近年來,企業愈來愈重視網絡保安,令到相關人才身價水漲船高。很多人都有興趣投身這個職業,但是大多數人都只認識資訊安全(Information Security),卻忽略了網絡保安的另一個分派—營運科技安全(OT Security)。
OT即是Operational Technology的簡稱,泛指控制機械運行或改變物理狀態的科技。其實不少與我們生活息息相關的行業如電力、鐵路、水務等,都需要用到相應的營運科技。以電力為例,控制發電渦輪轉速的系統就是其中一種營運科技。不難想像,如果這些系統遭受網絡攻擊,引致機械運作故障甚至停頓,不單廣大市民會受到影響,甚至有可能造成人命傷亡。例如在2016年12月,烏克蘭發電廠遭受黑客攻擊,導致數十萬戶大停電,成為全球首宗由網絡攻擊造成大規模停電的案例。
由此可見,營運科技保安的重要性不會比資訊安全少。可是在這行業中,一向都存在人才短缺的問題,情況在香港尤其嚴重。以筆者的公司為例,無論招聘營運科技保安職位或尋求專家意見,基本都依靠海外專才。筆者預期,此供求關係的失衡將會愈見嚴重。
看到這裡,如果你也有興趣投身營運科技保安,不妨先練好以下基本功:
.資訊保安(Information Security):雖然Information Security和OT Security是不同分派,但兩者的攻擊路徑都有相似之處。黑客都是透過系統的保安漏洞,將惡意程式植入,再嘗試入侵以及控制系統。
.通訊網絡(Networking):每個營運科技系統都由多個網絡層(layer)組成,而網絡層之間的通訊往往是整個系統操作的關鍵,但同時也是黑客攻擊的目標。因此一個穩固的網絡絕對是系統保護的重要一環。
.系統操作(Operation):對於營運科技,黑客的目標就是要干預操作。因此我們必須先知道相關機械的運作流程,才能偵測及應對可疑情況。
除了基本功,還需要一部「心經」—學習精神。營運科技本身已經種類繁多,近年來又湧現各種營運科技保安的方案。不論新手或老手,也同樣需要吸收大量的新知識,與時並進。
最後,本人希望有更多本地新血加入OT Security的行列,共同守護香港的重要基建。
文:鄧穎暉
香港電腦學會(HKCS)網絡安全專家小組成員,現於電力公司任職網絡保安經理。