Почему безопасность промышленной автоматизации должна быть в центре внимания

Поскольку промышленные организации борются с последствиями COVID-19, автоматизация стать еще более горячей темой. Однако эксперты опасаются, что ускорение автоматизации может привести к непредвиденным последствиям для организаций, которые не уделяют внимания вопросам безопасности.

«Когда дело доходит до систем автоматизации и промышленного управления (АСУ ТП), спешка, несомненно, приносит больше, чем просто расточительство», - сказал Дэн Миклович, аналитик Analyst Syndicate. «Это приводит к потенциально катастрофическим или смертельным исходам».

Критически важные системы на промышленных предприятиях традиционно полагались на пристальный надзор со стороны сотрудников, потому что чувства были «обычно наиболее эффективным способом обеспечить оптимальное время безотказной работы», - сказал Крис Каттертон, директор по разработке решений в ONE Tech. Это меняется. Автоматизированные системы часто превосходят человеческие возможности по обнаружению проблем с машинами. По словам Каттертона, автоматизированная система может определить, когда значение крутящего момента на болте составляет, например, несколько фунтов света, или услышать высокочастотный визг подшипника, не обнаруживаемый человеческим ухом.

Но небрежность в отношении безопасности промышленной автоматизации может быть опасной. Электроника для любителей, например, может упростить автоматизацию промышленного оборудования, но такие продукты также могут предоставить кибератакам знакомую цель, сказал Миклович. «Автоматические решения Plug-and-play, в которых безопасность не ставится во главу угла, также могут открыть дверь для огромного количества уязвимостей», - сказал Каттертон.

Позаботьтесь и о развертывании ИИ

Также существует риск того, что организации поспешно развернут искусственный интеллект (ИИ) в рамках своей инициативы по автоматизации. В условиях дефицита специалистов по науке о данных и многих опытных промышленных операторов, оставленных без работы в результате карантина COVID-19, существует повышенная опасность появления ошибок в алгоритмах искусственного интеллекта. По словам Микловича, «человеку, пытающемуся обучить систему, не хватает важной информации по безопасности».

Даже в идеальных условиях разработка программного обеспечения или алгоритмов искусственного интеллекта неизбежно приводит к ошибкам. Одно практическое правило гласит, что на 1000 строк программного обеспечения приходится от 1 до 10 ошибок, как отмечалось в книге «Пятая область». Даже программное обеспечение для критически важных космических систем может иметь от одной до пяти ошибок на 1000 строк кода.

Поскольку программное обеспечение часто содержит миллионы или миллиарды строк кода, необходимость предотвращения и исправления ошибок становится критической. История дает примеры, которые подчеркивают риск срезания углов в области безопасности промышленной автоматизации. Катастрофа с ракетой Ariane 5 в 1996 году является одним из таких примеров. После того, как разработчикам программного обеспечения из Европейского космического агентства не удалось должным образом обновить код, позаимствованный у предыдущей ракеты, ракета взорвалась. Поскольку скорость корабля во время пуска превысила пределы, заданные программным обеспечением, ракета самоуничтожилась. «Стоимость этой программной ошибки составила около 300 миллионов долларов», - сказал Йоханнес Бауэр, доктор философии, главный советник по безопасности в UL.

Еще один пример дорогостоящих программных сокращений - заземление Boeing 737 Max в 2019 году. После передачи задач разработки программного обеспечения инженерам с оплатой 9 долларов в час самолет убил 346 человек в двух авариях. По данным New York Times, автоматизированная система, полагающаяся на информацию от единственного датчика, сыграла свою роль в авариях. По оценкам Boeing, стоимость заземления 737-го после двух аварий составляет 18 миллиардов долларов.

D является преступником при разрешении удаленного доступа

Помимо рисков, связанных с отказом от программно-управляемой автоматизации или рабочих нагрузок ИИ, еще одной опасностью является распространение удаленного доступа в промышленных средах. «Подумайте об использовании Zoom [приложения для видеоконференцсвязи], чтобы персонал цеха мог общаться с общим экспертным ресурсом для диагностики проблемы», - сказал Миклович. Он отметил, что в таком случае киберпреступник может украсть коммерческую тайну или информацию о производстве продукции. Стремление к удаленным операциям может также побудить организации сделать системы управления доступными через общедоступный Интернет без соответствующих мер безопасности. Угроза этого является «проблемой для инструментальных систем безопасности», - сказал Марк Карриган, главный операционный директор PAS Global. «Такие системы являются последней линией защиты для процессов, работающих за пределами своих граничных условий, и известной целью атак злоумышленников».

