Industrielle Fertigung
Industrielles Internet der Dinge | Industrielle Materialien | Gerätewartung und Reparatur | Industrielle Programmierung |
home  MfgRobots >> Industrielle Fertigung >  >> Industrial Internet of Things >> Sensor

Rundtischgespräch für Führungskräfte:Gebäude- und Netzwerksicherheit

Einer der wichtigsten Aspekte jeder Produktionsstätte ist die Sicherheit – egal, ob es sich um den Schutz von Maschinen oder Daten handelt. Technische Informationen stellte Führungskräften von Unternehmen, die Netzwerk- und Anlagensicherheitslösungen anbieten, Fragen, um ihre Meinung zu Themen wie Cybersicherheit, Cloud, drahtlose Geräte und Schutz von Remote-Mitarbeitern einzuholen .

Unsere Teilnehmer sind Mike Jabbour, General Manager, Digital Connectivity and Power bei Siemens Digital Industries; Mike Lloyd, Chief Technology Officer bei RedSeal; Radu Pavel, Chief Technology Officer und Chief Engineer bei TechSolve; und Donovan Tindill, Senior Cybersecurity Strategist bei Honeywell Connected Enterprise – Cybersecurity.

Technische Informationen: Welche Sicherheitsverfahren und -systeme sollten für den Fernbetrieb von Geräten, Diagnose und Wartung vorhanden sein, da aufgrund der COVID-19-Pandemie immer mehr Menschen aus der Ferne arbeiten?

Mike Lloyd: In der Eile, von zu Hause aus zu arbeiten, wurden die meisten Sicherheitsteams von einem Tsunami von Anfragen nach verbesserten Laptop-Steuerungen, neuen VPN-Anforderungen, neuen Cloud-Diensten und mehr getroffen; Ein häufig übersehener Aspekt sind jedoch die Betriebsmittel, die sich nicht bewegt haben, als die Betreiber es taten. Plötzlich brauchten die Bediener Remote-Fähigkeiten, um alle physischen Geräte zu steuern und zu diagnostizieren, die sich nicht bewegten, und in der Sicherheit bedeutet Remote immer Risiko. Alle neuen Kontrollpfade zwischen Remote-Mitarbeitern und physischen Unternehmensressourcen erhöhen die Angriffsfläche eines Unternehmens. Es ist ratsam, dass Sicherheitsteams zurückgehen und prüfen, wie alle physischen Assets im Unternehmen erreicht werden können. Wenn Sie vor COVID wussten, wie das alles funktionierte, dann wissen Sie es jetzt wahrscheinlich nicht mehr.

Radu Pawel: Die COVID-19-Situation führt zu einer beschleunigten Digitalisierung der Arbeitswelt. Da die Geschäftsrealität den Bedarf an Echtzeitdaten aus vielen Funktionen vorantreibt, schüren die potenziellen Vorteile neuer Technologien den Wunsch, Produktions- und Nicht-Produktionsgeräte in der Fabrik zu verbinden. Der Appetit der Hersteller auf fortschrittliche Technologie übersteigt schnell ihre Fähigkeit, diese zu schützen, und diese Konnektivität und diese datenreiche Umgebung werfen erhebliche Bedenken und Herausforderungen im Zusammenhang mit der Cybersicherheit auf. Hersteller stehen vor zusätzlichen Herausforderungen, da nicht nur die IT-Systeme, sondern auch die Betriebstechnik (OT) geschützt werden müssen, die von Sensoren bis hin zu SPS, Robotersteuerungen, Werkzeugmaschinen und anderen Betriebsgeräten reichen kann.

Mike Jabbour: Das Tolle daran ist, dass COVID die Gesamtausrüstung oder die Prozesse, die für die Fernkommunikation erforderlich sind, nicht verändert hat – es hat nur die Notwendigkeit vorangetrieben, die bereits verfügbaren Technologien zu nutzen. Nicht jedes Unternehmen sollte in Bezug auf Remote-Anwendungen und Sicherheit genau das Gleiche tun, aber die Grundlagen sollten immer berücksichtigt werden. Es gibt viele andere Sicherheitsanwendungen, die in Betracht gezogen werden sollten, aber im Grunde sollten eine VPN-Verbindung, eine Firewall und ein Jump-Server verwendet werden.

