home Productietechnologie Fabricage-apparatuur
Industriële fabricage
Industrieel internet der dingen | Industriële materialen | Onderhoud en reparatie van apparatuur | Industriële programmering |
home  MfgRobots >> Industriële fabricage >  >> Industrial Internet of Things >> Sensor

Executive Roundtable:Faciliteit &Netwerkbeveiliging

Een van de belangrijkste aspecten van elke productiefaciliteit is beveiliging - of het nu gaat om het beschermen van machines of gegevens. Tech Briefs stelde vragen aan leidinggevenden bij bedrijven die netwerk- en faciliteitsbeveiligingsoplossingen leveren om hun mening te krijgen over zaken als cyberbeveiliging, de cloud, draadloze apparaten en het beveiligen van personeel op afstand .

Onze deelnemers zijn Mike Jabbour, General Manager, Digital Connectivity and Power bij Siemens Digital Industries; Mike Lloyd, Chief Technology Officer bij RedSeal; Radu Pavel, Chief Technology Officer en Chief Engineer bij TechSolve; en Donovan Tindill, Senior Cybersecurity Strategist bij Honeywell Connected Enterprise – Cybersecurity.

Tech Briefs: Nu meer mensen op afstand werken vanwege de COVID-19-pandemie, welke beveiligingsprocedures en -systemen moeten er zijn voor het op afstand bedienen van apparatuur, diagnostiek en onderhoud?

Mike Lloyd: In de haast om thuis te werken, werden de meeste beveiligingsteams getroffen door een tsunami van verzoeken om verbeterde laptopbesturing, nieuwe VPN-vereisten, nieuwe cloudservices en meer; een aspect dat vaak over het hoofd wordt gezien, zijn de bedrijfsmiddelen die niet zijn verplaatst toen de operators dat wel deden. Plots hadden operators externe mogelijkheden nodig om fysieke apparatuur te besturen en te diagnosticeren die niet bewoog en in veiligheid betekent remote altijd risico. Alle nieuwe controlepaden tussen externe werknemers en fysieke bedrijfsmiddelen zijn een toename van het aanvalsoppervlak van een bedrijf. Het is verstandig voor beveiligingsteams om terug te gaan en te controleren hoe alle fysieke activa in het bedrijf kunnen worden bereikt. Als je wist hoe dat allemaal werkte vóór COVID, dan weet je het nu waarschijnlijk niet.

Radu Pavel: De COVID-19 situatie leidt tot een versnelde digitalisering van de werkomgeving. Aangezien de zakelijke realiteit de behoefte aan realtime gegevens van veel functies stimuleert, voeden de potentiële voordelen van nieuwe technologieën de wens om productie- en niet-productieapparatuur op de fabrieksvloer met elkaar te verbinden. De vraag van fabrikanten naar geavanceerde technologie overtreft snel hun vermogen om deze te beschermen en deze connectiviteit en datarijke omgeving roept aanzienlijke zorgen en uitdagingen op in verband met cyberbeveiliging. Fabrikanten worden geconfronteerd met extra uitdagingen vanwege de noodzaak om niet alleen de IT-systemen te beschermen, maar ook de operationele technologie (OT), die kan variëren van sensoren tot PLC's, robotcontrollers, werktuigmachines en andere operationele apparatuur.

Mike Jabbour: Het grote voordeel is dat COVID de algehele apparatuur of processen die nodig zijn voor communicatie op afstand niet heeft veranderd - het heeft alleen de noodzaak gestimuleerd om de technologieën te gebruiken die al beschikbaar waren. Niet elk bedrijf zou precies hetzelfde moeten doen als het gaat om externe toepassingen en beveiliging, maar de basis moet altijd worden opgenomen. Er zijn veel andere beveiligingsapparatuur waarmee u rekening moet houden, maar in het algemeen moet een VPN-verbinding, firewall en jumpserver worden gebruikt.

Communicatie op afstand moet altijd correct worden geverifieerd, versleuteld en uitgeschakeld wanneer niet in gebruik. Een goede firewall beschermt het interne verkeer tegen een niet-vertrouwd netwerk. Als er meerdere segmenten van een netwerk zijn, moet communicatie via de firewall elk van de interne segmenten van elkaar beschermen. Als het gaat om communicatie op afstand, wordt het coderen van verkeer van de externe gebruiker naar het vertrouwde netwerk altijd als de beste praktijk beschouwd. Dit kan met een VPN-apparaat. Er mag geen directe communicatie zijn van een niet-vertrouwd netwerk naar het beveiligde netwerk.

