Hvordan Producenterne kan beskytte mod Cyber-angreb

Af Jonathan Wilkins af Stafford baseret europæisk Automation

I 2014 steg det samlede antal cybersikkerhedshændelser til 42.8 millioner ifølge PWCs globale tilstand af informationssikkerhedsundersøgelse 2015, som du kan finde på http://goo.gl/MZR3zg. For dem af jer, som ikke har gjort matematik, der er 117,339 angreb om dagen, hver dag. Og disse er blot de strejker, der blev detekteret og rapporteret.

Europæiske Automation Johnatan WilkinsFor at forstå det store omfang af aktuelle trusler, har antivirus business Kaspersky skabt et interaktivt kort. Det skildrer antallet og typen af ​​cyber trusler i realtid. Hvis du læser denne hvidbog online, er jeg sikker på du vil enige om, at det er næsten hypnotisk. Hvis du læser offline, anbefaler jeg, du besøger http://cybermap.kaspersky.com.

Men kortet er også utroligt bekymrende. Det samlede antal -af sikkerhedsangreb detekteret steget med 48 procent fra 2013 til 2014 og der er lidt, der tyder denne procentdel vil falde i 2015. På trods af disse tal fremgår det, at oplysninger sikkerhedsprogrammer faktisk har svækket, hvilket især skyldes naivitet og utilstrækkelige investeringer.

I den industrielle sektor alene, virksomheder rapporterede en 17 procent stigning i påviste sikkerhedshændelser i 2014. De resulterende finansielle omkostninger er steget med 34%, mens forskning fra Barclays tyder på, at næsten 50% af virksomhederne, der lider en cybersikkerhed angreb ophører handel.

Denne særlige rapport analyserer den stigende globale cyber trussel og skitserer værdien af ​​at gennemføre en forretning fokuseret sikkerhedsstrategi for at sikre trivsel både medarbejdere og industrielle automatiserede systemer.

Hvem har gjort det?

Året 2014 featured nogle af de største hacking og cyber sikkerhedsbrud i dette årti. Det synes ingen var sikker, ikke engang de største erhvervskunder spillere. eBay, Sony Pictures Entertainment, Apple og Sony Playstation, var alle ofre for cyber-angreb i en eller anden form.

Interessant er der en ting de fleste sikkerhedstrusler har til fælles, og det er kilden. Resultaterne af PWCs undersøgelse viser, at 34.55 procent af virksomhederne spurgte, rapporterede, at angrebene på dem sidste år skønnes at stamme fra nuværende medarbejdere i virksomheden og 30.42 procent fra tidligere medarbejdere. Disse var de to største syndere.

Statistisk set er du langt mere tilbøjelige til at komme under cyberangreb på grund af at nogen tilslutter en beskadiget USB-stick til dit netværk, end du skal specifikt målrette mod en hacker, der forsøger at udnytte en svaghed i et automatiseret system. Men det er ikke at sige, at du ikke bør forberede begge begivenheder.

Hackere er stadig højt placeret i undersøgelsen - tredjedel med 23.89 procent af de undersøgte virksomheder, der fastlægger deres sikkerhedsangreb på dem. Der er dog en anden, mindre udbredt trussel, som virksomheder også bør være opmærksomme på.

Hver virksomhed møder tredjemand på daglig basis - som konsulenter, entreprenører, leverandører og udbydere. Det er afgørende, at de oplysninger, der deles med disse parter, på og uden for stedet, er begrænset til et passende niveau. 18.16 procent af de undersøgte virksomheder svarede, at de troede, at deres nuværende tredjepartsleverandører var ansvarlige, aktivt eller passivt for deres cyberangreb.

For eksempel havde US Retail Giant Target en betydelig overtrædelse i 2013, da de personlige identificerbare oplysninger (PII) og kreditkortoplysninger om kunder blev stjålet. Den multi-iscenesatte hack begyndte med Target s varme-, ventilations- og klimaanlæg, der tilsyneladende havde adgang til Target's netværk. Referencer blev stjålet fra den amerikanske leverandør ved hjælp af almindelig malware, der blev gennemført via en e-mail-phishing-kampagne. Dette var hackernes vej i.

