Насколько безопасна сеть вашего цеха?

Возможно, это не самое главное, но мастерские и производители среднего бизнеса должны думать о кибербезопасности ИТ/ОТ, особенно при производстве военных и оборонных деталей. Регламент здесь. Вы готовы?

Достаточно ли этого, чтобы приобрести новейшее оборудование и инструментальные технологии, такие как 5-осевые станки, нанять и научить учеников и новых машинистов, изготовить детали и соблюдать графики технического обслуживания? Благодаря интеллектуальным датчикам и большему количеству интернет-инфраструктуры, используемой сотрудниками в цехах, в машинах и вокруг них, а также в диспетчерских большинства магазинов появилось так много технологий.

Управление безопасностью в настоящее время является реальной проблемой и включает в себя управление всеми системами и поведением сотрудников. Для тех цехов, которые изготавливают детали для оборонной промышленности, безопасность является главным вопросом соблюдения требований, что имеет реальные последствия для бизнеса.

«Практика сегодня заключается в том, что малые и средние производители работают на полную мощность, заказы поступают, и самая большая проблема заключается в поиске и удержании талантов — самое большое препятствие в выпуске продукта за дверь. Принимая во внимание все решения, которые производители должны принимать каждый день, кибербезопасность не является для них приоритетной задачей», — говорит Эллиот Форсайт, вице-президент по бизнес-операциям Мичиганского центра производственных технологий, в статье для Advanced Manufacturing.

Мы беседуем с инсайдерами отрасли о состоянии безопасности в современном производстве и о том, куда он движется.

Промышленные кибератаки:утечка данных, кибершпионаж и многое другое

Интернет является фантастическим инструментом и благом для бизнеса. Но это также место преступной деятельности, где мошенничество, выкуп, воровство и системные манипуляции случаются слишком часто.

Производство не было избавлено от проблем безопасности. Промышленные отрасли, в том числе нефтегазовая, а также важные сегменты инфраструктуры, такие как электрические и атомные электростанции, также должны укреплять свою безопасность. В 2018 году в Саудовской Аравии были взломаны нефтехимические компании с намерением саботировать операции и устроить взрыв.

Это крайний случай, конечно, но такое бывает. Большинство инцидентов безопасности нацелены на финансовую информацию и интеллектуальную собственность.

«Это очень небезопасное пространство, — говорит Джон Ливингстон, генеральный директор Verve Industrial Protection. «Большинство производителей, как правило, не знают о проблеме или не имеют внутренних ресурсов [для ее решения]. … С одной стороны, многие полагаются на облачные сервисы, а с другой — на старые операционные системы в своих средах, на которые не установлены исправления».

В 2018 году на производстве произошло 352 инцидента, связанных с нарушением безопасности, и в отношении 87 из них было подтверждено раскрытие данных, согласно отчету Verizon о расследовании утечек данных за 2019 год, который является одним из наиболее полных исследований, публикуемых ежегодно.

«Второй год подряд финансово мотивированные атаки преобладают над кибершпионажем как основной причиной нарушений в производстве, причем в этом году на более значительный процент (40-процентная разница)», — заключают авторы отчета Verizon. «Если бы это было почти в любой другой вертикали, об этом не стоило бы упоминать, поскольку деньги являются причиной подавляющего большинства атак. Однако за последние несколько лет производство столкнулось с более высоким уровнем нарушений, связанных со шпионажем, чем другие вертикали».

Если целью является максимальное производство и изготовление деталей, нет никаких сомнений в том, что технологии играют центральную роль, помогая компаниям достигать своих целей. Сбор и мониторинг точной информации о машинах становится все более важным для достижения максимальной производительности.

Магазины по трудоустройству часто подключены к Интернету, и приложения, которые используют сотрудники, включая электронную почту, веб-сайты и мобильные приложения, могут быть начальными возможностями, необходимыми злоумышленникам для доступа к информации о сотрудниках и компании или интеллектуальной собственности. Эта информация может включать в себя библиотеки спецификаций деталей, которые производитель оригинального оборудования хотел бы передать конкурентам, а правительство не хотело бы, чтобы другие страны имели его.

