就在上周四，国际运营技术安全协会（简称LOTSA）于英国伦敦Watermans’ Hall正式成立，英国国家计算机安全中心（NCSC）网络管理总监约翰·诺贝尔呼吁行业合作并积极进行事件报告。

国际运营技术安全协会——Iotsa

Iotsa前身是2016年底建立的CISOS相关机构，这一非营利性组织旨在提高SCADA（数据采集与监视控制系统，可应用电力系统、给水系统、石油、化工等领域）、ICS（工控系统）、IIO（工业 I/O 子系统）以及IoT（物联网）等运营技术用户及运营商的基本安全实践意识与采用水平，而各创造者表示此前这方面工作一直缺少成熟的论坛作为载体。

结合历史背景，从乌克兰变电站交换机再到办公室空调系统中的恒温器，相关安全漏洞遭受攻击的机率正在持续增长。

由CISO群体创建，且面向CISO与企业高管人士的这一机构由杰出CISO迈克·朗金诺夫牵头，旨在为制造、公共事业、能源、加工、生产、高科技、媒体与电信、CNI、执法、军方以及情报等行业的成员提供意识、见解与主导意见。截至今年年内，这些成员均可免费入会；此外，该机构亦提供一系列赞助机会，其现有赞助商包括挪威电力、Cyber Adapt以及阿斯科特巴克莱集团等。

IT安全与运营安全差异巨大

在开幕式的午餐演讲当中，英国NSCS网络管理总监Noble以及拥有30多年执法机构从业经验的前苏格兰场欺诈案件负责人（专门负责严重与有组织犯罪活动）以及现普华永道高级网络犯罪负责人Charlie McMurdie（查理·麦克穆迪）作出发言。

Iotsa主席Loginov在接受采访时指出，“我们意识到IT安全与运营安全之间存在着巨大的鸿沟，二者实际上属于完全不同的两种角色。”其同时补充称，IoT与IIOT（工业物联网）的快速发展亦带动了运营网络安全层面的高度关注。尽管人们普遍承认，相较于遭遇中断后仅带来不便的IT网络，发电厂或制造生产线等领域因攻击陷入瘫痪会带来更为严重的后果，但这些相关工作一直缺少充分支持。

这一观点得到了Noble的积极响应，他在演讲中强调，NCSC非常希望将Iotsa作为政府运营安全的重要实施平台。Noble同时向与会代表们指出，“运营技术对于每个人都非常重要，特别是CNI。英国的敌对方正在投入大量时间研究具体使用方式，并已经做好实际行动的准备；事实上，这类攻击已然成为新的常态，而其中最为常见的即为国家支持型攻击者，当然也包括其他各类犯罪分子。”

就在NCSC一周年纪念日之前，Noble还曾指出政府在网络安全问题方面的严肃性已经非常明确：在经济紧缩时期提供19亿英镑（约合人民币165亿元）资金已经充分证明了这一点。这笔资金显然不可能全部由NCSC支配，而将同其它各政府部门与执行机构共同打理。他坦言，面对这笔额度可观的网络安全投入，各机构亦承受着巨大的预期压力，即需要为纳税人提供物有所值的保障性回报。

Noble表示NCSC关注的四大层面：

第一点：了解对手

运营团队需要着眼于敌对方及其所采用的入侵技术，且其中相当一部分属于国家支持型攻击者。

第二点：参与团队需要走出去并同更多不同部门建立合作关系。
除了与政府方面合作之外，亦需要与行业开展合作。与行业合作是此项战略当中的重要一环。尽管政府方面已经投入大量资金，但绝不能单纯依靠政府的单方面推动。

第三点：发展自身的能力。
其核心一者在人，二者在多样性（值得一提的是，参与此次会议的40多名成员中绝大多数为白人男性）——前者要求增加拥有网络专业技能的人员数量，后者则要求在NCSC之内真正打破成见，接触在校学生并为8000名女生举办网络技术比赛，帮助其了解技术以提升安全性水平。

第四点：事件响应。
年度报告结果显示，今年上报的重大网络事件总量已达623起。这些网络事件中有30起被划为高危程度，这主要是考虑到涉事部门的敏感性或者事件本身的严重性。Wannacry在其中无疑位于顶端，非常接近一级定义。

在事件报告方面行业合作有何意义？

根据以往的经验，总结出以下结论：

1、发现基础错误、补丁修复缺失以及糟糕的管理成效。如果管理机构能够以正确方式处理绝大多数（甚至无需处理全部）问题，即可有效扼止攻击活动。

2、在安全与运营效率之间取得平衡点。在NCSC进行事件调查时，发现事发原因往往在于未能在二者之间求得理想平衡点。另外，由于多数系统需要实现100%正常运行时间，因此很难通过下线整体系统的方式实现运营安全。

3、人们并不真正了解风险来源；在运营技术层面，除了设备故障与技术故障之外，兼并与收购活动亦会给企业带来大量其并不了解的风险因素——通常包括解雇原本负责网络管理的人员。攻击者正在借此实施入侵。

4、 遗留系统亦成为运营技术层面的一大挑战。NCSC发现，企业遭遇的安全问题中约有九成源自遗留系统。

NCSC将对上报情况进行保密处理

Noble指出，安全应成为一种默认要求。他希望Iotsa能够顺利实现发展，同时再次向与会人士呼吁有关各方应该向NCSC上报安全事件。他解释称，“NCSC的作用只是为了帮助受害者，这并不属于监管机构，也不会实施任何惩罚性手段。上报至NCSC的资料会以保密方式处理，并被用于运行数据库——包含保密与开源数据，旨在发现其他受害者并追踪施加伤害的攻击者。”

警方的网络能力有限

普华永道高级网络犯罪负责人McMurdie同时强调称，与国家机构间的合作至关重要。而考虑到警方在网络安全能力方面存在的局限性，特别是近期总体人数由14万降至12万，加之其中仅有数百名警员专司网络犯罪活动（仅包括Met Police中的Falcon小队、当地与区域小队以及NCA与NCCU），因此自助团体需要从中斡旋。相比之下，四大咨询公司则拥有丰富的高素质专家资源，且制定有完善的人才保留政策与相关规程。

因此，单凭行业与执法机构不足以有效解答网络安全这一难题，他们在资源、专业知识、复杂性、速度以及规模等方面皆无法满足实际需求。考虑到警方甚至无法负担网络专家的薪酬支出，因此更需要各方积极配合、共享并建立应对能力。

因此，McMurdie建议由行业自身负责技术端事宜，“让警方集中关注调查、逮捕与起诉等追踪攻击者的工作。”McMurdie最后还引用了一项令人震惊的近期统计数字表示，在受到网络攻击的中小型企业当中，55%的受害者无法实现损失恢复。