Industriële fabricage
Industrieel internet der dingen | Industriële materialen | Onderhoud en reparatie van apparatuur | Industriële programmering |
home  MfgRobots >> Industriële fabricage >  >> Industrial Internet of Things >> Internet of Things-technologie

Waarom beveiliging van industriële automatisering een nieuwe focus moet zijn

Terwijl industriële organisaties worstelen met de gevolgen van COVID-19, heeft automatisering een nog hotter onderwerp worden. Experts vrezen echter dat de versnelling van automatisering onvoorziene gevolgen kan hebben voor organisaties die zich niet richten op beveiliging.

"Als het gaat om automatisering en industriële controlesystemen (ICS), maakt haast ongetwijfeld meer dan verspilling", zegt Dan Miklovic, analist bij het Analyst Syndicate. "Het leidt tot potentieel catastrofale of dodelijke gevolgen."

Bedrijfskritieke systemen in industriële faciliteiten vertrouwden van oudsher op het nauwlettende toezicht van menselijke werknemers, omdat de zintuigen "meestal de meest effectieve manier waren om optimale uptime te garanderen", Chris Catterton, directeur oplossingstechniek bij ONE Tech. Dat is aan het veranderen. Geautomatiseerde systemen overschrijden vaak de menselijke capaciteit om machineproblemen op te sporen. Een geautomatiseerd systeem kan detecteren wanneer een momentwaarde op een bout bijvoorbeeld een paar pond te licht is, of een hoogfrequent lager horen piepen dat niet waarneembaar is voor het menselijk oor, zei Catterton.

Maar laks zijn op het gebied van industriële automatisering kan gevaarlijk zijn. Hobbyistische elektronica kan bijvoorbeeld het automatiseren van industriële machines eenvoudig maken, maar dergelijke producten kunnen cyberaanvallers ook een bekend doelwit bieden, zei Miklovic. "Plug-and-play automatiseringsoplossingen die niet zijn gebouwd met beveiliging op de voorgrond, kunnen ook de deur openen voor een enorme hoeveelheid kwetsbaarheden", zei Catterton.

Wees ook voorzichtig met AI-implementaties 

Het risico bestaat ook dat organisaties overhaast kunstmatige intelligentie (AI) inzetten als onderdeel van hun automatiseringsinitiatief. Met een tekort aan datawetenschapsexperts en veel ervaren industriële operators die buitenspel staan ​​als gevolg van COVID-19-quarantaines, is er een verhoogd risico dat fouten in AI-algoritmen kruipen. Het risico bestaat dat "de persoon die het systeem probeert te trainen, geen essentiële veiligheidsinformatie heeft", zei Miklovic.

Zelfs in ideale omstandigheden brengt het ontwikkelen van software of AI-algoritmen onvermijdelijk een fout met zich mee. Een vuistregel is dat er één tot tien fouten per 1.000 regels software zijn, zoals het boek "The Fifth Domain" heeft opgemerkt. Zelfs software voor missiekritieke ruimtesystemen kan één tot vijf fouten per 1.000 regels code hebben.

Omdat software vaak miljoenen of miljarden regels code bevat, wordt de noodzaak om bugs te voorkomen en te corrigeren van cruciaal belang. De geschiedenis biedt voorbeelden die het risico onderstrepen van bezuinigingen op de beveiliging van industriële automatisering. De ramp met de Ariane 5-raket van 1996 is daar een voorbeeld van. Nadat softwareontwikkelaars van de European Space Agency er niet in slaagden de code die ze van een eerdere raket hadden geleend, adequaat bij te werken, explodeerde de raket. Omdat de snelheid van het vaartuig tijdens de lancering de door de software gespecificeerde grenzen overschreed, vernietigde de raket zichzelf. "De kosten van deze softwarefout waren ongeveer $ 300 miljoen", zegt Johannes Bauer, Ph.D., hoofdbeveiligingsadviseur bij UL.

Een ander voorbeeld van dure software-snelkoppelingen is de aan de grond gehouden Boeing 737 Max in 2019. Na het uitbesteden van softwareontwikkelingstaken aan ingenieurs van $ 9 per uur, kwamen bij twee ongevallen 346 mensen om het leven. Volgens de New York Times speelde een geautomatiseerd systeem op basis van informatie van een enkele sensor een rol bij de crashes. De kosten van het aan de grond houden van de 737 na de twee ongevallen bedragen 18 miljard dollar, volgens schattingen van Boeing.

D crimineren bij het toestaan ​​van toegang op afstand 

Naast de risico's van het bezuinigen op softwaregestuurde automatisering of AI-workloads, is de uitbreiding van toegang op afstand in industriële omgevingen een ander gevaar. "Denk erover om Zoom [de toepassing voor videoconferenties] te gebruiken om personeel op de werkvloer te laten communiceren met een gedeelde deskundige bron om een ​​probleem te diagnosticeren", zei Miklovic. In zo'n geval zou een cybercrimineel handelsgeheimen of informatie over productproductie kunnen stelen, merkte hij op. De haast om operaties op afstand mogelijk te maken, kan organisaties er ook toe aanzetten om controlesystemen toegankelijk te maken via het openbare internet zonder passende beveiligingsmaatregelen. De dreiging hiervan is "een zorg voor systemen met veiligheidsinstrumenten", zegt Mark Carrigan, chief operating officer van PAS Global. "Dergelijke systemen zijn de laatste verdedigingslinie voor processen die buiten hun grensvoorwaarden opereren, en een bekend aanvalsdoelwit voor kwaadwillende actoren."