Удаленные операции также повышают риск попыток фишинга с использованием социальной инженерии. Такая атака может «идентифицировать сотрудников, которые, вероятно, будут иметь привилегированный доступ, чтобы их учетные данные могли быть использованы для получения доступа к системным средам управления через все более доступные удаленные шлюзы», - сказал Кэрриган.

Оценка угроз по секторам

Стремление к автоматизации и удаленному доступу не будет единообразным в промышленном секторе. «Наиболее важные из систем критической инфраструктуры», как правило, имеют установленные протоколы и с меньшей вероятностью изменят основные процессы, - сказал Френч Колдуэлл, соучредитель Analyst Syndicate. Критически важная инфраструктура, такая как атомные электростанции, нефтеперерабатывающие заводы и химические заводы, с меньшей вероятностью пострадает от ограничений работы, направленных на социальное дистанцирование, если для таких учреждений предусмотрены исключения.

У организаций критической инфраструктуры также есть нормативные требования к кибербезопасности. Например, энергокомпании должны соблюдать стандарты кибербезопасности, установленные Федеральной комиссией по регулированию энергетики и Североамериканской корпорацией по надежности электроснабжения.

На противоположном конце спектра находится промышленная инфраструктура, такая как отопление, вентиляция и кондиционирование (HVAC), освещение и производственные системы. По словам Колдуэлл, такие системы «управляются и контролируются удаленно уже несколько десятилетий».

По словам Колдуэлла, организации, находящиеся в середине этих двух полюсов, с большей вероятностью увеличат автоматизацию и инфраструктуру удаленной работы. «Это очень большая средняя группа систем, где, без сомнения, уже наблюдается рост удаленного доступа к АСУ ТП, вызванный пандемией», - сказал он.

Последнее слово

В конечном итоге каждая организация должна оценить риски и выгоды от оцифровки и автоматизации. Риск слишком медленного движения может стать угрозой для долговечности промышленной компании так же, как и поспешное развертывание. «Есть много разных взглядов на то, что автоматизировать, сколько автоматизировать и когда автоматизировать», - сказал Нитин Кумар, генеральный директор Appnomic. «Физические активы все больше переходят в цифровую форму. Отсутствие автоматизации в сочетании с адекватным цифровым процессом создаст очень неэффективную цифровую операционную модель ».

Одно универсально:организации должны сотрудничать для решения этих проблем. Особенно во время пандемии инженерам и ИТ-руководителям «необходимо объединиться, чтобы обеспечить соответствие надежности и безопасности как критичности систем, так и рискам безопасности», - сказал Колдуэлл. После того, как пандемия утихнет, у организаций будет больше времени, чтобы рассмотреть, как они могут расширить автоматизацию и удаленный доступ к системам АСУ ТП, чтобы учесть «как непредвиденные обстоятельства, так и повысить эффективность и результативность повседневных операций», - сказал Колдуэлл.>

С точки зрения бизнеса, организациям следует рассмотреть стратегии развертывания автоматизации для повышения устойчивости перед лицом неопределенности. «Нет ясности в отношении продолжительности останова и рисков, связанных с рабочей силой, даже если экономика перейдет к полуоткрытому состоянию», - сказал Кумар. Но более определенно существует вероятность того, что акционеры «будут продолжать предъявлять требования по мере роста восстановления», - добавил он.

Такие технологии, как автоматизация, искусственный интеллект и удаленный доступ, могут позволить промышленным организациям делать больше с меньшими затратами. Тем, кто хочет их развернуть, следует делать это осторожно. Несмотря на пословицу о том, что безопасность заложена в конструкции, многие организации находят их в режиме постоянного исправления. «Безопасность с самого начала должна быть функциональным требованием, - сказал Шон Писли, партнер Deloitte.