Die 11 Erkenntnisse eines Insiders von Unternehmen, die die industrielle (IIoT) Cybersicherheit gewinnen

Beim Lesen von Blogs und Artikeln über Cybersicherheit und das industrielle Internet der Dinge (IIoT) ), ist es leicht, sich so auf die Komplexitäten (und es gibt viele) zu konzentrieren, dass man das Gesamtbild aus den Augen verliert. In diesem Bereich liegen enorme Möglichkeiten – ungenutzt von den bestehenden Akteuren der IT-Cybersicherheit.

Einfach ausgedrückt:Beim Schutz kostenloser Verbraucherkonten wie Gmail- oder Facebook-Konten wird die Motivation für Investitionen in Sicherheit von bestimmten Zielen bestimmt – dem Schutz des Kundenvertrauens, der Vermeidung eines unangenehmen Schadens für den Ruf des Unternehmens usw. Diese sind:natürlich echte und wichtige Anliegen. Aber wenn ein Industrieunternehmen versucht, eine 10-Millionen-Dollar-Turbine zu schützen, ist die Wirtschaftlichkeit von Investitionen in die Sicherheit ganz anders – und viel einfacher. Es gibt einen Grund, warum viele der aktuellen Sicherheitsinvestitionen in den Industriebereich fließen:Es ist ein enorm vielversprechender Markt – und einer, in dem neue Innovationen eine enorme Wirkung haben können.

GE Ventures, die Venture-Capital-Tochter von General Electric, ist eine der Organisationen, die die großen Chancen (und noch größere Verantwortung) erkennt, Kosten zu senken und ungeplante Ausfallzeiten für ihre Kunden zu vermeiden. Sie arbeiten seit Jahrzehnten eng mit Industrieunternehmen zusammen. Das Unternehmen hat auch langjährige Vertrauensbeziehungen zu Kunden aufgebaut und hilft ihnen, die Vorteile des industriellen Internets zu nutzen und sie vor den inhärenten Risiken zu schützen. Sie stellen sich dieser Herausforderung – ihre eigene Predix-Architektur, eine Plattform, die zur Optimierung industrieller Geschäftsprozesse beiträgt, verfügt über eine umfassende Security-in-Depth-Strategie.

Neben der Security-in-Depth-Strategie auf ihrer Plattform ist GE Ventures immer auf der Suche nach Startups, die die industrielle Cybersicherheitskunst vorantreiben. Ihnen zufolge gibt es da draußen einige sehr talentierte. Natürlich ist IIoT kein einfacher Markt für Start-ups. Industrielle Netzwerke unterscheiden sich von der Unternehmens-IT, was sie zu einem schrecklichen Ort für Schwarzarbeit macht – eine großartige Produkt-Roadmap in der traditionellen IT zu haben, ist kein Geburtsrecht, um in der industriellen Cybersicherheit erfolgreich zu sein. Aber es gibt einige Gemeinsamkeiten zwischen den erfolgreichsten und vielversprechendsten Startups in diesem Bereich. Hier einige aus Sicht von GE Ventures:

1.) Sie kennen sich aus.

Es gibt viele Dinge, auf die GE bei der Bewertung eines Startups achtet:Ein Team mit den richtigen Spezialitäten. Differenzierte Technik. Aber der wichtigste Faktor, der Unternehmen, die auf dem Wasser stehen, von denen unterscheidet, die bereits ihre Runden schwimmen, ist, dass sie von oben bis unten mit Leuten besetzt sind, die industrielle Anwendungen „bekommen“.
Die erfolgreichsten Startups verfügen über eine Art institutionelles Wissen über industrielle Kontrolle Systeme (ICS) – die sie oft aus ihrer früheren Karriere in der Industrie gewonnen haben. Sie haben wichtige Lektionen gelernt (manchmal auf die harte Tour):Sie kennen den Markt. Sie verstehen seine Einschränkungen. Sie verstehen durch Erfahrung die Angriffsfläche und die Exposition. Und sie haben immer, immer den Ball im Auge:die Geschäftskontinuität des Kunden.

2.) Sie legen den hippokratischen IIoT-Eid ab:Erstens, tu keinen Schaden.