Externe operaties verhogen ook het risico op phishing-pogingen met behulp van social engineering. Een dergelijke aanval zou "werknemers kunnen identificeren die waarschijnlijk geprivilegieerde toegang hebben, zodat hun inloggegevens kunnen worden misbruikt om toegang te krijgen tot systeemomgevingen via steeds toegankelijker wordende externe gateways", zei Carrigan.

Bedreigingen evalueren per sector

De haast om automatisering en toegang op afstand te implementeren, zal niet overal in de industriële sector uniform zijn. "De meest kritieke van kritieke infrastructuursystemen" hebben meestal protocollen opgesteld en zullen minder snel kernprocessen herdefiniëren, zei de Franse Caldwell, mede-oprichter van het Analyst Syndicate. Kritieke infrastructuur, zoals kerncentrales, olieraffinaderijen en chemische fabrieken, wordt minder snel beïnvloed door werkbeperkingen op sociale afstand, mits vrijstellingen voor dergelijke instellingen.

Kritieke infrastructuurorganisaties hebben ook vaak wettelijke vereisten voor cyberbeveiliging. Energiebedrijven moeten bijvoorbeeld de cyberbeveiligingsnormen volgen die zijn opgesteld door de Federal Energy Regulatory Commission en de North American Electric Reliability Corporation.

Aan de andere kant van het spectrum bevindt zich industriële infrastructuur zoals verwarming, ventilatie en airconditioning (HVAC), verlichting en installatiesystemen. Dergelijke systemen worden "nu al tientallen jaren op afstand bediend en bewaakt", zei Caldwell.

Organisaties in het midden van deze twee polen hebben volgens Caldwell meer kans om de automatisering en de infrastructuur voor werken op afstand te vergroten. "Het zit in de zeer grote middengroep van systemen waar er ongetwijfeld al een door een pandemie geleide toename van externe ICS-toegang is", zei hij.

Het laatste woord

Uiteindelijk moet elke organisatie de risico's en voordelen van digitalisering en automatisering evalueren. Het risico van te langzaam bewegen kan net zo goed een bedreiging vormen voor de levensduur van een industrieel bedrijf als het overhaasten van een implementatie. "Er zijn veel verschillende opvattingen over wat te automatiseren, hoeveel te automatiseren en wanneer te automatiseren", zegt Nitin Kumar, chief executive officer van Appnomic. “Fysieke activa gaan steeds meer digitaal. Als hier geen automatisering omheen is geweven met een adequaat digitaal proces, ontstaat er een zeer inefficiënt digitaal bedrijfsmodel.”

Eén ding is universeel:organisaties moeten samenwerken om deze problemen op te lossen. Vooral tijdens de pandemie moeten ingenieurs en IT-leiders "samenwerken om ervoor te zorgen dat betrouwbaarheid en beveiliging zijn afgestemd op zowel de kritiekheid van de systemen als de beveiligingsrisico's", zei Caldwell. Nadat de pandemie is verdwenen, hebben organisaties meer tijd om te bekijken hoe ze de automatisering en toegang op afstand van ICS-systemen kunnen uitbreiden om "zowel onverwachte gebeurtenissen op te vangen als om de effectiviteit en efficiëntie van de dagelijkse activiteiten te verbeteren", aldus Caldwell.

Vanuit zakelijk oogpunt moeten organisaties strategieën overwegen om automatisering in te zetten om de veerkracht te vergroten in het licht van onzekerheid. "Er is een gebrek aan duidelijkheid over de duur van de sluiting en de risico's voor de beroepsbevolking, zelfs als de economie migreert naar een semi-open houding", zei Kumar. Maar zekerder is de kans dat aandeelhouders "zullen blijven eisen naarmate het herstel toeneemt", voegde hij eraan toe.

Technologieën zoals automatisering, AI en toegang op afstand kunnen industriële organisaties in staat stellen meer te doen met minder. Degenen die ze willen inzetten, moeten dat voorzichtig doen. Ondanks het adagium van beveiliging door ontwerp, vinden veel organisaties ze in een soort van continue herstelmodus. "Beveiliging moet vanaf het begin een functionele vereiste zijn", zegt Sean Peasley, partner bij Deloitte.


Internet of Things-technologie

  1. Wat is industriële automatisering?
  2. De weg naar industriële IoT-beveiliging
  3. Waarom IoT-beveiliging een [RAN, edge] kernfocus moet zijn voor netwerkoperators
  4. Een ICS-beveiligingschecklist
  5. Waarom u moet kiezen voor gerenoveerde industriële apparatuur
  6. Trends in industriële automatisering
  7. 3 redenen waarom u uw industriële apparatuur zou moeten upgraden
  8. Industriële automatie
  9. Waarom en hoe industriële automatisering de toekomst is?
  10. 4 redenen waarom u uw industriële documentatie zou moeten digitaliseren
  11. Waarom u zich zorgen moet maken over anti-vermoeidheid en wat u eraan kunt doen?