Die Uitdaging vir die Nakoming van Nutsdienste

Deur Kate O'Flaherty • 22 Januarie 2026

Nutsmaatskappye het te doen met fragmentering en silo's, wat 'n vaartbelynde benadering tot nakoming verhoed. 'n Meer soliede fondament is nodig, maar hoe kan dit gedoen word?

Deur Kate O'Flaherty

Nutsmaatskappye bedryf talle uiteenlopende stelsels, waarvan baie nooit bedoel was om aan die internet gekoppel te wees nie. Dit is dus geen verrassing dat cyber — en nakoming van regulasies wat die gebied dek — bly een van die sektor se grootste uitdagings.

In 2010, die Stuxnet-wurm het die werklike bedreiging gedemonstreer wat 'n kuberaanval op die sektor inhou, nadat sentrifuges wat in die Iranse kernprogram gebruik is, uitgewis is. Meer onlangs het die Rusland-Oekraïne-oorlog verskeie staatsgeborgde kuberpogings op Oekraïne se elektrisiteitsnetwerkIntussen, in die VSA, die watersektor is ook onder aanval.

Die groeiende risiko van aanvalle soos hierdie en hul verwoestende gevolge het gelei tot 'n aantal regulasies wat bedoel is om die sekuriteit van nutsdienste te versterk, insluitend die EU-Netwerk- en Inligtingstelselrichtlijn 2 (NIS2) en die Verenigde Koninkryk Wetsontwerp op Kuberveiligheid en Veerkragtigheid.

Terwyl nutsdienste daarna streef om aan hierdie veelvuldige reëls te voldoen, het sommige die bedryf gekritiseer omdat hulle stadig aanpas. Inderdaad, 'n onlangse blog deur Ernst & Young beklemtoon 'n behoefte aan kunsmatige intelligensie (KI) tegnologie om komplekse risikobestuurstrategieë te bestuur en nakoming te verseker.

Maar in 'n bedryf wat reeds met fragmentering en silo's te kampe het, is die byvoeging van meer gereedskap werklik die antwoord?

Tred hou met regulasie

Baie kenners sê nee. In plaas daarvan benodig nutsdienste 'n verenigde, ontwerpte voldoeningsruggraat wat ooreenstem met die kompleksiteit van die fisiese stelsels wat hulle bedryf. Dit begin met die herstel van die fondamente, eerder as om nuwe tegnologieë bo-op ou fragmentering te plaas.

Onlangse kubervoorvalle wat nutsdienste raak, beklemtoon 'n uitdaging wat verder strek as om tred te hou met regulasies. Die druk wat nutsdienste in die gesig staar, is werklik, maar dit is nie omdat reëls vinniger verander as wat organisasies kan reageer nie.

Dit is omdat die koste van gefragmenteerde, ontkoppelde nakoming en risiko-eienaarskap “vinniger styg as wat nutsdienste kan absorbeer”, sê Darren Guccione, uitvoerende hoof en medestigter van Keeper Security. IO.

Nutsdienste bedryf van die mees onderling gekoppelde fisiese stelsels ter wêreld. Tog is die prosesse wat kuberveiligheid, operasionele veerkragtigheid, privaatheid, toegang deur derde partye en regulatoriese nakoming beheer, dikwels losgekoppeld van mekaar.

"Kubersekuriteit, operasionele tegnologie (OT) sekuriteit, privaatheid, oudit- en regulatoriese spanne word dikwels as parallelle funksies georganiseer, elk met hul eie kontroles, gereedskap en rapporteringslyne, maar beperkte gedeelde sigbaarheid of koördinering,” wys Guccione uit. “Daardie fragmentering skep werklike blootstelling.”