Die Remote-Kommunikation sollte immer ordnungsgemäß authentifiziert, verschlüsselt und bei Nichtgebrauch abgeschaltet werden. Eine geeignete Firewall schützt den internen Datenverkehr vor einem nicht vertrauenswürdigen Netzwerk. Wenn es mehrere Segmente eines Netzwerks gibt, sollte die Kommunikation durch die Firewall jedes der internen Segmente voreinander schützen. Bei der Remote-Kommunikation gilt die Verschlüsselung des Datenverkehrs vom Remote-Benutzer zum vertrauenswürdigen Netzwerk immer als Best Practice. Dies kann mit einer VPN-Appliance erfolgen. Es sollte keine direkte Kommunikation von einem nicht vertrauenswürdigen Netzwerk zum gesicherten Netzwerk stattfinden.

Donovan Tindill: Beim Fernzugriff auf ein Industrial Control System/Operations Technology (ICS/OT)-System sind die Folgen und Verluste eines Cyberangriffs deutlich höher als beim Zugriff auf Informationstechnologie (IT). Um dieses Geschäftsrisiko zu reduzieren, sind zusätzliche Schutzmaßnahmen erforderlich, einschließlich Multifaktor-Authentifizierung von nicht vertrauenswürdigen Netzwerken. Vertrauen ist relativ – dem Unternehmensnetzwerk wird weniger vertraut als den ICS/OT-Systemen. Ein typisches VPN ermöglicht es einem Benutzer, sich rund um die Uhr nach Belieben zu verbinden. Aufgrund der potenziellen Folgen von ICS/OT-Cyberangriffen ist für jede Sitzung, jeden Benutzer und jeden Tag bei der Remote-Arbeit eine ausdrückliche Genehmigung der Zugriffsanfrage erforderlich.

Technische Informationen: Es scheint ein zweischneidiges Schwert zu sein:Die Cloud, drahtlose Sensornetzwerke und andere industrielle Systeme haben zu aufregenden neuen Vorteilen für digitale Fabriken geführt, aber gleichzeitig erhöhen diese intelligenten Fertigungstechnologien die Angriffsmöglichkeiten massiv. Wie lässt sich Barrierefreiheit mit Sicherheit vereinbaren?

Lloyd: Das Industrial Internet of Things (IIoT) bringt große Vorteile, aber auch große Risiken mit sich. Generell sollten alle „Dinge“ im Internet der Dinge als fragil und nicht vertrauenswürdig behandelt werden. Dies ist ein Schock für Teams, die es gewohnt sind, isolierte SCADA-Infrastrukturen zu verwalten, aber die Zeiten haben sich geändert. Angesichts der Fragilität von IoT-Systemen ist die Netzwerksegmentierung der einzig sinnvolle Ansatz – alle möglichen Zugriffswege müssen berücksichtigt werden, und industrielle Systeme sollten so weit wie möglich isoliert werden. Im Laufe der Zeit wird der Zugriff schlampig und es werden Fehler gemacht, daher müssen Sie eine Möglichkeit finden, kontinuierlich zu überprüfen, ob der Zugriff nur so hoch ist, wie er sein sollte, damit Sie Netzwerkabweichungen stoppen können.

