home Технология производства Производственное оборудование
Промышленное производство
Промышленный Интернет вещей | Промышленные материалы | Техническое обслуживание и ремонт оборудования | Промышленное программирование |
home  MfgRobots >> Промышленное производство >  >> Industrial Internet of Things >> Датчик

Круглый стол для руководителей:безопасность объектов и сетей

Одним из наиболее важных аспектов любого производственного предприятия является безопасность — будь то защита оборудования или данных. Технические обзоры задавали вопросы руководителям компаний, предоставляющих решения для обеспечения безопасности сетей и объектов, чтобы узнать их мнение по таким вопросам, как кибербезопасность, облачные технологии, беспроводные устройства и обеспечение безопасности удаленных сотрудников .

Наши участники:Майк Джаббур, генеральный менеджер отдела цифровых подключений и питания Siemens Digital Industries; Майк Ллойд, технический директор RedSeal; Раду Павел, технический директор и главный инженер TechSolve; и Донован Тиндилл, старший специалист по стратегии кибербезопасности Honeywell Connected Enterprise — кибербезопасность.

Технические обзоры: Учитывая, что из-за пандемии COVID-19 все больше людей работают удаленно, какие процедуры и системы безопасности следует использовать для удаленной эксплуатации оборудования, диагностики и обслуживания?

Майк Ллойд: В спешке, чтобы работать из дома, большинство команд безопасности столкнулись с цунами запросов на улучшенные средства управления ноутбуком, новые требования к VPN, новые облачные сервисы и многое другое; однако часто упускается из виду аспект, связанный с бизнес-активами, которые не перемещались вместе с операторами. Внезапно операторам понадобились удаленные возможности для управления и диагностики любого физического оборудования, которое не перемещается, а в целях безопасности удаленное управление всегда означает риск. Любые новые пути контроля между удаленными работниками и физическими активами компании увеличивают поверхность атаки компании. Команде безопасности целесообразно вернуться и проверить, как можно получить доступ ко всем физическим активам в компании. Если вы знали, как все это работало до COVID, то сейчас вы, вероятно, не знаете этого.

Раду Павел: Ситуация с COVID-19 приводит к ускоренной цифровизации рабочей среды. Поскольку реалии бизнеса обусловливают потребность в данных в режиме реального времени от многих функций, потенциальные преимущества новых технологий подпитывают желание соединить производственные и непроизводственные устройства в производственных цехах. Аппетит производителей к передовым технологиям быстро превышает их возможности по их защите, и эта возможность подключения и богатая данными среда вызывают серьезные опасения и проблемы, связанные с кибербезопасностью. Производители сталкиваются с дополнительными проблемами из-за необходимости защищать не только ИТ-системы, но и операционные технологии (ОТ), которые могут охватывать датчики, ПЛК, контроллеры роботов, станки и другое операционное оборудование.

Майк Джаббур: Самое главное, что COVID не изменил общего оборудования или процессов, необходимых для удаленной связи, — он только привел к необходимости использовать уже доступные технологии. Не каждая компания должна делать одно и то же, когда речь идет об удаленных приложениях и безопасности, но всегда следует учитывать основы. Есть много других устройств безопасности, которые следует учитывать, но в большинстве случаев следует использовать VPN-подключение, брандмауэр и сервер перехода.

Удаленное общение всегда должно быть должным образом аутентифицировано, зашифровано и отключено, когда оно не используется. Надлежащий брандмауэр защищает внутренний трафик от ненадежной сети. Если сеть состоит из нескольких сегментов, обмен данными через брандмауэр должен защищать каждый из внутренних сегментов друг от друга. Когда дело доходит до удаленной связи, шифрование трафика от удаленного пользователя к доверенной сети всегда считается лучшей практикой. Это можно сделать с помощью устройства VPN. Не должно быть прямого соединения из ненадежной сети в защищенную сеть.

