在网络安全方面迎头赶上

工厂车间里的一句话——如果你是这个行业里唯一一个还没听说过的人——是制造过程很容易受到黑客攻击。不是来自西装革履的黑客——这是另一个时代的讨论——而是来自那些坐在电脑屏幕前的穿着连帽衫的黑客，或者来自那些在海外险恶的行动团队。这些无赖会为了赎金而持有数据，窃取知识产权(IP)，或者为了好玩而打开或关闭设备。根据专家的说法，他们没有太多的障碍。

如今，抗黑客攻击的传感器和执行器的技术水平究竟如何?让我们善意地说，从安全的角度来看，自动化和机器人行业仍处于青春期。或者就像我最近在芝加哥IMTS 2018的CFE媒体全球自动化制造业峰会上的小组讨论中所说的那样:“十年前我们就站在起跑门上，但我们不知道。”

那么，管理网络风险的人希望如何在这些白帽水域中航行呢?这个问题没有简单的答案。(当然，部分解决方案永远是技术性的，但因为我是一名自动化和机器人律师，而不是工程师，所以你不会从我这里得到解决方案。)

最小化网络风险和影响

你将得到的是可供考虑的次优想法，这意味着:如果技术(还)不能防止黑客入侵，你能做些什么来将几率或影响降到最低?以下是我的看法:

在任何可能的情况下，处理合同中的风险。虽然这是显而易见的容易实现的目标，但它仍然很重要。如果发生网络入侵，一定要问:

• 贵公司与该活动的合同关系是什么，即使只是通过提案或采购订单?
• 是否有任何理由认为入侵的发生是因为你们的设备或程序存在漏洞?
• 最佳实践是否可以防止入侵?

如果事件足够严重，所有这些问题(甚至更多)都可能是针对你的——如果在适用的项目条款和条件中，用支持性的语言来回答，你的公司将会处于更好的位置。

超出范围

如果您是集成商或供应商，这意味着，在可能的情况下，通常放弃任何防止或赔偿网络入侵的义务，原因很简单，这项工作(希望)超出了您受雇做的范围，或者，假设不可能有这样广泛的免责声明，至少明确地排除了网络入侵的责任，因为它是由预先存在的漏洞引起的，包括遗留系统或设备。

获得这种类型的排除不需要使用挑衅性的词语，如“网络”，“黑客”，“入侵”，“安全”等。最佳的保护是对任何类型的索赔全面限制责任。或者，如果做不到这一点，保护很可能是确保客户只对集成商负责，反之亦然，在任何类型的工作中都存在某种程度的疏忽，而没有提及这些关键字。这使得集成商可以自由地争辩说，入侵“不是我的错”，特别是如果合同文件中没有任何地方将网络安全标记为任何形式的交付。

网络安全保险

如果您是终端用户，则考虑的因素就大不相同了——除非集成商是一个占用大量资源的大公司(通常情况下并非如此)。也就是说，对于最终用户来说，如果“另一个人”没有办法支付责任或为其投保，那么你是否能将合同责任推给“另一个人”就无关紧要了。

暂且不谈目前保险产品所提供的覆盖范围，也不谈保险业仍在像我们其他人一样追赶，最终用户可能会通过考虑保险公司所关注的内容来开始他们的风险分析。

根据我的合伙人帕特里克•奥康纳(Patrick O’connor)的建议，对网络保险申请进行审查，可以作为减少潜在风险的指南。

这些问题包括:

• 有多少信息技术(IT)是外包的?
• 在您控制的数据库中可以找到多少名称?
• 您的隐私流程和实践是否得到第三方的认可?
• 你的加密策略是什么?
• 采用了什么物理安全策略来控制对服务器的访问?
• 你有首席安全官吗?

我不会告诉你精算师是如何把所有这些信息转化成保费的，但我知道，能够计算出这个等式的人将是明天的保险英雄。更大的教训是更基本的:目前，合同和保险只能做这么多。目前，网络“前线”是你自己公司做事的方式。

马克Voigtmann他是faeggre Baker Daniels律师事务所自动化业务的负责人，该律师事务所在美国、英国和中国设有办事处。福格特曼是控制工程编辑顾问委员会。由内容经理马克·霍斯克编辑，控制工程、《媒体，mhoske@cfemedia.com．

关键词:网络安全风险缓解、合法性

网络安全方面的考虑从技术扩展到合同和保险。

合同措辞既能限制责任，又不会让人觉得不祥。

问这些问题扩大对网络安全风险的认识。

考虑一下这个

除了技术，你的联系人和保险解决网络安全风险吗?

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献，并获得你和你的公司应得的认可。点击在这里开始这个过程。