Egal, woran sie arbeiten, erfolgreiche IIoT-Startups verlieren nie das Hauptziel ihrer Kunden aus den Augen:Diese Maschine kann nicht ausfallen. Was auch immer sie tun, um ein System abzusichern, sie wissen, dass es industrielle Anlagen absolut nicht verlangsamen oder ausschalten kann. Sie schaffen eine Sicherheitsschicht, die mindestens genauso agil, wenn nicht sogar noch agiler ist als die Geräte und Systeme, die sie schützt.

3.) Sie machen es dem Kunden nicht schwerer.

Erfolgreiche IIoT-Startups wissen, dass ihre Zielkunden seit Jahren bestimmte Dinge tun. Sie dürfen nicht davon ausgehen, dass diese Kunden über dieselben internen Fähigkeiten und institutionellen Kenntnisse verfügen wie ein nichtindustrielles Unternehmen – oder, wenn es um Software geht, sogar dieselbe Sprache sprechen. Und sie gehen nicht davon aus, dass der Kunde bereit ist, Lücken zu füllen, die bei der Übersetzung verloren gehen. Die vielversprechendsten IIoT-Startups sind bereit, IT-Lösungen für die Industrie bereitzustellen, und sie scheuen sich nicht, deutlich zu machen, dass darin ihre Expertise liegt. Aber sie kommen aus dem Tor und sprechen OT.

4.) Sie machen die Sicherheit integriert.

Erfolgreiche IIoT-Startups wissen, dass die Behandlung von Sicherheit als zusätzliche Funktion oder Up-Selling niemals erfolgreich sein wird. Ihre Kunden erwarten, dass Sicherheit in das Produkt integriert und vollständig in bestehende industrielle Prozesse integriert wird.

5.) Sie versuchen nicht, den ganzen Kuchen auf einmal zu essen.

Unternehmens-IT-Sicherheit und IIoT-Cybersicherheit sind zwei völlig unterschiedliche Tiere. Man kann nicht einfach etwas von einer Welt in die andere portieren. Aus der Entwicklung der Unternehmenssicherheit können jedoch Lehren gezogen werden. Zu den größten, an die sich erfolgreiche IIoT-Startups halten:Sie versuchen nicht, das Sicherheitsproblem auf einen Schlag zu lösen.

In der Unternehmenswelt haben wir mit einem großen Problem begonnen (Schutz digitaler Assets und Daten) und es schließlich in viele kleinere Probleme unterteilt:Perimetersicherheit, Identität/Authentifizierung, Verhinderung von Datenverlust, Compliance usw. Intelligente IIoT-Startups Wenden Sie dasselbe Denken auf die IIoT-Cybersicherheit an. Sie versuchen nicht, die industrielle Cybersicherheit zu „lösen“. Sie greifen kleinere, diskrete Probleme an und entwickeln nützliche Lösungen.

6.) Sie beginnen mit der Annahme, dass sie werden gezielt werden.

Selbst die größten und besten Digitalunternehmen der Welt finden in ihren Umgebungen bösartigen oder unerklärlichen Code – manchmal Bedrohungen, die seit Jahren schlummern. Intelligente IIoT-Startups erwarten, dass ihre Lösungen auch denselben Arten von böswilligen und/oder nachrichtendienstlichen Bedrohungen ausgesetzt sein werden. Das bedeutet nicht, dass sie nicht viel Zeit und Mühe aufwenden, um Verstöße zu verhindern. Aber sie wenden genauso viel Zeit und Mühe auf, um sicherzustellen, dass sie, falls jemand eindringt, diese Sicherheitsverletzung isolieren und verhindern können, dass sie den Rest des Systems infiltriert. Und sie erkennen, dass sich die Angriffsfläche von ICS über industrielle Geräte und Netzwerke selbst hinaus auf alle Teile der Organisation und Lieferkette erstreckt.

7.) Sie sind bereit für die Skalierung.

Erfolgreiche IIoT-Startups vergessen nie, dass für Industriekunden keine Ausfallzeiten akzeptabel sind. Sie wissen, dass es nicht ausreicht, über großartige Technologie zu verfügen – sie müssen bereit sein, diese Technologie in Tausenden von Bereitstellungen einzusetzen, manchmal in mehreren Ländern – manchmal über Nacht.