Tindel: Barrierefreiheit lässt sich mit Sicherheit abwägen, gleichzeitig werden aber auch neue Maßstäbe gesetzt. Die Flughafensicherheit vor dem 11. September war ganz anders als heute, aber die neue Normalität ist mit neuen Technologien und Protokollen gut etabliert, die immer noch eine zeitnahe Sicherheitskontrolle ermöglichen. Bei neuen Technologien ist eine Lösungsschulung erforderlich, und wenn Cybersicherheit damit einhergeht, sind Benutzererfahrung und Zugänglichkeit kein Problem. Die geschäftlichen Vorteile dieser neuen Technologien und digitalen Fabriken haben das Potenzial, nie dagewesene Ergebnisse zu liefern. Die Rolle der Cybersicherheit besteht darin, die Investitionen in die Cloud, drahtlose Sensornetzwerke und andere industrielle Systeme zu schützen, damit sie ihren ROI liefern und gleichzeitig widerstandsfähiger gegen Cyberangriffe sind. Multifaktor-Authentifizierung, Public-Key-Infrastruktur, Kryptografie und andere Sicherheitskontrollen – bei richtiger Implementierung – sind praktisch nahtlos für den Benutzer und bieten ein zusätzliches Maß an Zugriffskontrollen, das mit früheren Legacy-Technologien nicht erreichbar ist.

Jabbour: Bewusst geplante und segmentierte Netzwerke sind nicht nur das Rückgrat eines Anlagenkommunikationssystems, sondern auch Best Practices für die Sicherheit. Ein segmentiertes ICS-Netzwerk kann dazu beitragen, Sensornetzwerke bei einem Angriff voreinander zu schützen, sodass der Zugriff auf einen einzelnen Abschnitt Ihrer Anlage nicht das gesamte Unternehmen auf einen Schlag lahmlegen würde. Dies muss auch mit der Kenntnis und dem Verständnis der Schwachstellen Ihrer Einrichtung gekoppelt sein. Einfach ein Gerät platzieren und weggehen ist das beste Verfahren, um Hackern eine Angriffsfläche für Ihr System zu gewähren. Die Verwaltung aller Geräte im Netzwerk umfasst nicht nur das Wissen und Verstehen, welche Geräte vorhanden sind, sondern auch regelmäßig geplante Überprüfungen der Schwachstellen und ihrer Bedrohungsstufe (niedrig/mittel/hoch).

Pavel: Das Ausmaß und die Geschwindigkeit der Digitalisierung und das Wachstum von Konnektivitätsnetzwerken führen zu einer Zunahme der Cybersicherheitsrisiken. Es ist nicht nur das Ausmaß der Gefährdung, sondern auch die Verwundbarkeit der vernetzten cyber-physischen Systeme. Diese neuen Systeme wurden nicht von Natur aus im Hinblick auf Cybersicherheit entwickelt. Das Problem wird durch das Potenzial für negative Auswirkungen auf die Leistung verschärft, die sich aus der Integration gängiger Cybersicherheitstechnologien in bestehende Systeme ergeben. Das Gleichgewicht zwischen Zugänglichkeit und Sicherheit ist eine facettenreiche Strategie, die sich auf Standardkommunikationsprotokolle, die Verschlüsselung von Daten, die über Netzwerke übertragen werden, die Nutzung der aktuellsten Cybersicherheitsstandards und die Implementierung von Technologien stützt, die es ermöglichen, Cybersicherheitsbedrohungen in Echtzeit zu identifizieren und zu mindern .

Jabbour: Denn Cybersicherheit wird am leichtesten übersehen. Die meisten IIoT-Installationen versuchen, geschäftliche Anforderungen zu erfüllen, und Cybersicherheit ist normalerweise kein Standardgesprächsthema bei geschäftlichen Anforderungen, bis ein Angriff erfolgt.

Lloyd: Zynisch, denn Sicherheit ist immer das letzte Element aller Bereitstellungen. Beim Vorstoß für das IoT dreht sich alles um Funktionen und Kosten. Das bedeutet, dass Geräte schnell und zu minimalen Preisen produziert werden und Sie die Sicherheit erhalten, für die Sie bezahlen. Geräte sind oft nicht patchbar und können die herkömmlichen Agenten und Scanner in unseren Sicherheits-Toolsets nicht unterstützen. Die IoT-Sicherheit ist also ein sehr schwieriges Problem – praktisch das Einschleusen unzähliger zerbrechlicher neuer Geräte in ein Netzwerk, das bereits widerspenstig und desorganisiert war. Der Übergang zum IoT wird nur für diejenigen gut verlaufen, die diszipliniert sind und im Voraus planen, den Explosionsradius von Problemen einzudämmen, wenn – nicht wenn – sie auftreten.

