Hoe veilig is uw winkelvloernetwerk?

Het is misschien niet top of mind, maar werkplaatsen en middelgrote fabrikanten moeten nadenken over IT/OT-cyberbeveiliging, vooral bij het maken van militaire en defensieonderdelen. De reglementen staan ​​hier. Ben je er klaar voor?

Is het voldoende om de nieuwste machines en gereedschapstechnologieën aan te schaffen, zoals 5-assige machines, leerlingen en nieuwe machinisten in dienst te nemen en te begeleiden, onderdelen uit te draaien en op de hoogte te blijven van onderhoudsschema's? Met slimme sensoren en meer op internet gebaseerde infrastructuur die nu door medewerkers op de werkvloer wordt gebruikt, is er zoveel technologie in en rond machines en de controlekamers van de meeste winkels.

Beveiligingsbeheer is nu een echt probleem en omvat het beheer van alle systemen en het gedrag van werknemers. Voor die winkels die onderdelen maken voor de defensie-industrie, is beveiliging een belangrijk nalevingsprobleem met reële gevolgen voor het bedrijfsleven.

“Het praktische vandaag is dat kleine tot middelgrote fabrikanten op hun capaciteit draaien, bestellingen binnenkomen en het grootste probleem is het vinden en behouden van talent - de grootste belemmering om producten de deur uit te krijgen. Gezien alle beslissingen die fabrikanten elke dag moeten nemen, staat cyberbeveiliging niet hoog op hun radar”, zegt Elliot Forsyth, vice-president Business Operations bij het Michigan Manufacturing Technology Center, in een artikel voor Advanced Manufacturing.

We praten met insiders uit de industrie over de staat van veiligheid in de hedendaagse productie - en waar het naartoe gaat.

Industriële cyberaanvallen:datalekken, cyberspionage en meer

Het internet is een fantastisch hulpmiddel en een zegen voor het bedrijfsleven. Maar het is ook een plaats van criminele activiteiten waar fraude, losgeld, diefstal en systeemmanipulatie te vaak voorkomen.

De productie is niet gespaard gebleven van veiligheidsproblemen. Industriële sectoren, waaronder olie en gas en kritieke infrastructuursegmenten zoals elektrische en kerncentrales, moeten ook hun beveiliging versterken. In 2018 werden in Saoedi-Arabië petrochemische bedrijven gehackt met de bedoeling de operatie te saboteren en explosies te veroorzaken.

Dit is natuurlijk een extreem geval, maar het kan gebeuren. De meeste beveiligingsincidenten zijn gericht op financiële informatie en intellectueel eigendom.

"Het is een zeer onveilige ruimte", zegt John Livingston, CEO van Verve Industrial Protection. “De meeste fabrikanten zijn zich over het algemeen niet bewust van het probleem of ze hebben niet de middelen in huis [om het aan te pakken]. … Aan de ene kant vertrouwen velen op cloudservices en aan de andere kant van het spectrum vertrouwen ze op oude besturingssystemen in hun omgevingen die niet zijn gepatcht.”

In 2018 waren er 352 beveiligingsincidenten in de productie en 87 daarvan hadden een bevestigde openbaarmaking van gegevens, volgens Verizon's "2019 Data Breach Investigations Report", een van de meest uitgebreide onderzoeken die jaarlijks worden gepubliceerd.

"Voor het tweede jaar op rij zijn er meer financieel gemotiveerde aanvallen dan cyberspionage als de belangrijkste reden voor inbreuken in de productie, en dit jaar met een groter percentage (40 procent verschil)", concluderen de auteurs van het Verizon-rapport. “Als dit in de meeste andere branches zou zijn, zou het niet het vermelden waard zijn, aangezien geld de reden is voor de overgrote meerderheid van de aanvallen. De productie heeft de afgelopen jaren echter meer spionagegerelateerde inbreuken meegemaakt dan andere branches.”

Als het doel piekproductie en het maken van onderdelen is, lijdt het geen twijfel dat technologie een centrale rol speelt bij het helpen van bedrijven om hun doelen te bereiken. Het verzamelen en bewaken van nauwkeurige machine-informatie wordt steeds belangrijker voor het bereiken van topprestaties.

Jobshops zijn vaak verbonden met internet en de applicaties die werknemers gebruiken, waaronder e-mail, websites en mobiele apps, kunnen allemaal de openingsaanvallers zijn die aanvallers nodig hebben om toegang te krijgen tot werknemers- en bedrijfsinformatie of intellectueel eigendom. Deze informatie kan bibliotheken met onderdelenspecificaties bevatten die een fabrikant van originele apparatuur uit handen van concurrenten zou willen hebben en een regering zou niet willen dat andere landen ze hebben.

