信息技術(shù) ( IT ) 與運營技術(shù) ( OT ) 系統(tǒng)的融合正在擴大攻擊面，并使關(guān)鍵基礎(chǔ)設(shè)施暴露于新的威脅之下。這正是一次高層專題討論的核心議題，在討論中，網(wǎng)絡(luò)安全專家和業(yè)界領(lǐng)袖呼吁組織在保障日益互聯(lián)環(huán)境的安全方面進行根本性的變革。

在新加坡最近召開的 Gitex 2025 大會上，卡巴斯基公司政府事務(wù)及公共政策副總裁 Yuliya Shlychkova （主持此次討論）指出，“如今每一套信息通信技術(shù) ( ICT ) 與工業(yè)系統(tǒng)都正受到攻擊”，并補充說網(wǎng)絡(luò)安全必須成為“數(shù)字化與創(chuàng)新的助力器”而非阻礙。

卡巴斯基公司創(chuàng)始人兼首席執(zhí)行官 Eugene Kaspersky 指出，那些曾經(jīng)只在電影中出現(xiàn)的網(wǎng)絡(luò)破壞行為，如今正以 Stuxnet 以及涉及德國一家鋼廠的事件等復(fù)雜威脅形式顯現(xiàn)。雖然 Kaspersky 對尚未發(fā)生更大災(zāi)難性攻擊感到驚訝，但他警告大家千萬不要掉以輕心。

他對未來更加安全的構(gòu)想依賴于對系統(tǒng)架構(gòu)進行根本性再思考，并以卡巴斯基OS為例——這是一款憑借設(shè)計本身實現(xiàn)安全保障的操作系統(tǒng)，其安全性遠超僅僅依靠安全編碼實踐。他表示：“我的夢想是未來的系統(tǒng)必須對攻擊免疫。”他進一步指出，這一目標(biāo)的實現(xiàn)將需要硬件制造商與新一代工程師通力合作，共同開發(fā)出這種系統(tǒng)。

柬埔寨郵政和電信部信息通信技術(shù)安全總監(jiān) Phannarith Ou 從區(qū)域視角出發(fā)，解釋了為何東南亞成為運營技術(shù)攻擊的重點目標(biāo)。他歸納出五個關(guān)鍵因素：依賴功能而非安全而設(shè)計的遺留基礎(chǔ)設(shè)施；快速數(shù)字化進程中“網(wǎng)絡(luò)安全跟不上的現(xiàn)狀”；運營技術(shù)人員安全意識不足；諸如能源系統(tǒng)等關(guān)鍵基礎(chǔ)設(shè)施成為“高價值、低防護”的攻擊目標(biāo)；以及該地區(qū)缺乏統(tǒng)一的運營技術(shù)安全標(biāo)準(zhǔn)。

在此背景下，Ou 呼吁各國政府積極與廠商溝通，并采納基于風(fēng)險的政策方法。他特別指出，東盟現(xiàn)行網(wǎng)絡(luò)安全法律更多側(cè)重于保護企業(yè) IT，而對運營技術(shù)系統(tǒng)的防護則存在重大漏洞。同時，他呼吁將針對運營技術(shù)安全的行業(yè)專項法規(guī)提上日程。

印度 Avadh Sugar and Energy 公司 IT 集團負責(zé)人 Rajib Roy Chowdhury 代表工業(yè)界分享了在公司某工廠部署運營技術(shù)系統(tǒng)的經(jīng)驗。他討論了所面臨的挑戰(zhàn)，包括一種錯誤觀念——認為運營技術(shù)安全僅關(guān)乎構(gòu)建與外界物理隔離的環(huán)境，以及當(dāng)前運營技術(shù)安全產(chǎn)品尚不成熟的問題。

盡管存在諸多挑戰(zhàn)，Chowdhury 依然指出 IT 與 OT 融合是不可逆轉(zhuǎn)的趨勢。他舉例說明：“如果我們實現(xiàn) IT 與 OT 的整合，就能將數(shù)據(jù)轉(zhuǎn)化為可供董事會決策的信息。”他以實時糖料破碎數(shù)據(jù)為例進行了說明。

新加坡國立大學(xué) IT 安全部負責(zé)人 Ang Leong Boon 談到了教育與協(xié)作在彌合 IT 與 OT 差距中的作用，并呼吁 IT 與 OT 團隊開展更緊密的合作。例如，他提到，通過利用“網(wǎng)絡(luò)雙胞胎”——即水處理廠等運營技術(shù)環(huán)境的數(shù)字復(fù)制品來進行培訓(xùn)，新加坡國立大學(xué)已成功地讓不同團隊在一個安全的環(huán)境中共同了解和模擬現(xiàn)實中的運營技術(shù)安全威脅。

Ang 還建議將安全思維拓展至傳統(tǒng)終端保護之外，主張在網(wǎng)絡(luò)層實施虛擬補丁，同時通過提升員工對運營技術(shù)威脅的認識來強化安全的“人為防線”。他同時敦促各組織將 IT 安全中的零信任等理念應(yīng)用于運營技術(shù)系統(tǒng)，其中包括利用微分段防止攻擊者橫向滲透、多因素認證，以及對第三方遠程訪問這一常見漏洞入口實施更嚴(yán)格的控制。

不過，Ang 也指出，IT 團隊需要設(shè)身處地為運營技術(shù)同事著想，確保安全措施不會影響運營技術(shù)系統(tǒng)的可用性。他同時稱贊新加坡網(wǎng)絡(luò)安全局制定的運營技術(shù)安全能力框架，該框架明確了運營技術(shù)安全所需的各項角色，并為該領(lǐng)域職業(yè)發(fā)展提供了指導(dǎo)。“如今，人們可以期待不同的崗位并接受相應(yīng)培訓(xùn)，”Ang 說道，“這關(guān)乎于構(gòu)建能力，培養(yǎng)具有合適技術(shù)技能的運營技術(shù)工程師。不過，這不僅僅是技術(shù)人員的問題，首席信息安全官 ( CISO ) 也必須具備關(guān)于運營技術(shù)的正確思維。”