Donovan Tindill: Voor toegang op afstand tot een ICS/OT-systeem (industrial control system/operations technology) zijn de gevolgen en het verlies van een cyberaanval aanzienlijk hoger dan bij toegang tot informatietechnologie (IT). Om dit bedrijfsrisico te verminderen, zijn extra beveiligingen nodig, waaronder multifactorauthenticatie van niet-vertrouwde netwerken. Vertrouwen is relatief — het bedrijfsnetwerk heeft een lager vertrouwen dan de ICS/OT-systemen. Met een typische VPN kan een gebruiker 24/7 verbinding maken. Expliciete goedkeuring van toegangsverzoeken is vereist voor elke sessie, elke gebruiker en elke dag wanneer u op afstand werkt, vanwege de mogelijke gevolgen van ICS/OT-cyberaanvallen.

Tech Briefs: Het lijkt een tweesnijdend zwaard:de cloud, draadloze sensornetwerken en andere industriële systemen hebben geleid tot opwindende nieuwe voordelen voor digitale fabrieken, maar tegelijkertijd vergroten deze slimme productietechnologieën de mogelijkheden voor aanvallen enorm. Hoe kan toegankelijkheid worden afgewogen tegen veiligheid?

Lloyd: Het Industrial Internet of Things (IIoT) brengt grote voordelen maar ook grote risico's met zich mee. Over het algemeen moeten alle 'dingen' in het internet der dingen als kwetsbaar en niet betrouwbaar worden behandeld. Dit komt als een schok voor teams die gewend zijn om geïsoleerde SCADA-infrastructuur te beheren, maar de tijden zijn veranderd. Gezien hoe kwetsbaar IoT-systemen zijn, is de enige redelijke benadering netwerksegmentatie - er moet rekening worden gehouden met alle mogelijke toegangspaden en industriële systemen moeten zo veel mogelijk worden geïsoleerd. Na verloop van tijd zal de toegang slordig worden en zullen er fouten worden gemaakt, dus je hebt een manier nodig om continu te verifiëren dat de toegang niet meer is dan het zou moeten zijn, zodat je netwerkdrift kunt stoppen.

Tindill: Toegankelijkheid kan in evenwicht worden gebracht met veiligheid, maar tegelijkertijd worden nieuwe normen gesteld. De beveiliging van luchthavens vóór 9/11 is heel anders dan vandaag, maar het nieuwe normaal is goed ingeburgerd met nieuwe technologieën en protocollen die nog steeds een tijdige veiligheidscontrole mogelijk maken. Met nieuwe technologieën is er oplossingstraining vereist en als cybersecurity ermee gepaard gaat, is de gebruikerservaring en toegankelijkheid geen probleem. De zakelijke voordelen van deze nieuwe technologieën en digitale fabrieken hebben het potentieel om nooit eerder vertoonde resultaten te leveren. De rol van cyberbeveiliging is om de investering in de cloud, draadloze sensornetwerken en andere industriële systemen te beschermen, zodat ze hun ROI kunnen leveren en tegelijkertijd beter bestand zijn tegen cyberaanvallen. Multifactor-authenticatie, openbare-sleutelinfrastructuur, cryptografie en andere beveiligingscontroles — indien correct geïmplementeerd — zijn vrijwel naadloos voor de gebruiker en bieden een extra niveau van toegangscontrole die niet haalbaar is met de eerdere legacy-technologieën.

Jabbour: Opzettelijk geplande en gesegmenteerde netwerken vormen niet alleen de ruggengraat van een fabriekscommunicatiesysteem, maar ook van best practices op het gebied van beveiliging. Een gesegmenteerd ICS-netwerk kan helpen om sensornetwerken van elkaar te beschermen wanneer een aanval plaatsvindt, wat betekent dat toegang tot een enkel deel van uw fabriek niet het hele bedrijf in één klap zou uitschakelen. Dit moet ook gepaard gaan met het kennen en begrijpen van de kwetsbaarheden van uw faciliteit. Gewoon een apparaat plaatsen en weglopen is de belangrijkste procedure om hackers een aanvalsvliegtuig op uw systeem te geven. Het beheren van alle apparaten op het netwerk omvat niet alleen weten en begrijpen welke apparaten er zijn, maar ook regelmatig geplande beoordelingen van de kwetsbaarheden en hun dreigingsniveau (laag/gemiddeld/hoog).

Pavel: De schaal en snelheid van digitalisering en groei van connectiviteitsnetwerken leiden tot een toename van cyberbeveiligingsrisico's. Het is niet alleen de omvang van de blootstelling, maar ook de kwetsbaarheid van de cyber-fysieke systemen die worden verbonden. Deze nieuwe systemen zijn niet inherent ontworpen met cyberbeveiliging in het achterhoofd. Het probleem wordt nog verergerd door het potentieel voor negatieve prestatie-effecten als gevolg van de integratie van gemeenschappelijke cyberbeveiligingstechnologieën in bestaande systemen. Toegankelijkheid in evenwicht brengen met beveiliging is een veelzijdige strategie die steunt op standaard communicatieprotocollen, versleuteling van gegevens die via netwerken worden overgedragen, gebruikmaking van de meest actuele cyberbeveiligingsnormen en implementatie van technologieën die het mogelijk maken om cyberbeveiligingsbedreigingen in realtime te identificeren en te verminderen .