Донован Тиндилл: При удаленном доступе к промышленной системе управления/системе операционных технологий (ICS/OT) последствия и потери от кибератаки значительно выше, чем при доступе к информационным технологиям (ИТ). Чтобы снизить этот бизнес-риск, необходимы дополнительные меры безопасности, включая многофакторную аутентификацию из ненадежных сетей. Доверие относительно — деловая сеть вызывает меньше доверия, чем системы ICS/OT. Типичная VPN позволяет пользователю подключаться по своему желанию 24/7. Явное утверждение запроса на доступ требуется для каждого сеанса, каждого пользователя и каждого дня при удаленной работе из-за потенциальных последствий кибератак на АСУ ТП/ОТ.

Технические обзоры: Это похоже на палку о двух концах:облачные технологии, беспроводные сенсорные сети и другие промышленные системы принесли новые захватывающие преимущества цифровым фабрикам, но в то же время эти интеллектуальные производственные технологии значительно расширяют возможности для атак. Как можно сбалансировать доступность с безопасностью?

Ллойд: Промышленный Интернет вещей (IIoT) приносит большие преимущества, но также и большие риски. Как правило, все «вещи» в Интернете вещей следует рассматривать как хрупкие и не заслуживающие доверия. Это стало шоком для команд, привыкших управлять изолированной инфраструктурой SCADA, но времена изменились. Учитывая хрупкость систем IoT, единственным разумным подходом является сегментация сети — необходимо учитывать все возможные пути доступа, а промышленные системы должны быть максимально изолированы. Со временем доступ станет небрежным, и будут совершаться ошибки, поэтому вам нужен способ постоянно проверять, что доступ только в том объеме, в котором он должен быть, чтобы вы могли остановить дрейф сети.

Тиндилл: Доступность может быть сбалансирована с безопасностью, но в то же время устанавливаются новые нормы. Безопасность в аэропортах до 11 сентября сильно отличалась от сегодняшней, но новая норма хорошо зарекомендовала себя благодаря новым технологиям и протоколам, которые по-прежнему позволяют проводить своевременную проверку безопасности. С новыми технологиями требуется обучение решению, и если кибербезопасность неотделима от него, то пользовательский опыт и доступность не являются проблемой. Бизнес-преимущества этих новых технологий и цифровых фабрик могут дать невиданные ранее результаты. Роль кибербезопасности заключается в защите инвестиций в облачные технологии, беспроводные сенсорные сети и другие промышленные системы, чтобы они могли обеспечить окупаемость инвестиций, оставаясь при этом более устойчивыми к кибератакам. Многофакторная проверка подлинности, инфраструктура открытых ключей, криптография и другие элементы управления безопасностью — при правильной реализации — практически беспрепятственны для пользователя и обеспечивают дополнительный уровень контроля доступа, недостижимый с помощью предыдущих устаревших технологий.

Джаббур: Преднамеренно спланированные и сегментированные сети являются основой не только системы связи предприятия, но и передового опыта в области безопасности. Сегментированная сеть ICS может помочь защитить сенсорные сети друг от друга в случае атаки, а это означает, что доступ к одной секции вашего предприятия не уничтожит всю компанию одним махом. Это также должно сочетаться со знанием и пониманием уязвимых мест вашего предприятия. Просто разместить устройство и уйти — это основная процедура, позволяющая хакерам атаковать вашу систему. Управление всеми устройствами в сети включает не только знание и понимание того, какие устройства есть, но и регулярные запланированные проверки уязвимостей и их уровня угрозы (низкий/средний/высокий).

Павел: Масштабы и скорость цифровизации, а также рост сетей связи приводят к увеличению рисков кибербезопасности. Дело не только в масштабах воздействия, но и в уязвимости подключаемых киберфизических систем. Эти новые системы изначально не были разработаны с учетом кибербезопасности. Проблема усугубляется возможностью негативного влияния на производительность в результате интеграции общих технологий кибербезопасности в существующие системы. Баланс между доступностью и безопасностью — это многогранная стратегия, основанная на стандартных протоколах связи, шифровании данных, передаваемых по сети, использовании самых современных стандартов кибербезопасности и внедрении технологий, позволяющих выявлять и устранять угрозы кибербезопасности в режиме реального времени. .

