《2025 OT 网络安全意识培训现状洞察》报告由运营技术(OT)安全服务机构Secolve出品,该报告覆盖欧洲、美国、亚洲、中东、澳大利亚等地区,这项针对能源、制造、水利、运输、采矿、石油天然气等关键基础设施领域从业者的调研,全面分析了当前OT网络安全意识与文化成熟度、培训需求方向、核心问题,并提出了分阶段的优化路线图,以及对各利益相关方的行动建议,同时指明了行业未来发展趋势。该报告对我国关键信息基础设施运营者开展OT安全意识培训与安全文化建设,也颇具参考价值。
一、十大关键发现
1.OT安全文化成熟度偏低,超半数停滞于“发展”阶段
超过半数企业(53.6%)表示其运营技术(OT)安全意识与文化仍处于发展阶段(具有一定基础但仍需持续改进,培训深度、整合度和可持续性均有所欠缺),而仅15.5%的企业认为其自身的OT安全文化成熟度高且与业务深度融合。28.57%的企业处于薄弱阶段(几乎无安全意识计划)。
2.OT安全培训权责划分模糊,跨部门协同不足
OT安全培训主要由网络团队负责(41.67%),IT 团队、OT/现场管理各占16.67%,14.29%的企业无明确的培训负责部门,存在权责碎片化、缺乏RACI分工、运营和安全团队参与度低的问题;只有在“网络-OT-安全”三方共同负责的企业,安全培训与安全管控的融合度才更高。
3.安全意识培训缺乏针对性与相关性
只有28%的组织提供专门针对运营技术(OT)的定制化安全培训。更多的组织(44%)提供的是通用性的信息技术(IT)培训课程,多数培训仅为满足合规要求,而26%的组织则根本未提供任何安全培训,导致关键的运营技术问题得不到解决。在培训相关性方面,超过83%的受访者表示,当前的安全意识培训要么过于抽象,要么与运营技术环境仅有少量相关性,仅有11%的受访者认为培训非常实用。培训相关性不足成为安全文化落地的最大障碍之一。
4.安全意识培训频次不足
近半数员工每年仅接受一次OT培训(29%)或在入职时接受培训(21%)。令人担忧的是,24%的员工表示从未接受过以OT安全为重点的专项培训。培训频率不足削弱了安全知识的留存率和员工的准备就绪程度,跨班次/外包员工培训覆盖不均,因此,难以改变员工的原有风险行为。
5.对实操性、场景化的安全意识培训需求迫切
受访者绝大多数情况下,优先考虑与实际操作场景直接相关的实操性安全培训。运营技术(OT)/工业控制系统(ICT)最佳实践的实操应用(33%)和实战化模拟演练(17%)是首要的培训改进需求,同时对行业定制化内容、清晰的事件响应指导培训需求较高。
6.游戏化培训效果显著,却未得到充分应用
虽然近60%的受访者体验过游戏化培训,但各企业的采用情况仍未普及。在体验过的受访者中,94%认为游戏化培训方式非常有效或有一定效果,显示出其在更广泛范围内应用的巨大潜力,但该形式存在场景贴合度低、用于衡量技能提升的数据收集不足、不同班次员工/外包员工可及性不均的问题。
7.培训主题聚焦实际OT安全风险,但对人为因素/流程风险关注不足
最相关的培训主题是远程访问安全和第三方连接安全(64%)、识别工业控制系统中的可疑行为(39%),以及USB/可移动介质风险管理(33%),重点风险与培训需求高度契合。但对内部人员威胁、风险上报文化、变更管理等人为/流程类风险的培训关注不足,而这些风险往往是安全事件的底层诱因。
8.网络安全风险成为组织面临的最大威胁
79%的企业将网络安全风险列为最大威胁,其次是供应链脆弱性(52%)和人员风险(46%),这凸显了将安全意识从内部员工扩展到供应商和外包商的必要性。
9.一线员工识别与上报安全风险的信心不足,令人担忧!