Jabbour: Omdat cybersecurity het gemakkelijkst over het hoofd wordt gezien. De meeste IIoT-installaties proberen te voorzien in een zakelijke behoefte en cyberbeveiliging is iets dat normaal gesproken geen standaard gespreksonderwerp is in zakelijke behoeften totdat er een aanval plaatsvindt.

Lloyd: Cynisch, want beveiliging is altijd het laatste element van alle implementaties. De push voor IoT heeft alles te maken met functies en kosten. Dit betekent dat apparaten snel worden geproduceerd, tegen een minimale prijs, en dat u de beveiliging krijgt waarvoor u betaalt. Apparaten zijn vaak niet patchbaar en kunnen de traditionele agents en scanners in onze beveiligingstoolsets niet ondersteunen. IoT-beveiliging is dus een heel moeilijk probleem - effectief, het injecteren van talloze fragiele nieuwe apparaten in een netwerk dat al onhandelbaar en ongeorganiseerd was. De overgang naar IoT zal alleen goed gaan voor degenen die gedisciplineerd zijn en van tevoren plannen om de explosie van problemen te beheersen wanneer - niet als - ze zich voordoen.

Tindill: Er zijn verschillende redenen waarom cyberbeveiliging pas aan het einde van de implementatie wordt overwogen. Inkoop- en sourcingprocessen sluiten cyberbeveiligingsvereisten uit, omdat de prijs de belangrijkste factor blijft. De meeste engineeringprocessen sluiten cyberbeveiliging uit - dit betekent dat specificatie, ontwerp, configuratie, testen en inbedrijfstelling vaak plaatsvinden zonder cyberbeveiligingstaken of deliverables. IT- en cyberbeveiligingsteams worden uitgesloten totdat het tijd is om verbinding te maken met het netwerk of internet - dit is wanneer deze teams voor het eerst ontdekken dat het project zelfs bestaat. Cybersecurity dient voldoende gewicht te hebben in de besliscriteria; nadat het is opgenomen in de inkoopprocessen, wordt het vervolgens vóór de lancering door het hele ontwerp, de configuratie, de verharding en de cyberacceptatietests uitgevoerd.

Pavel: Vanaf de begintijd, toen het grootste risico een computervirus was, tot vandaag, toen operationele technologie-malware apparatuur kan vernietigen en tot verlies van mensenlevens kan leiden, heeft de computerwereld een exponentiële toename van cyberbeveiligingsaanvallen gezien. Op IoT gebaseerde technologieën bieden hun eigen reeks unieke beveiligingsuitdagingen die verband houden met gegevensintegriteit, gegevenslekken, privacy en het potentieel voor ongeautoriseerde toegang.

Dus waarom is beveiliging vaak het laatste element van IoT-implementatie? Sommige van deze systemen zijn niet ontworpen met het oog op cyberbeveiliging, maar met het enige doel om een ​​bepaalde functie te bieden. Eindgebruikers beschouwden cyberbeveiliging niet als een van hun belangrijkste selectiecriteria, maar eerder het vermogen van een systeem om een ​​taak uit te voeren, de efficiëntie en de kosten ervan. Pas de laatste jaren is het cyberbeveiligingsprobleem meer benadrukt door gebruikers, overheid en standaardisatiegroepen.

Lloyd: De top drie prioriteiten voor industriële netwerken zijn segmentatie, segmentatie en segmentatie. De oude luchtgaten zijn verdampt en internet wordt steeds meer vermengd met fysieke fabrieksoperaties, of we het nu leuk vinden of niet. Deze overvloed aan interfaces betekent dat het totale aanvalsoppervlak is geëxplodeerd en vroeg of laat zal er zeker iets binnenkomen. De hoogste prioriteit is om vooruit te plannen om de verspreiding van slechte gebeurtenissen te beperken, met behulp van segmentatie, en voor de meest kritieke systemen, om te plannen vooruit om "ontploffingsdeuren" te sluiten, vergelijkbaar met de schotdeuren in onderzeeërs.

Pavel: Cyberaanvallen kunnen de vertrouwelijkheid, integriteit en beschikbaarheid in een productieomgeving aantasten. Ze kunnen leiden tot verlies van product- en proces-IP; productieverliezen door het vernietigen, wijzigen en herprogrammeren van onderdelen en processen; reputatieschade; en zelfs letsel en verlies van mensenlevens. Het belang van data-integriteit voor productie kan worden gezien in relatie tot de productie van onderdelen - het wijzigen van product- en processpecificaties kan nadelig zijn voor de productkwaliteit en betrouwbaarheid.