Moralen af ​​historien er, at for at udvikle sikre systemer, skal virksomhederne gennemføre tekniske, konceptuelle og organisatoriske foranstaltninger til at forhindre forskellige typer af sikkerhedstrusler.

Hvor skal man begynde

Typiske sikkerhedshændelser omfatter i en fremstillingskonflikt infektion med malware, uautoriseret brug, manipulation af data, spionage og benægtelse af tjenesten - sidstnævnte er et forsøg på at gøre en maskine eller netværksressource utilgængelig til sine tilsigtede brugere.

Forsvar mod disse former for trusler kræver mere end blot at investere i ny software eller leje en Chief Information Security Officer (CISO), selv om disse foranstaltninger er en god start. Ændringer skal gennemføres fra jorden op. Før vi komme foran os selv er der visse skridt, der bør tages, før noget andet.

For korrekt at vurdere de sandsynlige trusler skal systemejere først vurdere de svage punkter i systemet - herunder det menneskelige element. I et automatiseret miljø kan dette afsløre et scenario, hvor en ejendom af det hele betragtes som gavnlig fra et automatiseringsperspektiv, men skadeligt for sikkerhed en.

For eksempel kan en fjernenhed, der er fri adgang til en programmerbar logisk styreenhed (PLC) uden godkendelse sparer tid i en automatiseret proces. Men ud fra et sikkerhedsmæssigt perspektiv er dette en konkret svagt punkt. Det er nødvendigt at identificere disse svagheder for at få adgang risici og træffe passende foranstaltninger.

Producenter og industrivirksomheder bør være særlig opmærksom på tre kerneområder. Den første er de svage punkter, der opstår på grund af forkert udstyr eller software implementering. Dette kunne være en defekt enhed eller et stykke programmering.

Fremkomsten af ​​sammenkobling og tingenes internet giver mulighed for alt i en fabrik til at kommunikere ved hjælp af en fælles protokol, generere en stor mængde data. Dette bringer os til det andet område virksomhederne skal fokusere på: sikring masse datastrøm, så hackere ikke kan udnytte det.

Endelig opstår der ofte svage punkter på grund af organisatoriske foranstaltninger eller mangel herpå. For eksempel er det vigtigt at sikre, at CISOs team opdaterer operativsystemer, webbrowsere og applikationer, når det er nødvendigt. Dette udelukker bekymringen for at bruge et produkt, der har kendt fejl, som en udvikler har korrigeret i en nyere version. Du bør implementere en corporate politik dedikeret til opdatering af software til at løse dette problem.

Generelt er det vigtigt, at teamet i en første sikkerhedsvurdering identificerer, grupperer og isolerer de kritiske oplysninger, der tilhører virksomheden, således at CISOs team kan beskytte det korrekt. Dette bør være hovedprioriteten for ethvert selskab, der beskæftiger sig med dets cybersikkerhed.

Beskyttelse netværk

En af de mest effektive midler til at sikre automatiserede produktionssystemer er cellebeskyttelse. Denne form for forsvar er især effektiv mod en række forskellige trusler, herunder mennesket-i-the-middle angreb, hvorved angriberen har evnen til at overvåge, ændre og injicere meddelelser i et kommunikationssystem.

Cell beskyttelse anvender en sikkerhedsintegreret komponent, der overvåger adgangen til en automatiseret celle. Dette betegnes ofte som en dørmand, fordi den spiller samme rolle som sin menneskelige navne ved at bestemme hvem der kan og hvem der ikke kan komme ind. Den mest almindelige enhed, der anvendes til dette formål, er en industriel Ethernet-kommunikationsprocessor, der integrerer en firewall og virtuelt privat netværk (VPN), filtrere ud angreb og holde netværksforbindelsen sikker.

Celle beskyttelse forhindrer også uautoriseret adgang til og kontrol, denial of service-angreb og online trusler via kontornetværk.

Det er dog vigtigt, at risikovurderinger og sikkerhedsforanstaltninger ikke fokuserer udelukkende på automatiserede systemer. Personale, leverandører og tredjepartsleverandører bør også komme under kontrol.