«Производители должны проводить оценку рисков своей деятельности», — говорит Кушик Субраманиан, стратегический советник Национального центра кибербезопасности в производстве, в статье для Advanced Manufacturing. «Риск может быть техническим — в машинах, средствах управления или программном обеспечении, а также в персонале, практиках и процессах. Риск принимает множество различных форм, но наиболее распространенной является кибератака, когда злоумышленники или группы пытаются проникнуть в систему, используя самое слабое звено:людей. Вот почему фишинг и программы-вымогатели так популярны, а количество атак растет».

Для небольших магазинов управление компьютерами часто означает наем сторонних компаний, занимающихся информационными технологиями, также известных как «ИТ-компании», для помощи. Для средних и крупных производителей это может означать некую гибридную форму внутреннего ИТ-персонала и дополнительную помощь внешних компаний в решении более сложных технологических проблем.

«Большая часть отрасли проходит через эту фазу осознания», — говорит Ливингстон. «Они начинают понимать, что есть проблема. Но они спрашивают себя:«Как мне обойти весь мир, которым раньше никогда не управляли как интернет-инфраструктурой?»

  Вам нужен ответ на технический вопрос? Задайте вопрос технической команде MSC Metalworking на форуме.

Агенты изменений:стандарты, государственное финансирование и сторонние услуги

Национальный институт стандартов и технологий — это орган, который регулирует критически важную инфраструктуру и устанавливает правила для аэрокосмической и оборонной промышленности. В 2016 г. NIST опубликовал SP 800-171, в котором содержатся правила «Защиты контролируемой несекретной информации в нефедеральных системах и организациях».

В стандарты включены строгие меры безопасности, которые могут повлиять на OEM-производителей и оборонных субподрядчиков любого размера. Если компания не соблюдает требования, она, скорее всего, не сможет участвовать в торгах за работу.

«Для большинства производителей, не связанных с критической инфраструктурой, потеря рабочего дня из-за проблем с безопасностью не является чрезвычайной ситуацией в стране, но наносит ущерб их прибыли», — говорит Скотт Сойер, технический директор подразделения Paperless Parts. «Где это действительно вступает в игру, так это интеллектуальная собственность. Министерство обороны действительно заботится об этой области».

Это влияет на производителей всех размеров.

«Даже компании со штатом от 100 до 200 человек борются с этим, — говорит Сойер. «Внезапно им нужно выяснить, как они собираются соответствовать требованиям».

Как компании справляются? Некоторые из тех, кто пытается сохранить контракты или привлечь новые с оборонной промышленностью, привлекают консультантов и внедряют программы безопасности. Такого рода правила могут отрицательно сказаться на экономике штата и местной экономике. Это может быть дорого. Поэтому организации предлагают финансирование, чтобы помочь компаниям обеспечить соответствие стандартам безопасности посредством партнерств по расширению производства (MEP).

Чтобы узнать больше об усилиях Министерства обороны и NIST, посмотрите это видео.

Это хорошая новость для тех, кто следит за безопасностью, но большинство производителей все еще в неведении. «Особенно в небольших магазинах», — объясняет Сойер.

«Некоторые имеют ложное чувство безопасности. Они думают, что им ничего не угрожает, потому что они маленькие и находятся в стороне от проторенных дорог, а физически находятся в сельской местности, у них не так много сотрудников, и они ведут низкий маркетинговый профиль», — говорит Сойер. «Но, знаете, именно это в каком-то смысле может сделать их мишенью. Они более легкая цель, чем Lockheed Martin, Raytheon или Northrop Grumman, потому что у них нет системы безопасности».

Эти более крупные компании являются мишенями, но они также гораздо более изощренны в работе с секретными спецификациями и физической безопасностью, объясняет Сойер. Сойер должен знать:он несколько лет работал в оборонной промышленности, прежде чем перейти в производство.

Оборонные компании учат своих сотрудников не говорить о работе, когда они покидают завод. Многим говорят убрать свой рабочий значок с глаз долой, когда они уходят. Но даже эти усилия не помешали мотивированным злоумышленникам получить доступ к важной интеллектуальной собственности.

«Если вы верите в американское производство и патриотичны, часть этого должна включать в себя заботу об информационной безопасности», — говорит Сойер.

Как сегодня обстоят дела с безопасностью в вашем магазине? Готовитесь или находитесь в режиме «блаженство в неведении»? Расскажите об этом на форуме. [требуется регистрация]