向工业物联网迈进意味着回归安全基础
制造商可能看到了工业物联网(IIoT)和工业4.0的优势,但他们工厂的支柱控制系统并没有考虑到网络安全,许多公司没有解决这个潜在的严重问题。
随着智能制造、工业4.0和工业物联网(IIoT)进入数字化转型,企业领导者将这些举措视为他们需要抓住的机遇,而且是快速抓住。
他们可以通过新的支持服务的商业模式、颠覆性的新产品、更灵活的供应链和高效的运营来获得竞争优势。然而,最终成为制造企业骨干的系统,即控制系统,在构建时并没有考虑到安全性。最重要的是,霍尼韦尔(Honeywell)发布的一项调查显示,网络安全的使用率很低。
这项名为“将工业网络安全放在CEO议程的首位”的调查是由LNS Research为霍尼韦尔进行的。该调查调查了来自工业公司的130名战略决策者,询问他们对工业物联网(IIoT)的方法,以及他们对工业网络安全技术和实践的使用。
缓慢或低采用率可能意味着制造商要么继续推进数字化转型,但仍然不安全,要么他们将推迟前进,在采用安全程序之前失去宝贵的时间和潜在的收入。
无论如何,在使用安全方面处于领先地位的公司似乎已经在任何潜在竞争对手面前占据了优势。这也可能意味着更多的公司仍处于创建安全程序的起步阶段。
霍尼韦尔(Honeywell)软件工程师兼网络安全技术专家塞思•卡朋特(Seth Carpenter)表示:“我认为,每个人都知道他们现在遇到了问题,但他们不太确定从哪里开始。”“还有很长的路要走。意识到这一点是很好的第一步。我们什么都不能做,除非有一项需要做某事的协议。下一步是为这些项目提供资金。有时,这不是砸钱,而是在组织中建立一种文化,让你考虑安全问题,并让负责的官员在那里确保他们报告网络安全,一直到c级和董事会。”
调查结果包括:
- 超过一半的受访者表示,他们工作的工业设施已经发生了网络安全漏洞
- 45%的受访公司仍然没有负责网络安全的企业领导者
- 37%的人在监控可疑行为
- 尽管公司定期进行风险评估,但20%的公司根本不做
卡朋特说:“我发现有趣的一件事是,当他们被问及他们的工厂是否有漏洞时,大多数人通常不愿谈论此事,但在这里,相当多的人承认他们的工厂有漏洞。”
调查发现,网络安全措施的采用率很低,然而,意识却非常高,问题仍然是制造商什么时候会制定采用安全程序的时间表。
“这是多种因素的结合,”卡朋特说。“我们知道我们应该刷牙,吃维生素,但有时你只是说,我现在就去睡觉。如果没有驱动因素或背后真正好的商业案例,这是很难的。我们正处在一个对正在发生的事情有很多认识的阶段。我们在医疗保健、银行、金融机构等每个行业都看到了攻击,人们都意识到了这一点。我认为这是人们认识到需要做一些事情的第一部分。他们可能不知道从哪里开始。所以,他们说我们需要为此做些什么,但这可能令人生畏。这就像吃大象一样,你必须弄清楚我能吃多少。”
第一步
对制造商来说,良好的第一步是进行评估。
卡朋特说:“有非常好的网络安全成熟度模型,用户可以将他们的流程映射到其中,这样他们就可以开始了。”“有时候,最困难的部分是迈出第一步,思考我们将得到什么,这是我们想要达到的目标,然后制定计划。”
传统上,安全性一直被视为成本中心,但实际上,它最终可以被视为业务推动者,通过消除意外停机来保持系统正常运行。
“这是安全最棘手的部分之一,”卡朋特说。“当我投资一条生产线时,我发现我能多生产20%的产品。这是有形的,我可以用美元来衡量。如果我在一个网络安全项目上花了同样多的钱,我如何衡量成功?我如何向我的老板和我的老板的老板展示,‘嘿,我们在这里做得非常好。’我认为需要转变心态,认识到这不是一个我们不得不投入资金的问题,相反,这有助于我们维护机器,并为我们提供所需的正常运行时间。”
该报告提出了三项建议:
1.使用人员、流程和技术能力的卓越运营模型,实现数字化转型,并将工业网络安全能力构建到模型中。
2.专注于最佳实践的采用。从基本的防火墙和访问控制开始;随着时间的推移,可以转向更高级的主题,如网络架构、风险管理和活动监控。基于不断增加的人员和流程成熟度构建路线图,考虑风险并将安全与安全性等同起来。如果开始时人员能力有限,可以考虑使用具有信息技术(IT)和运营技术(OT)经验的外部专业服务来增强。
3.专注于赋予领导者权力,并构建一个打破IT和OT之间孤岛的组织结构。跨这些学科的共同方法对于工业网络安全的成功至关重要,而这只能通过在变革管理的软技能上投入时间和精力来实现。
卡朋特说:“我们知道这很复杂,我们谈论的系统已经运行了很多年,让我们面对它,如果它没有坏,就不要修复它。”“因此,了解资产的可见性可能很困难。你必须知道正常是什么样的。”
格雷戈里·黑尔是《工业安全与保安来源》(ISSSource.com),这是一个新闻资讯网站,内容涵盖制造业自动化领域的安全及保安事宜。本内容最初出现在ISSSource.com.ISSSource是CFE Media的内容合作伙伴。由CFE媒体制作编辑克里斯·瓦夫拉编辑,cvavra@cfemedia.com.
在线额外
请看下面ISSSource的相关报道。
请按此处登记下载报告。
原始内容可以在www.isssource.com.
您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献,并获得你和你的公司应得的认可。点击在这里开始这个过程。