11 tips van insiders van bedrijven die industriële (IIoT) cyberbeveiliging winnen

Terwijl u blogs en artikelen leest over cyberbeveiliging en het industriële internet der dingen (IIoT ), is het gemakkelijk om zo gefocust te raken op de complexiteit (en er zijn er veel), dat je het grote geheel uit het oog verliest. Er zijn enorme kansen in deze ruimte - onbenut door de bestaande IT-cyberbeveiligingsspelers.

Om het in de eenvoudigste bewoordingen te zeggen:bij het beschermen van gratis consumentenaccounts zoals Gmail- of Facebook-accounts, wordt de motivatie om in beveiliging te investeren bepaald door bepaalde doelstellingen:het beschermen van het vertrouwen van de klant, het voorkomen van een onaangename schade aan de reputatie van het bedrijf, enz. Dit zijn:natuurlijk echte en belangrijke zorgen. Maar wanneer een industrieel bedrijf een turbine van $ 10 miljoen probeert te beschermen, wordt de economie van investeren in beveiliging heel anders - en veel eenvoudiger. Er is een reden waarom veel van de huidige investeringen in beveiliging gericht zijn op de industriële ruimte:het is een enorm veelbelovende markt - en een markt waar nieuwe innovaties een enorme impact kunnen hebben.

GE Ventures, de durfkapitaaldochter van General Electric, is een van de organisaties die de grote kansen (en zelfs grotere verantwoordelijkheid) erkent om de kosten te verlagen en ongeplande uitvaltijd voor hun klanten te elimineren. Ze werken al tientallen jaren nauw samen met industriële bedrijven. Het bedrijf heeft ook langdurige vertrouwensrelaties opgebouwd met klanten en helpt hen te profiteren van het industriële internet en hen te beschermen tegen de inherente risico's ervan. Ze gaan die uitdaging aan:hun eigen Predix-architectuur, een platform dat helpt bij het optimaliseren van industriële bedrijfsprocessen, heeft een uitgebreide beveiligingsstrategie.

Naast de diepgaande beveiligingsstrategie op hun platform, is GE Ventures altijd op zoek naar startups die de industriële cyberbeveiligingskunst bevorderen. Volgens hen zijn er een aantal zeer getalenteerde. Natuurlijk is IIoT geen gemakkelijke markt om in te breken voor startups. Industriële netwerken zijn anders dan bedrijfs-IT, waardoor ze een vreselijke plek zijn voor bijverdienste - het hebben van een geweldige productroutekaart in traditionele IT is geen geboorterecht om te slagen in industriële cyberbeveiliging. Maar er zijn enkele overeenkomsten tussen de meest succesvolle en veelbelovende startups in deze ruimte. Hier zijn er een paar vanuit het perspectief van GE Ventures:

1.) Ze weten waar ze het over hebben.

Er zijn veel dingen waar GE naar kijkt bij het evalueren van een startup:een team met de juiste specialiteiten. Gedifferentieerde technologie. Maar de belangrijkste factor die bedrijven die watertrappelen scheidt van degenen die al baantjes trekken, is dat ze van top tot teen worden bemand door mensen die industriële toepassingen 'krijgen'.
De meest succesvolle startups hebben een soort institutionele kennis van industriële controle systems (ICS)—vaak verkregen uit het werken in de industrie in hun vorige loopbaan. Ze hebben belangrijke lessen geleerd (soms op de harde manier):ze kennen de markt. Ze begrijpen de beperkingen. Ze begrijpen door ervaring het aanvalsoppervlak en de blootstelling. En ze houden altijd, altijd de bal in de gaten:de bedrijfscontinuïteit van de klant.

2.) Ze leggen de IIoT-eed van Hippocrates af:ten eerste, doe geen kwaad.

Waar ze ook aan werken, succesvolle IIoT-startups verliezen het primaire doel van hun klanten nooit uit het oog:deze machine kan niet falen. Wat ze ook doen om een ​​systeem te beveiligen, ze weten dat het industriële activa absoluut niet kan vertragen of uitschakelen. Ze creëren een beveiligingslaag die minstens zo wendbaar, zo niet meer, is dan de apparaten en systemen die het beschermt.

3.) Ze maken het de klant niet moeilijker.

Succesvolle IIoT-startups weten dat hun doelklant de dingen al jaren op een bepaalde manier doet. Ze weten niet te veronderstellen dat deze klanten dezelfde interne capaciteiten en institutionele kennis hebben als een niet-industriële onderneming, of, als het om software gaat, dat ze zelfs dezelfde taal spreken. En ze gaan er niet vanuit dat de klant bereid zal zijn om leemten op te vullen die verloren gaan bij de vertaling. De meest veelbelovende IIoT-startups staan ​​klaar om IT-oplossingen te leveren aan de industrie, en ze zijn niet bang om duidelijk te maken dat daar hun expertise ligt. Maar ze komen uit de poort en spreken OT.

4.) Ze maken beveiliging geïntegreerd.

Succesvolle IIoT-startups weten dat het nooit zal werken om beveiliging als een extra functie of up-sell te behandelen. Hun klanten verwachten dat beveiliging in het product wordt ingebakken en volledig wordt geïntegreerd in het bestaande industriële proces.

5.) Ze proberen niet de hele cake in één keer op te eten.