Hierdie silo's lei tot "swak kommunikasie, duplisering van pogings, misverstande en stadige besluitneming", sê Tracey Hannan-Jones, direkteur van inligtingsekuriteitskonsultasie by UBDS Digital. "Dus, wanneer nuwe regulasies aankom, interpreteer elke departement en implementeer dan veranderinge anders - of glad nie - wat lei tot teenstrydighede, ondoeltreffendhede en swak ontwerpte voldoeningsraamwerke om aan vereistes te voldoen."

Die konsep van "tegniese skuld" in sagteware – kortpaaie wat saamgestelde toekomstige koste skep – "pas perfek by nakoming", sê Rayna Stamboliyska, uitvoerende hoof van RS Consulting. "Elke keer as 'n nutsmaatskappy 'n nuwe regulatoriese vereiste aan gefragmenteerde bestaande stelsels koppel, eerder as om die fondament te herstruktureer, versamel die organisasie 'nakomingsskuld'. Die 'koste van gefragmenteerde nakoming' is eintlik rentebetalings op 'nakomingsskuld' – en Britse nutsmaatskappye betaal saamgestelde rente sonder om die hoofsom te verminder."

Ondergereedskap

Geen hoeveelheid nuwe tegnologie kan die probleem oplos nie – veral as dit bloot bo-op gefragmenteerde stelsels gebout word.

In 2024 het groot ondernemings gemiddeld 45 kuberveiligheidsinstrumente gebruik, volgens GartnerDit dui daarop dat "ondertoegerustheid" nie die kernprobleem is nie, sê Rik Ferguson, visepresident van sekuriteitsintelligensie by Forescout. "Op papier kan daardie gereedskapdiepte gerusstellend lyk. In die praktyk skep dit dikwels 'n ander probleem: 'n Sekuriteitsomgewing wat besig, raserig en moeilik is om as 'n samehangende geheel te bedryf."

Rade sien dikwels uitgebreide gereedskap en neem aan dat dekking omvattend is, sê Ferguson. “Veiligheidspanne spandeer intussen enorme hoeveelhede tyd om inligting saam te voeg, waarskuwings te valideer en aktiwiteit na te jaag wat nie altyd in meetbare risikovermindering vertaal nie.”

Te midde van hierdie komplekse omgewing kan organisasies na KI as die "redder" kyk. Dit gaan egter nooit werk nie, want KI floreer op "hoëgehalte, geïntegreerde data", sê Hannan-Jones van UBDS Digital. "In gefragmenteerde nutsdienste is data dikwels van swak gehalte, verspreid, teenstrydig of ontoeganklik. Sonder verenigde data kan KI-modelle slegs beperkte of onbetroubare insigte lewer."

Nog 'n faktor om te oorweeg, is dat KI nie organisatoriese silo's kan regstel nie, sê Hannan-Jones. “KI kan take outomatiseer of aanbevelings genereer, maar dit kan nie departemente dwing om saam te werk of inligting te deel nie.”

Gestroomlynde Benadering

Eerder as om bloot nuwe gereedskap by te voeg, behoort nutsmaatskappye te werk aan 'n vaartbelynde benadering tot nakoming. Dit kan help om sentrale orkestrering, plaaslike aanspreeklikheid, konsekwente beheermaatreëls, deurlopende monitering en 'n geïntegreerde siening van risiko te fasiliteer.

As deel hiervan bied standaardisering “’n verenigde woordeskat en stel prosedures” vir risiko, sekuriteit, privaatheid en KI, sê Hannan-Jones. Byvoorbeeld, ISO 27001 inligtingsekuriteit dek, ISO 22701 oor privaatheid, en ISO 42001 die bestuur van KI.

Hierdie raamwerke vereis duidelike toewysing van rolle en verantwoordelikhede deur 'n gesentraliseerde benadering. Dit verseker dat almal weet wie vir wat verantwoordelik is, wat koördinering en kommunikasie sal verbeter en gapings sal verminder, sê Hannan-Jones. “Organisasies kan dan gedokumenteerde, herhaalbare prosesse vir risikobepaling, voorvalreaksie en voortdurende verbetering afdwing,” verduidelik sy.