Tindel: Es gibt mehrere Gründe, warum Cybersicherheit erst am Ende der Bereitstellung betrachtet wird. Beschaffungs- und Beschaffungsprozesse schließen Cybersicherheitsanforderungen aus, da der Preis der Hauptfaktor bleibt. Die meisten Engineering-Prozesse schließen Cybersicherheit aus – das bedeutet, dass Spezifikation, Design, Konfiguration, Tests und Inbetriebnahme häufig ohne Cybersicherheitsaufgaben oder -leistungen erfolgen. IT- und Cybersicherheitsteams werden ausgeschlossen, bis es an der Zeit ist, sich mit dem Netzwerk oder Internet zu verbinden – dann erfahren diese Teams möglicherweise zum ersten Mal, dass das Projekt überhaupt existiert. Cybersicherheit sollte bei den Entscheidungskriterien ausreichend Gewicht haben; Nachdem es in die Kaufprozesse aufgenommen wurde, durchläuft es das gesamte Design, die Konfiguration, die Härtung und die Cyber-Akzeptanztests, alles vor dem Start.

Pavel: Von den Anfängen, als das größte Risiko ein Computervirus war, bis heute, als Betriebstechnik-Malware Geräte zerstören und Menschenleben fordern kann, hat die Computerwelt einen exponentiellen Anstieg von Cybersicherheitsangriffen erlebt. IoT-basierte Technologien bieten ihre eigenen einzigartigen Sicherheitsherausforderungen im Zusammenhang mit Datenintegrität, Datenlecks, Datenschutz und dem Potenzial für unbefugten Zugriff.

Warum ist Sicherheit also oft das letzte Element der IoT-Bereitstellung? Einige dieser Systeme wurden nicht im Hinblick auf Cybersicherheit entwickelt, sondern mit dem alleinigen Ziel, eine bestimmte Funktion bereitzustellen. Endbenutzer betrachteten Cybersicherheit nicht als eines ihrer Hauptauswahlkriterien, sondern eher die Fähigkeit eines Systems, eine Aufgabe auszuführen, seine Effizienz und seine Kosten. Erst in den letzten Jahren wurde das Problem der Cybersicherheit von Benutzern, Regierungen und Standardisierungsgruppen stärker betont.

Lloyd: Die drei wichtigsten Prioritäten für industrielle Netzwerke sind Segmentierung, Segmentierung und nochmals Segmentierung. Die alten Luftlöcher sind verflogen und das Internet mischt sich immer mehr in den physischen Anlagenbetrieb ein, ob wir wollen oder nicht. Diese Fülle von Schnittstellen bedeutet, dass die gesamte Angriffsfläche explodiert ist und früher oder später sicher etwas eindringen wird. Die vorrangige Priorität besteht darin, vorausschauend zu planen, um die Ausbreitung von schlechten Ereignissen durch Segmentierung zu begrenzen, und für die kritischsten Systeme zu planen voraus, um "Blast Doors" zu schließen, ähnlich den Schotttüren in U-Booten.

Pavel: Cyberangriffe haben das Potenzial, die Vertraulichkeit, Integrität und Verfügbarkeit in einer Fertigungsumgebung zu beeinträchtigen. Sie können zum Verlust von Produkt- und Prozess-IP führen; Produktionsausfälle durch Zerstörung, Modifizierung und Neuprogrammierung von Teilen und Prozessen; Rufschädigung; und sogar Verletzungen und Todesfälle. Die Bedeutung der Datenintegrität für die Fertigung zeigt sich in Bezug auf die Teileproduktion – Änderungen an Produkt- und Prozessspezifikationen können sich nachteilig auf die Produktqualität und -zuverlässigkeit auswirken.