Джаббур: Потому что кибербезопасность чаще всего упускается из виду. Большинство установок IIoT пытаются удовлетворить бизнес-потребности, а кибербезопасность — это то, что обычно не является стандартной темой для разговоров в бизнес-потребностях, пока не произойдет атака.

Ллойд: Цинично, потому что безопасность всегда является последним элементом всех развертываний. Стремление к IoT связано с функциями и стоимостью. Это означает, что устройства производятся быстро, по минимальной цене, и вы получаете безопасность, за которую платите. Устройства часто не поддерживают исправления и не могут поддерживать традиционные агенты и сканеры в наших наборах инструментов безопасности. Таким образом, безопасность IoT — это очень сложная проблема — по сути, внедрение бесчисленных хрупких новых устройств в сеть, которая уже была неуправляемой и неорганизованной. Переход к Интернету вещей будет успешным только для тех, кто дисциплинирован и заранее планирует сдерживать радиус взрыва проблем, когда — а не если — они возникают.

Тиндилл: Есть несколько причин, по которым кибербезопасность рассматривается только в конце развертывания. Процессы закупок и поиска исключают требования кибербезопасности, поскольку цена остается основным фактором. Большинство инженерных процессов исключают кибербезопасность — это означает, что спецификация, проектирование, конфигурация, тестирование и ввод в эксплуатацию часто происходят без каких-либо задач или результатов кибербезопасности. Команды ИТ и кибербезопасности исключаются до тех пор, пока не придет время подключаться к сети или Интернету — именно тогда эти команды могут впервые узнать, что проект вообще существует. Кибербезопасность должна иметь достаточный вес в критериях принятия решений; после того, как он включен в процессы покупки, он затем проходит через весь дизайн, настройку, защиту и тестирование на приемку в киберпространстве, и все это перед запуском.

Павел: С первых дней, когда самым большим риском был компьютерный вирус, до сегодняшнего дня, когда вредоносное ПО для операционных технологий может разрушить оборудование и привести к гибели людей, в компьютерном мире наблюдается экспоненциальный рост кибератак. Технологии на основе Интернета вещей создают собственный набор уникальных проблем безопасности, связанных с целостностью данных, утечкой данных, конфиденциальностью и возможностью несанкционированного доступа.

Итак, почему безопасность часто является последним элементом развертывания IoT? Некоторые из этих систем были разработаны не с учетом кибербезопасности, а с единственной целью — обеспечить определенную функцию. Конечные пользователи не считали кибербезопасность одним из основных критериев выбора, а скорее способность системы выполнять задачу, ее эффективность и стоимость. Только в последние годы пользователи, правительство и группы по стандартизации стали уделять больше внимания проблеме кибербезопасности.

Ллойд: Тремя главными приоритетами промышленных сетей являются сегментация, сегментация и еще раз сегментация. Старые воздушные зазоры испарились, и Интернет все больше смешивается с физическими операциями завода, нравится нам это или нет. Такое изобилие интерфейсов означает, что вся поверхность атаки резко увеличилась, и рано или поздно что-то обязательно проникнет внутрь. Первоочередной задачей является планирование заранее, чтобы ограничить распространение плохих событий, используя сегментацию, а для наиболее важных систем — планирование. вперед, чтобы закрыть «взрывозащитные двери», подобные дверям переборок на подводных лодках.

Павел: Кибератаки могут повлиять на конфиденциальность, целостность и доступность в производственных условиях. Они могут привести к потере интеллектуальной собственности продукта и процесса; производственные потери из-за разрушения, модификации и перепрограммирования деталей и процессов; ущерб репутации; и даже травмы и гибель людей. Важность целостности данных для производства можно увидеть в отношении производства деталей — изменение спецификаций продукта и процесса может нанести ущерб качеству и надежности продукта.