De beschikbaarheid van gegevens en cyber-fysieke systemen is ook van cruciaal belang voor de productiviteit van de productie. Oudere hardware en software worden vaak gebruikt in productieprocessen en sommige van deze systemen zijn niet ontworpen met cyberbeveiliging of het IoT in gedachten. Daarom is er een inherent risico bij het aansluiten van dergelijke oudere apparaten op IoT of bij het integreren ervan in het fabrieksnetwerk.

Jabbour: Absoluut niet. Firewalls zijn slechts één apparaat van een totaalsysteem en hoewel ze moeten worden gebruikt, moet er rekening worden gehouden met andere ontwerpoverwegingen.

Tindill: Halverwege de jaren negentig waren firewalls en antivirus de standaard omdat ze voldoende bescherming boden tegen de cyberbeveiligingsbedreigingen van die tijd. Vrijwel 100% van de organisaties heeft tegenwoordig firewalls en cyberaanvallen kunnen firewalls omzeilen met andere tactieken, technieken en procedures (TTP's). Cyberdreigingen evolueren snel en er zijn meerdere cyberbeveiligingscontroles vereist. Firewalls vervullen in de eerste plaats een beschermende controle, goed in het detecteren van bekend slecht gedrag aan de netwerkperimeter. De aanvallen van tegenwoordig omvatten diefstal van inloggegevens en het gebruik ervan om netwerken binnen te dringen zonder detectie, omdat brute kracht of kwaadaardige verbindingen niet vereist zijn. We hebben allemaal verhalen gehoord over hoe een dreigingsactor zes tot negen maanden vóór de aanval in een systeem zat; dit is een voorbeeld van hoe zwakke detectie- en reactiemogelijkheden zich manifesteren.

Pavel: Alleen op een firewall vertrouwen is geen goede gewoonte meer - dat is het waarschijnlijk nooit geweest. De drie meest kritieke onderdelen van een bedrijfsbeveiligingsprogramma zijn mensen, processen en technologie. Kleine en middelgrote organisaties vormen een speciale uitdaging voor cyberbeveiliging in productieomgevingen en supply chain. Velen hebben niet het technische personeel om robuuste cyberbeveiliging te bieden en omdat ze zich vaak niet bewust zijn van de complexiteit van de bedreigingen, zijn ze niet in staat om een ​​businesscase te creëren voor investeringen in OT-cyberbeveiliging. Om deze valkuilen aan te pakken en de goedkeuring van de juiste cyberbeveiligingsmaatregelen te versnellen, heeft de overheid geïnvesteerd in de ontwikkeling van regelgeving, normen en certificeringsprogramma's die van toepassing zijn op hele sectoren.

Lloyd: Firewalls zijn als deursloten op uw gebouw:een goed begin, een basisniveau van beveiligingshygiëne, maar nauwelijks een alomvattend tegengif tegen risico's. Firewalls zijn ingewikkeld en zijn bijna altijd op de een of andere manier verkeerd geconfigureerd. Ik heb vele duizenden real-world firewalls beoordeeld en het is ongebruikelijk om minder dan tien fouten per apparaat te vinden. (Extreem complexe firewalls kunnen duizenden fouten bevatten in een enkel apparaat.) Het moeilijkste aspect van firewalls is te begrijpen of ze alles hebben gedekt - je kunt tenslotte geen pad rond de firewall identificeren door alleen de firewall te lezen. U moet een uitgebreid overzicht hebben van de toegang tot uw hele fabrieksnetwerk en u moet de toegang kunnen bijhouden terwijl uw netwerk verandert en groeit.

MIDDELEN

  1. Honeywell Connected Enterprise
  2. RoodSeal
  3. Siemens Digital Industries
  4. TechSolve

Sensor

  • Ingebed
  • Sensor
  • Cloud computing
  • Internet of Things-technologie
    1. Netwerkprotocollen
    2. IoT uitpakken, een serie:de beveiligingsuitdaging en wat u eraan kunt doen
    3. IIoT-beveiliging beheren
    4. Raspberry Pi universele afstandsbediening
    5. 3 stappen voor een betere samenwerking tussen netwerk- en beveiligingsprofessionals
    6. Waarom IoT-beveiliging een [RAN, edge] kernfocus moet zijn voor netwerkoperators
    7. Het IoT beveiligen van de netwerklaag naar de applicatielaag
    8. Drie vragen die netwerkoperators moeten stellen over IoT-beveiliging
    9. ICS Security Attack maakt afstandsbediening van gebouwen mogelijk
    10. Wat is een netwerkbeveiligingssleutel? Hoe vind je het?
    11. Waarom cyberbeveiliging essentieel is voor fysieke veiligheid