8.) Sie wissen, dass Sicherheit lange vor dem Anschluss eines einzelnen Industriegeräts beginnt.

Erfolgreiche IIoT-Startups erkennen, dass einige der gefährlichsten Schwachstellen nicht nur Fehler in ihrem Code, sondern auch Schwächen in ihrer Lieferkette sind. Sie wissen, dass jeder OEM, der von anderen hergestellte Unterbaugruppen einbaut, möglicherweise versehentlich manipulierte Firmware in sein System einführen kann. Und sie haben die Lektion von Anbietern gelernt, die über hervorragende Technologie verfügten, aber Deals verloren sahen, weil der Kunde erkannte, dass er einen nicht vertrauenswürdigen Anbieter für eine Komponente der Lieferkette nutzte. Solide IIoT-Startups unternehmen Schritte, um ihre Produkte bei jedem Schritt vom Bau bis zum Versand zu schützen, wenn diese am anfälligsten für Fehler oder böswillige Akteure sein können.

Einer der interessanteren Bereiche, der derzeit erforscht wird:öffentliche Hauptbücher. Eine wachsende Zahl von Unternehmen sucht nach Blockchain-Technologien für öffentliche Ledger, um die Authentifizierung von Vermögenswerten zu unterstützen und einen Audit-Trail mit End-to-End-Chain-of-Custody bereitzustellen. (Auch Branchengruppen beteiligen sich – die Trusted IoT Alliance hat kürzlich eine neue Initiative zur Förderung von Standard-Ledgern zur Authentifizierung von IoT-Geräten angekündigt.) Es ist noch ganz am Anfang, aber eine solche Arbeit könnte sich für ICS als unglaublich wertvoll erweisen, da viele Kategorien von Nicht- IT-Assets (Engines, Teile, Unterteile) werden wieder mit dem IT-Backbone verbunden.

9.) Sie lassen sich nicht von Schlagworten ablenken.

Der Startup-Bereich oder zumindest die Medien, die ihn abdecken, neigen dazu, überempfindlich gegenüber dem Hype-Zyklus zu sein. Was auch immer das neueste heiße Konzept sein mag (derzeit KI und maschinelles Lernen), Unternehmen beeilen sich, sicherzustellen, dass sie behaupten können, diese Kästchen anzukreuzen. Erfolgreiche IIoT-Startups verbringen ihre Zeit nicht damit, sich über die neueste Version des Monats Gedanken zu machen. Sie sind darauf fokussiert, konkrete Antworten auf spezifische industrielle Probleme zu liefern.

10.) Sie verstehen die Notwendigkeit, Daten im Ruhezustand und in Bewegung zu sichern.

Industriekunden brauchen nicht nur Lösungen, um Daten am Edge zu sichern – wo mehr Daten als je zuvor gesammelt und verarbeitet werden –, sondern auch um Daten während der Übertragung in die Cloud zu sichern.

Daten in Bewegung stellen eine besonders sperrige Herausforderung für industrielle Systeme dar. Einige Unternehmen in diesem Bereich entwickeln Lösungen, um die Weitergabe verschlüsselter Daten zu vereinfachen, wodurch die Notwendigkeit der Entschlüsselung von Daten zu jedem Zeitpunkt der Übertragung und die damit verbundenen Risiken beseitigt werden.

11.) Sie verstehen, dass die Arbeit nie erledigt ist.

Gute Cybersicherheits-Startups erkennen, dass sie mit ihrer Lösung nie „fertig“ sein werden, und sie fühlen sich mit ihrem aktuellen Design nicht allzu wohl. Sie verstehen, dass Cybersicherheit in der realen Welt eine kontinuierliche, unbestimmte Iteration bedeutet.

Dies ist keine vollständige Liste. Wenn Sie jedoch den Kurs von Unternehmen bei der Entwicklung interessanter neuer Lösungen im Bereich der IIoT-Cybersicherheit bestimmen, ist dies ein guter Anfang.

Autoren:Michael Dolbec &Abhishek Shukla, Geschäftsführer von GE Ventures