Доступность данных и киберфизических систем также имеет решающее значение для производительности производства. Устаревшее аппаратное и программное обеспечение обычно используется в производственных процессах, и некоторые из этих систем не были разработаны с учетом кибербезопасности или Интернета вещей. Поэтому при подключении таких устаревших устройств к Интернету вещей или их интеграции в заводскую сеть существует неотъемлемый риск.

Джаббур: Точно нет. Брандмауэры — это всего лишь отдельные устройства в общей системе, и хотя их следует использовать, необходимо принимать во внимание и другие конструктивные особенности.

Тиндилл: В середине 1990-х брандмауэры и антивирусы были стандартами, потому что они обеспечивали достаточную защиту от угроз кибербезопасности того времени. Практически 100 % организаций сегодня имеют брандмауэры, и кибератаки могут обходить брандмауэры с помощью других тактик, методов и процедур (TTP). Киберугрозы быстро развиваются, и требуется множество средств контроля кибербезопасности. Брандмауэры выполняют в первую очередь защитный контроль, хорошо обнаруживая известное плохое поведение на сетевом периметре. Сегодняшние атаки включают в себя кражу учетных данных и их использование для проникновения в сети без обнаружения, поскольку не требуется грубой силы или злонамеренных подключений. Мы все слышали истории о том, как злоумышленник находился внутри системы от шести до девяти месяцев до атаки; это пример того, как проявляются слабые возможности обнаружения и реагирования.

Павел: Полагаться только на брандмауэр больше не рекомендуется — возможно, никогда не было. Тремя наиболее важными элементами программы корпоративной безопасности являются люди, процессы и технологии. Малые и средние организации представляют особую проблему для кибербезопасности в производственной среде и цепочке поставок. Многим не хватает технического персонала для обеспечения надежной кибербезопасности, и, поскольку они часто не знают о сложности угроз, они не могут создать экономическое обоснование для инвестиций в кибербезопасность OT. Чтобы помочь устранить эти подводные камни и ускорить принятие надлежащих мер кибербезопасности, правительство инвестировало средства в разработку правил, стандартов и программ сертификации, применимых ко всем отраслям.

Ллойд: Брандмауэры подобны дверным замкам в вашем здании — хорошее начало, базовый уровень гигиены безопасности, но вряд ли комплексное противоядие от риска. Брандмауэры сложны и почти всегда неправильно настроены. Я проверил многие тысячи реальных брандмауэров, и необычно найти менее десяти ошибок на устройство. (Чрезвычайно сложные брандмауэры могут содержать тысячи ошибок на одном устройстве.) Самый сложный аспект брандмауэров — понять, все ли они охватывают — в конце концов, вы не можете определить путь вокруг брандмауэра, просто прочитав брандмауэр. Вам необходимо иметь всестороннее представление о доступе ко всей вашей заводской сети, и вы должны быть в состоянии следить за доступом по мере того, как ваша сеть меняется и растет.

РЕСУРСЫ

  1. Подключенное предприятие Honeywell
  2. Красная печать
  3. Сименс Диджитал Индастрис
  4. Техрешение

Датчик

  • Встроенный
  • Датчик
  • Облачные вычисления
  • Интернет вещей
    1. Сетевые протоколы
    2. Управление безопасностью IIoT
    3. Универсальный пульт дистанционного управления Raspberry Pi
    4. 3 шага к лучшему сотрудничеству между сетевыми специалистами и специалистами по безопасности
    5. Почему безопасность Интернета вещей должна быть в центре внимания [RAN, edge] сетевых операторов
    6. Защита Интернета вещей от сетевого уровня до уровня приложения
    7. Три вопроса, которые операторы сети должны задать о безопасности Интернета вещей
    8. Атака безопасности ICS позволяет удаленно управлять зданиями
    9. Что такое ключ безопасности сети? Как его найти?
    10. Почему кибербезопасность важна для спокойствия физической безопасности