仅有15.5%的一线员工在发现和报告可疑数字行为方面感到非常自信。35.7%的员工表示信心不足或完全没有信心,40.48% 略有信心,这从侧面表明了上报渠道不清晰或上报方式不快捷、员工担心被追责或培训未能使员工在实际工作中落实到行动上。
10.网络安全风险尚未完全融入安全生产文化
虽然43%的企业将网络安全风险与安全生产/物理危害同等对待,但仍有四分之一的企业未将网络安全融入安全生产体系,存在安全生产与网络安全政策脱节、工具/仪表盘不统一等问题。
各组织认识到运营技术(OT)网络安全的重要性,但仍然停留在以合规为导向、以信息技术(IT)为中心的传统培训模式上。要从“发展”阶段迈向“融合”阶段,必须采用基于岗位角色的、场景驱动的、互动式的及游戏化的持续学习方式,并将其融入日常运营和安全生产框架之中。
二、五个“即时行动”建议
每季度开展一次基于角色的OT安全模拟演练,与操作技术环境中的实际故障模式相关联。
将网络风险纳入操作安全简报和工作许可证(与安全生产/物理安全危害同等对待)
明确责任归属:“网络+OT+安全”三方协同,设定可衡量的关键绩效指标。
将年度安全意识培训调整为周期性培训:入职培训+月度微课+季度复训的组合。
向第三方供应商和外包服务商提出安全意识培训要求,第三方人员入场前需提供培训证明材料。
三、给利益相关方的建议
该报告针对资产所有者/运营者、OT/工程负责人、安全团队、安全& HR、培训服务商五大核心利益相关方,提出了针对性的Top行动建议,核心内容如下:
资产所有者/运营者:强制运营区域所有员工、外包人员、供应商人员接受OT安全意识培训;将基于岗位角色和场景化的安全培训完成证明作为入场前提;将关键绩效指标(KPI)与安全性和可靠性对齐 (例如 ,风险上报质量、模拟演练得分等)。
OT /工程负责人:联合定制贴合特定工业控制系统的培训场景,将安全意识微学习融入班前会、停工检修规划等日常流程,将真实安全事件转化为培训课程中的警示案例。
网络安全团队:搭建一个可复用的风险场景库;部署游戏化模拟并追踪技能提升;在一线员工常用工具中集成一键上报功能。
安全生产&HR部门:将网络安全内容融入安全生产入职培训和定期复训中;公开表彰并奖励安全事件上报行为;协调培训时间安排,避免与业务运营发生冲突。
培训服务商:提供特定行业的定制化OT安全培训内容,并支持配置不同场景;支持线上/线下/自助服务模式,以适应工厂车间的访问限制;实现与企业现有LMS系统无缝集成,并提供强大的培训数据分析功能,以便衡量安全意识与文化计划的有效性。
四、OT安全文化成熟度提升路线图
报告规划了从“薄弱”到“发展”再到“融合”三阶成熟度提升路径,明确了各阶段的核心特征、关键行动和阶段信号。该报告为企业迈向成熟度阶段提供了可参考的路线图,并强调了安全意识服务提供商引领这一转变的机会。
五、三大核心问题
1)当前企业OT网络安全意识培训的核心痛点(问题本质)
战略高度与领导重视不足:OT安全文化建设的核心问题是缺乏战略高度与度量指标、领导层重视程度与参与不足,且仅将安全意识计划视为一项门槛较低的“培训任务” 而非风险管理工作。
责任归属与融合问题:14.29%的企业未明确安全意识培训负责人,仅43%企业将网络风险纳入运营安全体系,跨部门协同和与安全管控的融合度低。同时,一线员工上报机制不完善、信心极低。
培训针对性不足:仅28%企业提供定制化OT培训,44%为通用性IT导向培训,未贴合OT安全实际场景(83%以上的安全培训与OT场景脱节);
培训频次不足与形式单一:45%以上员工仅接受了年度培训/入职培训,24%从未接受过安全意识培训,且缺乏实操场景化、多样化的培训形式;
2)提升OT网络安全意识培训效果和安全文化成熟度的核心手段(解决方案)
完善组织与权责体系:建立“网络+OT+安全”三方管理体系,明确RACI分工,将网络安全融入作业许可、班前会等运营全流程
优化培训内容与形式:打造贴合OT实际故障模式的场景化、角色化培训,推广游戏化培训(94%使用者认可),建立远程访问、USB管理、工作系统操作等核心风险场景库,增加实操模拟演练;
重构培训节奏与覆盖范围:将一次性年度安全意识培训改为:“入职培训+月度微课+季度复训”的组合模式,同时将培训延伸至第三方供应商/外包人员,实行准入制;
强化落地与激励:增加一键上报功能、演练上报流程,奖励积极上报行为,设定上报质量、事件升级时长等量化KPI,定期宣贯,并公布安全文化建设进度及成果。
3)未来OT网络安全意识培训的核心发展趋势(行业趋势)
需求升级:从通用性的线上学习转向场景驱动的、互动式的、角色化的OT专项定制化培训,实操性和行业贴合度成为核心需求;
功能刚需:企业采购时将与现有学习管理系统(LMS)集成、上下游第三方供应商培训赋能、培训数据分析能力作为必备要求;
范围延伸:供应链安全培训模块、联合供应商开展桌面演练/模拟演练等将成为行业标配;
形式创新:游戏化培训和自适应微学习成为提升安全意识培训效果的核心差异化手段;
考核绑定:与正常运行时间、安全事件等运营KPI考核相挂钩的安全意识培训计划,将更易获得预算和高层支持。
*该报告内容丰富,对安全意识与文化专业人士、安全意识服务厂商、及企业安全与风险领导者极具参考价值,欢迎加入超安全文化私享群英文原版报告,深入探讨交流。
声明:本文来自超安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