Sikkerhed via uddannelse

En del af det nuværende problem er, at emnet for cybersikkerhed ikke hæves til en diskussion på bestyrelsesniveau i de fleste virksomheder på trods af de skadelige konsekvenser af sikkerhedsbrud, herunder produktionstab, reduceret produktkvalitet og sikkerhedstrusler for både mennesker og maskiner.

De fleste regeringer har oprettet eller er i færd med at skabe, cyber sikkerhedsforskrifter, der pålægger vilkår om varetagelse og brug af personlige oplysninger. Virksomheder, der ikke i tilstrækkelig grad beskytter følsomme oplysninger risiko økonomiske sanktioner. På trods af dette, nogle virksomheder forbliver uvidende.

Forordninger er særligt udbredt i Europa og bør tjene som et eksempel på, hvad lande, der endnu ikke har lovgivning bør forvente i den nærmeste fremtid. USA har også obligatoriske overensstemmelses politikker, når det kommer til virksomheder, der beskytter PIO.

I begyndelsen af ​​2104, implementeret USA en ramme for forbedring internetsikkerhed infrastruktur: et sæt af branchestandarder og bedste praksis med henblik på at hjælpe organisationer styre cyber sikkerhedsrisici. Imidlertid har disse foranstaltninger blevet stærkt kritiseret for ikke at gå langt nok, især i lyset af den seneste tids høje profil Sony Pictures Entertainment hacking skandale angiveligt involverer Nordkorea.

For at hjælpe med at uddanne virksomhederne i veje informationssikkerhed, har den britiske regering afsat 860 millioner £ indtil 2016 at etablere et nationalt Cyber ​​Security-programmet. En del af denne dagsorden er at sikre Storbritannien er et af de mest sikre steder at gøre forretninger online. Dette sker efter det blev afsløret, at 81 procent af store virksomheder og 60 procent af små virksomheder i Storbritannien rapporterede en cyber brud i 2014.

I henhold til programmet, har regeringen udviklet en cyber væsentlige ordning for at give virksomhederne et klart mål at stræbe efter. Dette vil gøre det muligt for virksomhederne at beskytte sig mod de mest almindelige trusler, internetsikkerhed, men også annoncere, at de opfylder denne standard. For mere information om ordningen, gå til www.gov.uk/government/publications/cyber-essentials-scheme-overview.

Hertil kommer, en 'Ti skridt til cyber-sikkerhed hæfte' er tilgængelig for alle, der søger rådgivning om aktuelle risici og metoder til forebyggelse. Litteraturen skitserer vigtige elementer, når du opretter en business-fokuserede sikkerhedsstrategi, såsom risikostyring regimer, sikker konfiguration, netværk, sikkerhed, brugerrettigheder, uddannelse og bevidsthed, hændelsesstyring, malware forebyggelse, overvågning og hjem eller mobil adgang. Sikkerheden Hæftet kan downloades ved at gå til www.gov.uk/government/publications/cyber-risk-management-a-board-level-responsibility.

Virksomheder, der gerne vil vide mere om, hvordan de kan øge deres sikkerhedsniveauer, kan også få adgang til et brugbart retningslinjedokument fra industristandardbureauet PROFIUBUS & PROFINET International (PI).

Sikkerhedsretningslinjen for PROFINET blev oprindeligt udviklet i 2006 og senere revideret i slutningen af ​​2013. Det specificerer ideer og begreber om hvordan og hvilke sikkerhedsforanstaltninger der skal implementeres. Den indeholder også en liste over almindeligt anvendte sikkerhedsakronymer og tilbyder en række dokumenterede bedste praksis, som det tidligere nævnte cellebeskyttelseskoncept. PROFINETs vejledning kan downloades ved at gå til http://goo.gl/yT7rKW.

Oplysningerne er derude for virksomheder, der søger råd om cybersikkerhed. Men fra statistikkerne fra PWCs undersøgelse ser det ud til, at industriproduktvirksomheder allerede er på vej.