"Fabrikanten moeten een risicobeoordeling van hun activiteiten uitvoeren", zegt Koushik Subramanian, strategisch adviseur van het National Center for Cybersecurity in Manufacturing, in een artikel voor Advanced Manufacturing. “Risico kan technisch zijn, te vinden in machines, besturingen of software, maar ook in personeel, praktijken en processen. Risico neemt veel verschillende vormen aan, maar de meest voorkomende zijn cyberaanvallen waarbij kwaadwillende personen of groepen proberen in te breken in systemen door gebruik te maken van de zwakste schakel:mensen. Dat is de reden waarom phishing en ransomware zo populair zijn en waarom aanvallen steeds populairder worden.”

Voor kleinere winkels betekent het beheren van computers vaak het inhuren van externe informatietechnologiebedrijven, ook wel 'IT'-bedrijven genoemd, om te helpen. Voor middelgrote en grote fabrikanten kan dit een hybride vorm van intern IT-personeel betekenen en extra hulp van externe bedrijven voor de meer complexe technologische problemen.

"Het grootste deel van de industrie maakt deze bewustwordingsfase door", zegt Livingston. “Ze beginnen te begrijpen dat er een probleem is. Maar ze vragen zich af:'Hoe krijg ik mijn armen over de wereld die nog nooit echt als een op internet gebaseerde infrastructuur is beheerd?'”

  Wilt u een technische vraag beantwoorden? Vraag het MSC Metalworking Tech Team op het forum.

Veranderaars:normen, overheidsfinanciering en diensten van derden

Het National Institute of Standards and Technology is de instantie die kritieke infrastructuur reguleert en de regels maakt voor de lucht- en ruimtevaart- en defensie-industrie. In 2016 publiceerde NIST SP 800-171, die de regels bevat voor "Bescherming van gecontroleerde niet-geclassificeerde informatie in niet-federale systemen en organisaties."

De normen bevatten strikte beveiligingscontroles die van invloed kunnen zijn op OEM's en defensie-onderaannemers van elke omvang. Als een bedrijf zich niet aan de regels houdt, kan het waarschijnlijk niet op het werk bieden.

"Voor de meeste fabrikanten die zich niet in kritieke infrastructuur bevinden, is het verlies van een dag productiviteit vanwege een beveiligingsprobleem geen nationale noodsituatie, maar het schaadt hun bedrijfsresultaten", zegt Scott Sawyer, chief technology officer van Paperless Parts. “Waar dit echt een rol gaat spelen, is intellectueel eigendom. Het ministerie van Defensie geeft echt om dit gebied.”

Het heeft gevolgen voor fabrikanten van elke omvang.

"Zelfs de bedrijven van 100 tot 200 personen worstelen hiermee", zegt Sawyer. "Ineens moeten ze bedenken hoe ze aan de regels gaan voldoen."

Hoe gaan bedrijven ermee om? Sommigen die proberen contracten te behouden of nieuwe aan te trekken met de defensie-industrie, halen adviseurs in en implementeren beveiligingsprogramma's. Staats- en lokale economieën kunnen nadelig worden beïnvloed door dit soort voorschriften. Het kan kostbaar zijn. Daarom bieden organisaties financiering aan om bedrijven te helpen voldoen aan de beveiligingsnormen door middel van Manufacturing Extension Partnerships (MEP).

Bekijk deze video voor meer informatie over de inspanningen van het Ministerie van Defensie en NIST.

Het is goed nieuws voor degenen die op de hoogte blijven van het beveiligingsprobleem, maar de meeste fabrikanten tasten nog in het duister. Vooral kleinere winkels, legt Sawyer uit.

“Sommigen hebben een vals gevoel van veiligheid. Ze denken dat ze geen risico lopen omdat ze klein en buiten de gebaande paden zijn en hun fysieke locatie landelijk is, ze niet veel werknemers hebben en ze een laag marketingprofiel hebben”, zegt Sawyer. "Maar weet je, dat is precies in zekere zin wat hen een doelwit zou kunnen maken. Ze zijn een gemakkelijker doelwit dan een Lockheed Martin, Raytheon of Northrop Grumman omdat ze niet over de beveiliging beschikken.”

Die grotere bedrijven zijn doelwitten, maar ze zijn ook veel geavanceerder in het omgaan met geclassificeerde specificaties en fysieke beveiliging, legt Sawyer uit. Sawyer zou het weten - hij werkte een aantal jaren in de defensie-industrie voordat hij naar de productie ging.

Defensiebedrijven leren hun werknemers om niet over werk te praten als ze de fabriek verlaten. Velen krijgen te horen dat ze hun werkbadge uit het zicht moeten leggen zodra ze vertrekken. Maar zelfs deze inspanningen hebben gemotiveerde aanvallers er niet van weerhouden om belangrijke intellectuele eigendom te bemachtigen.

"Als je gelooft in Amerikaanse productie en je bent patriottisch, dan moet je je zorgen maken over het onderdeel informatiebeveiliging", zegt Sawyer.

Hoe gaat uw winkel tegenwoordig om met beveiliging? Ben je je aan het voorbereiden of in de modus "onwetendheid is gelukzaligheid"? Praat erover op het forum. [registratie vereist]