智能制造需要智能安全、智能通信

在过去几年中，针对制造业的网络安全攻击有所增加，并将继续增加。虽然大多数人是出于经济动机而不是商业间谍活动，但结果是一样的:这耗费了公司的时间和金钱，并对公司声誉造成负面影响。

“我们经常听到安全是事后才考虑的，但这种心态不起作用。NextLink Labs首席信息安全官(CISO) Jeremy Dodson在“通过基础最佳实践推进智能制造的安全数字转型”的演讲中说自动化在底特律，一个展览和会议由促进自动化协会(A3)．

NextLink Labs的网络安全专家利亚·多德森(Leah Dodson)表示，网络安全攻击方法也发生了变化。在新冠疫情之前，社会工程是首选方法，更多的是愚弄人，利用人的因素。目前，系统入侵是制造业首选的攻击方法。不管它是如何发生的，意识都很低，当发现攻击时通常已经太晚了。

她说:“通常在有人知道袭击的时候，袭击者已经在寻找他们的钱了。”

至于为什么系统入侵成为首选方法，NextLink的首席网络安全顾问贾尔·科尔皮(Jar Korpi)表示，攻击者与他们的目标并没有什么不同。“它们在攻击时采用侵入性最小的方法。也许报道越来越好，钓鱼培训也越来越好。如果你是一个攻击者，你看到了这一点，你会找到另一种方法。”

四种方式提升网络安全思维

希望改善其安全平台的公司需要采取积极主动的全面方法，包括以下四个步骤:

1. 资产可见性。
2. 供应链管理。
3. 改变角色和职责。
4. 政策开发和操作目标。

总资产可见性的好处

利亚说:“获得洞察力的原因是，它给了你一个机会，把这些信息应用到你作为一个组织所做的所有决策中。”“除非你知道自己拥有什么，否则你无法做出明智的决定，这就是资产可见性的作用。”

总资产可见性是指维护关于物理和数字资产的准确和可访问的信息。它还涉及映射资产关系，并能够在出现情况时根据信息采取行动。当然，在大型设施中，这说起来容易做起来难，特别是当一个设施中有许多物理设备和系统时。

在评估物理设备和系统时，公司需要能够回答以下问题:

1. 是什么?
2. 它在哪里?
3. 为什么会在这里?
4. 谁来管理它?
5. 上次更新是什么时候?
6. 这有什么风险?

”如果你不能回答这些问题，你就有问题了，”杰里米说。

值得称赞的是，大多数公司都能回答基本的问题，但当它们接近底部时，问题就出现了。科尔皮说:“他们通常有一个基本的了解，但没有真正的人来管理它，或者谁可以解释它，也不知道它上次更新是什么时候，或者什么时候需要更新。”

对于那些已经使用了50年之久的老旧设备来说，这就不那么容易解释了。这些老旧的设备直到最近才被隔离，现在随着系统可以通过互联网访问而变得脆弱。

“它们成为攻击者唾手可得的目标。这不是最新的东西。你总是忘记了一些事情，”利亚说。

供应链管理和网络安全责任

由于COVID-19大流行，供应链经历了重大挑战。由于针对操作技术(OT)系统的攻击，网络安全问题加剧了这一问题。即使在10年前，这也不是他们必须处理的问题，但现在它处于最前沿，这带来了关于信息技术(it)团队由谁负责以及何时负责的问题。

科尔皮说:“我们需要有一个相互理解的中间地带。”

而且越快越好，因为企业越来越意识到这一点。正因为如此，当涉及到未来的关系时，与供应链相关的网络安全意识和责任正成为一个成败攸关的问题。

杰里米说:“对于这个行业，特别是如果你在处理机器人技术，我们看到很多公司无法获得合同，因为我们无法提供他们想要的信息。在成熟度水平上走得更远的人是在前进的人。”

利亚说:“网络安全不再是客户事后才考虑的事情。“他们非常清楚这种可能性，尤其是在发生了像Colonial Pipeline这样的袭击之后。这是他们心里想的事情。他们会一直守望的。如果你不能回答他们的问题，他们就会纠结于是否想继续这段关系。”

支持推动IT/OT融合计划的人员是关键。杰里米说，双方都需要相互倾听。IT人员不一定有安全问题，因为这对他们来说不是问题。这同样适用于那些知道安全，但不知道安全的OT人员。双方应充分利用各自的知识基础，寻求谅解。

“如果你找到了一个对你的产品和公司信息感兴趣的人，那对你来说是最好的情况。对话变得非常重要，”杰里米说。“这将推动公司的举措向前发展。”

克里斯Vavra、网页内容经理、控制工程， CFE媒体与技术，cvavra@cfemedia.com．

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献，并获得你和你的公司应得的认可。点击在这里开始这个过程。