Industri

I det hele taget er cyber trusler stigende og alligevel informationssikkerhed budgetter syntes at falde i 2014. Det industrielle produkter marked er undtagelsen, fordi det har skabt budgetter til at beskytte sig selv.

Ifølge PWC-sikkerhedsundersøgelsen ser denne sektor ud over stigende sikkerhedsrisici mere end alle andre undersøgte - kraftværker, sundhedsvæsen, detailhandel og forbruger-, teknologi- og finansielle tjenesteydelser. Desuden investerer det i overensstemmelse hermed.

Informationssikkerhedsbudgetterne for industrivarer har steget mere end 150 i de seneste to år. I 2014 repræsenterede informationssikkerhedsudgifter 6.9 procent af PWC-undersøgelsens respondenteres samlede IT-budget, den højeste af enhver undersøgt sektor. I 2014 steg sikkerhedshændelserne i sektoren imidlertid også seks gange. Så måske endda en 150% stigning er ikke nok.

Resultatet af denne investering har været bemærkelsesværdige forbedringer i sikkerheds processer og teknologier samt uddannelsesinitiativer. Der er imidlertid stadig generøs plads til forbedringer.

Ophold sikker

Megatrends såsom Industri 4.0, tingenes internet og store data har drevet industriel automation til et helt nyt niveau, skabe mere effektive og sofistikerede produktionslinjer. Industrien integrere dens produktionslinier med IT-lag og den traditionelle industriel automatisering pyramide er ved at kollapse på grund af behovet for hurtigere, billigere og mere effektiv produktion. Men der er en pris for disse gevinster: med større åbenhed, sammenkobling og afhængighed kommer større sårbarhed.

Der er et konkret behov for mere træning når det gælder cybersikkerhed, både øverst og nederst på fremstillingsstigen. Alt for ofte glider virksomhederne i almindelige faldgruber - tro på, at de enten er ubehagelige eller ikke et mål.

Hvis flertallet af cyberangreb i 2014 blev begået af nuværende medarbejdere i det berørte selskab, hvor mange af disse tror du blev foretaget bevidst? Eller var de resultatet af en individuel ikke fuldt ud at forstå, at hans eller hendes handlinger kan føre til brud på sikkerheden?

At forstå, at du ikke skal være et ønskeligt mål for hackere, og at cybertrusler kan være et resultat af ikke-ondsindet, dårlige vurderinger fra en medarbejder er nøglen til at forstå risici.

Selvom ledelsen helhjertet implementerer en dedikeret cyber-sikkerhed nedad, alt det tager er en malware-inficerede enhed sluttet til netværket for at forårsage forstyrrelser. Vi kan ikke forhindre ulykker, men det er muligt at styre dem ved at indgyde viden på medarbejdere og indføre pålidelige overvågningsudstyr og procedurer for, hvornår et angreb finder sted.

Sikkerhed uddannelse bør ikke være begrænset til en off seminar for personalet og en indledende systemer opgradere. Patch vedligeholdelse og opdateringer skal udføres som og når sårbarheder bliver afsløret eller ny software er frigivet. Topledelse nødt til at gennemføre kraftige vedligeholdelse og overvågning politikker. Sikkerhed er en konstant og udviklende bekymring, ikke noget, der kan løses med en hurtig løsning.

Risikovurderinger skal udføres for leverandører, leverandører og entreprenører, og der skal indføres begrænsninger på information. Igen kan dette ikke være en indledende vurdering. Unified procedurer skal skrives op og følges, når de beskæftiger sig med en tredjepart, der kræver en vis grad af information fra en virksomhed.

Med økonomisk investering og passende opmærksomhed på it-sikkerhed infrastruktur og procedurer, vil en virksomhed være klar, bør en ondsindet eksterne angreb finde sted.

Ellers skal en virksomhed ikke bare står over tab af produktion og økonomiske sanktioner; der er også tab af omdømme og potentiel fare for både maskiner og mennesker til at overveje.

Process Industry Informer

Giv en kommentar

Din e-mail-adresse vil ikke blive offentliggjort. Krævede felter er markeret *

Dette websted bruger Akismet til at reducere spam. Lær, hvordan dine kommentardata behandles.