Enterprise IT-beveiliging en IIoT-cyberbeveiliging zijn twee totaal verschillende dieren. Je kunt niet zomaar iets van de ene wereld naar de andere overbrengen. Toch zijn er lessen te trekken uit de evolutie van bedrijfsbeveiliging. Een van de grootste waar succesvolle IIoT-startups zich aan houden:ze proberen het beveiligingsprobleem niet in één keer op te lossen.

In de bedrijfswereld zijn we begonnen met één groot probleem (het beschermen van digitale activa en gegevens) en hebben we dit uiteindelijk opgesplitst in een heleboel kleinere problemen:perimeterbeveiliging, identiteit/authenticatie, preventie van gegevensverlies, naleving, enz. Slimme IIoT-startups hetzelfde denken toepassen op IIoT-cyberbeveiliging. Ze zijn niet op zoek naar een oplossing voor industriële cyberbeveiliging. Ze vallen kleinere, discrete problemen aan en ontwikkelen bruikbare oplossingen.

6.) Ze beginnen met de veronderstelling dat ze zullen getarget zijn.

Zelfs de grootste en beste digitale bedrijven ter wereld vinden kwaadaardige of onverklaarbare code in hun omgeving - soms bedreigingen die al jaren sluimeren. Slimme IIoT-startups verwachten dat hun oplossingen ook onderhevig zullen zijn aan dezelfde soorten kwaadaardige en/of informatievergarende dreigingen. Dat betekent niet dat ze niet veel tijd en moeite besteden aan het voorkomen van inbreuken. Maar ze besteden net zoveel tijd en moeite om ervoor te zorgen dat, als iemand toch binnenkomt, ze die inbreuk kunnen isoleren en voorkomen dat deze de rest van het systeem binnendringt. En ze erkennen dat het ICS-aanvalsoppervlak verder reikt dan industriële apparaten en netwerken zelf, tot alle delen van de organisatie en de toeleveringsketen.

7.) Ze zijn klaar om op te schalen.

Succesvolle IIoT-startups vergeten nooit dat voor industriële klanten nul downtime acceptabel is. Ze weten dat het niet genoeg is om geweldige technologie te hebben - ze moeten klaar zijn om die technologie in te zetten op een schaal van duizenden implementaties, soms in meerdere landen - soms van de ene op de andere dag.

8.) Ze weten dat beveiliging al begint voordat er een enkel industrieel apparaat wordt aangesloten.

Succesvolle IIoT-startups erkennen dat enkele van de gevaarlijkste kwetsbaarheden niet alleen fouten in hun code zijn, maar ook zwakke punten in hun toeleveringsketen. Ze weten dat elke OEM die door anderen gemaakte subassemblages bevat, mogelijk per ongeluk met de firmware geknoeid kan worden in hun systeem. En ze hebben de les geleerd van leveranciers die uitstekende technologie hadden, maar deals zagen verdampen omdat de klant zich realiseerde dat ze een niet-vertrouwde leverancier gebruikten voor een onderdeel van de toeleveringsketen. Solide IIoT-startups nemen maatregelen om hun producten te beveiligen tijdens elke stap, van het bouwen tot het verzenden, wanneer deze het meest kwetsbaar is voor fouten of kwaadwillende actoren.

Een van de interessantere gebieden die nu worden onderzocht:grootboeken. Een groeiend aantal bedrijven kijkt naar Blockchain-grootboektechnologieën om activa te authenticeren en een auditspoor te bieden met end-to-end chain of custody. (Er doen ook branchegroepen mee:de Trusted IoT Alliance heeft onlangs een nieuw initiatief aangekondigd om standaardgrootboeken te promoten om IoT-apparaten te authenticeren.) Het staat nog in de kinderschoenen, maar dit soort werk kan ongelooflijk waardevol zijn voor ICS, waar veel categorieën van niet- IT-middelen (engines, onderdelen, subonderdelen) maken weer verbinding met de IT-backbone.

9.) Ze worden niet afgeleid door modewoorden.

De startup-ruimte, of in ieder geval de media die erover berichten, is over het algemeen te gevoelig voor de hype-cyclus. Wat het nieuwste hot-concept ook mag zijn (momenteel AI en machine learning), bedrijven haasten zich om ervoor te zorgen dat ze kunnen beweren die vakjes aan te vinken. Succesvolle IIoT-startups maken zich geen zorgen over de nieuwste smaak van de maand. Ze zijn gericht op het leveren van concrete antwoorden op specifieke industriële problemen.

10.) Ze begrijpen de noodzaak om gegevens in rust en in beweging te beveiligen.

Industriële klanten hebben oplossingen nodig, niet alleen om gegevens aan de rand te beveiligen - waar meer gegevens dan ooit tevoren worden verzameld en verwerkt - maar ook om gegevens in beweging te beveiligen terwijl ze naar de cloud reizen.

Gegevens in beweging vormen een bijzonder omslachtige uitdaging voor industriële systemen. Sommige bedrijven op dit gebied ontwikkelen oplossingen om de doorgifte van versleutelde gegevens te vereenvoudigen, waardoor het niet meer nodig is om gegevens op elk gewenst moment te ontsleutelen, en de bijbehorende risico's.

11.) Ze begrijpen dat het werk nooit af is.

Goede cybersecurity-startups erkennen dat ze nooit "klaar" zullen zijn met hun oplossing, en ze voelen zich niet al te comfortabel met hun huidige ontwerp. Ze begrijpen dat cyberbeveiliging in de echte wereld een voortdurende, oneindige herhaling betekent.