智能制造需要智能安全、智能通信
制造业数字化转型的需求只与其背后的安全计划一样好,这需要各方的支持。
在过去几年中,针对制造业的网络安全攻击有所增加,并将继续增加。虽然大多数人是出于经济动机而不是商业间谍活动,但结果是一样的:这耗费了公司的时间和金钱,并对公司声誉造成负面影响。
“我们经常听到安全是事后才考虑的,但这种心态不起作用。NextLink Labs首席信息安全官(CISO) Jeremy Dodson在“通过基础最佳实践推进智能制造的安全数字转型”的演讲中说自动化在底特律,一个展览和会议由促进自动化协会(A3).
NextLink Labs的网络安全专家利亚·多德森(Leah Dodson)表示,网络安全攻击方法也发生了变化。在新冠疫情之前,社会工程是首选方法,更多的是愚弄人,利用人的因素。目前,系统入侵是制造业首选的攻击方法。不管它是如何发生的,意识都很低,当发现攻击时通常已经太晚了。
她说:“通常在有人知道袭击的时候,袭击者已经在寻找他们的钱了。”
至于为什么系统入侵成为首选方法,NextLink的首席网络安全顾问贾尔·科尔皮(Jar Korpi)表示,攻击者与他们的目标并没有什么不同。“它们在攻击时采用侵入性最小的方法。也许报道越来越好,钓鱼培训也越来越好。如果你是一个攻击者,你看到了这一点,你会找到另一种方法。”
四种方式提升网络安全思维
希望改善其安全平台的公司需要采取积极主动的全面方法,包括以下四个步骤:
- 资产可见性。
- 供应链管理。
- 改变角色和职责。
- 政策开发和操作目标。
总资产可见性的好处
利亚说:“获得洞察力的原因是,它给了你一个机会,把这些信息应用到你作为一个组织所做的所有决策中。”“除非你知道自己拥有什么,否则你无法做出明智的决定,这就是资产可见性的作用。”
总资产可见性是指维护关于物理和数字资产的准确和可访问的信息。它还涉及映射资产关系,并能够在出现情况时根据信息采取行动。当然,在大型设施中,这说起来容易做起来难,特别是当一个设施中有许多物理设备和系统时。
在评估物理设备和系统时,公司需要能够回答以下问题:
- 是什么?
- 它在哪里?
- 为什么会在这里?
- 谁来管理它?
- 上次更新是什么时候?
- 这有什么风险?
”如果你不能回答这些问题,你就有问题了,”杰里米说。
值得称赞的是,大多数公司都能回答基本的问题,但当它们接近底部时,问题就出现了。科尔皮说:“他们通常有一个基本的了解,但没有真正的人来管理它,或者谁可以解释它,也不知道它上次更新是什么时候,或者什么时候需要更新。”
对于那些已经使用了50年之久的老旧设备来说,这就不那么容易解释了。这些老旧的设备直到最近才被隔离,现在随着系统可以通过互联网访问而变得脆弱。
“它们成为攻击者唾手可得的目标。这不是最新的东西。你总是忘记了一些事情,”利亚说。
供应链管理和网络安全责任
由于COVID-19大流行,供应链经历了重大挑战。由于针对操作技术(OT)系统的攻击,网络安全问题加剧了这一问题。即使在10年前,这也不是他们必须处理的问题,但现在它处于最前沿,这带来了关于信息技术(it)团队由谁负责以及何时负责的问题。
科尔皮说:“我们需要有一个相互理解的中间地带。”
而且越快越好,因为企业越来越意识到这一点。正因为如此,当涉及到未来的关系时,与供应链相关的网络安全意识和责任正成为一个成败攸关的问题。
杰里米说:“对于这个行业,特别是如果你在处理机器人技术,我们看到很多公司无法获得合同,因为我们无法提供他们想要的信息。在成熟度水平上走得更远的人是在前进的人。”
利亚说:“网络安全不再是客户事后才考虑的事情。“他们非常清楚这种可能性,尤其是在发生了像Colonial Pipeline这样的袭击之后。这是他们心里想的事情。他们会一直守望的。如果你不能回答他们的问题,他们就会纠结于是否想继续这段关系。”
支持推动IT/OT融合计划的人员是关键。杰里米说,双方都需要相互倾听。IT人员不一定有安全问题,因为这对他们来说不是问题。这同样适用于那些知道安全,但不知道安全的OT人员。双方应充分利用各自的知识基础,寻求谅解。
“如果你找到了一个对你的产品和公司信息感兴趣的人,那对你来说是最好的情况。对话变得非常重要,”杰里米说。“这将推动公司的举措向前发展。”
克里斯Vavra、网页内容经理、控制工程, CFE媒体与技术,cvavra@cfemedia.com.
您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献,并获得你和你的公司应得的认可。点击在这里开始这个过程。