Terselfdertyd, aangesien ISO-standaarde risikogebaseerd is, vereis dit dat organisasies risiko's holisties beskou, eerder as as 'n silo. Die belyning van risikobestuur met besigheidsdoelwitte verseker dat alle departemente "met 'n konsekwente benadering na dieselfde doelwitte werk", sê Hannan-Jones.

Wanneer jy jou organisasie wil stroomlyn, is die eerste stap om jou kernprosesse te karteer en te standaardiseer, adviseer Hannan-Jones. “Dokumenteer alle belangrike werkvloeie regdeur die organisasie, insluitend batebestuur, instandhouding, voorvalreaksie en risikobestuur. Dit sal duidelikheid skep, duplikasies blootlê, gapings identifiseer en 'n sterk basislyn vir standaardisering bied.”

Dit is belangrik om te verseker dat almal, insluitend die leierskap, aan boord is, sê Hannan-Jones. “As senior leiers moet hulle die verenigde nakomingsbenadering bevorder, die waarde daarvan kommunikeer en hulpbronne toewys. Volgehoue verandering vereis sigbare ondersteuning van bo af, met duidelike boodskappe regdeur die hele organisasie.”

Voordele van nakoming

Alhoewel uitdagings steeds bestaan, word regulering nie meer kompleks nie. Inteendeel, dit ontbloot hoe deurmekaar en broos interne strukture geword het. Risiko in nutsdienste word slegs 'n bate wanneer dit soos die netwerk self behandel word: 'n Funksionele stelsel wat gekoppel, voortdurend gemonitor en ontwerp is vir veerkragtigheid.

Die voordele is duidelik: Wanneer voldoening gekoördineerd en geïntegreerd word, kry nutsdienste vinniger regulatoriese reaksie, 'n sterker kuberhouding, meer betroubare KI-modelle, beter direksieversekering en verminderde duplisering en koste.

Gekoördineerde, geïntegreerde nakoming stel firmas in staat om “operasionele kapasiteit terug te eis”, sodat hulle hul energie kan herlei na die verbetering van sekuriteitsuitkomste, sê Conor Sherman, CISO in residensie by Sysdig. “Jy kan dan jou tyd spandeer om die netwerk se veerkragtigheid te verbeter, eerder as om te stry oor die herkoms van 'n skermkiekie vir 'n ouditeur.”

Kate O'Flaherty

Kate is 'n kuberveiligheids- en privaatheidsjoernalis met meer as 'n dekade se ondervinding in die dekking van kwessies wat vir gebruikers, besighede en regerings saak maak. Benewens ISMS.online, kan haar werk gevind word in Forbes, Wired, The Guardian, The Observer, The Times en The Economist.

Lees meer van Kate O'Flaherty

cyber Security 29 Januarie 2026

700 Kredietbreuk: API-risiko's plaas finansiële voorsieningskettingbestuur onder die kollig

Wat wys die 700Credit-oortreding oor die finansiële datastelsel en voorsieningskettingrisiko's, en watter lesse kan geleer word? Deur Kate O'Flaherty In ...

Kate O'Flaherty

cyber Security 16 Desember 2025

Kuber-aanvalle beïnvloed BBP: Hier is wat dit vir besighede beteken

Aangesien veerkragtigheid deur 'n groeiende aantal regulasies vereis word, hoe kan elke organisasie hul deel doen? Deur Kate O'Flaherty Besighede regoor die VK...

Kate O'Flaherty

cyber Security 25 November 2025

die AWS-onderbreking en die kuberveiligheid-rimpeleffek-banier

Die AWS-onderbreking en die kuberveiligheidsrimpeleffek

Namate die risiko van onderbrekings toeneem, wat kan firmas doen om die rimpeleffekte van kuberveiligheid soos phishing en sosiale manipulasie te bestuur? Deur Kate O'Flah...

Kate O'Flaherty