安全职位持开放态度。在许多情况下，组织在建立 OT 安全团队时会根据严格和限制性的指导方针来制定参数
。

”当下，许许多多的网络安全人员自认为OT是一个和IT差不多的东西，对其认识不足，对其敬畏不够。即使有些IT对其有一定的认知和敬畏 ，仍然欠缺太多
，免费模板而OT安全往往带来的可能是机毁人亡的事故，甚至于惊天灾难，失误性操作可能很容易击穿现场一线员工的安全帽 ，所以在工业控制领域 ，OT人才奇缺的同时，也成为一个亟需解决而不能急于求成的事情。国外OT人才奇缺，我国起步较晚前期重心都放在了业务层 ，对安全重视不够，现在需要补课但也需要沉下来心好好沉淀 ，特别是工业控制系统有关人才，担负的是生产安全 ，生产安全带来的损失或影响往往都是人命关天的、巨大的，不可接受的 。

且行且珍惜，戒骄戒躁，行稳致远！