Die Verfügbarkeit von Daten und cyber-physischen Systemen ist ebenfalls entscheidend für die Produktivität der Fertigung. Ältere Hardware und Software werden häufig in Fertigungsprozessen verwendet, und einige dieser Systeme wurden nicht im Hinblick auf Cybersicherheit oder das IoT entwickelt. Daher besteht ein inhärentes Risiko, wenn solche Legacy-Geräte mit dem IoT verbunden oder in das Fabriknetzwerk integriert werden.

Jabbour: Absolut nicht. Firewalls sind nur eine einzelne Appliance eines Gesamtsystems, und obwohl sie verwendet werden sollten, müssen andere Designüberlegungen berücksichtigt werden.

Tindel: Mitte der 1990er-Jahre waren Firewalls und Antivirenprogramme die Standards, weil sie ausreichende Sicherheitsvorkehrungen zur Abwehr der Cybersicherheitsbedrohungen der damaligen Zeit boten. Nahezu 100 % der Unternehmen verfügen heute über Firewalls, und Cyberangriffe können Firewalls mit anderen Taktiken, Techniken und Verfahren (TTPs) umgehen. Cyberbedrohungen entwickeln sich schnell und es sind mehrere Cybersicherheitskontrollen erforderlich. Firewalls erfüllen in erster Linie eine Schutzkontrolle, die gut darin ist, bekanntes schlechtes Verhalten am Netzwerkperimeter zu erkennen. Zu den heutigen Angriffen gehören der Diebstahl von Anmeldeinformationen und deren Verwendung, um unbemerkt in Netzwerke einzudringen, da Brute-Force oder böswillige Verbindungen nicht erforderlich sind. Wir alle haben Geschichten darüber gehört, wie ein Bedrohungsakteur sechs bis neun Monate vor dem Angriff in einem System war; Dies ist ein Beispiel dafür, wie sich schwache Erkennungs- und Reaktionsfähigkeiten manifestieren.

Pavel: Sich nur auf eine Firewall zu verlassen, ist keine gute Praxis mehr – das war es wahrscheinlich nie. Die drei wichtigsten Teile eines Unternehmenssicherheitsprogramms sind Menschen, Prozesse und Technologie. Kleine und mittlere Unternehmen stellen eine besondere Herausforderung für die Cybersicherheit in Produktionsumgebungen und Lieferketten dar. Vielen fehlt das technische Personal, um robuste Cybersicherheit zu bieten, und weil sie sich der Komplexität der Bedrohungen oft nicht bewusst sind, können sie keinen Business Case für Investitionen in OT-Cybersicherheit erstellen. Um diese Fallstricke anzugehen und die Einführung angemessener Cybersicherheitsmaßnahmen zu beschleunigen, hat die Regierung in die Entwicklung von Vorschriften, Standards und Zertifizierungsprogrammen investiert, die für ganze Branchen gelten.

Lloyd: Firewalls are like door locks on your building — a good start, a basic level of security hygiene, but hardly a comprehensive antidote to risk. Firewalls are complicated and are almost always misconfigured in some way. I’ve assessed many thousands of real-world firewalls and it’s unusual to find fewer than ten errors per device. (Extremely complex firewalls can contain thousands of errors in a single device.) The hardest aspect of firewalls is understanding whether they have covered everything —after all, you can’t identify a pathway around the firewall just by reading the firewall. You need to have a comprehensive view of access across your entire factory network and you need to be able to keep up with access as your network changes and grows.

RESOURCES

  1. Honeywell Connected Enterprise
  2. RedSeal
  3. Siemens Digital Industries
  4. TechSolve

Sensor

  1. Netzwerkprotokolle
  2. Verwalten der IIoT-Sicherheit
  3. Raspberry Pi Universal-Fernbedienung
  4. 3 Schritte für eine bessere Zusammenarbeit zwischen Netzwerk- und Sicherheitsexperten
  5. Warum IoT-Sicherheit ein [RAN, Edge]-Kernfokus für Netzwerkbetreiber sein muss
  6. Absicherung des IoT von der Netzwerkschicht bis zur Anwendungsschicht
  7. Drei Fragen, die Netzwerkbetreiber zur IoT-Sicherheit stellen sollten
  8. ICS-Sicherheitsangriff ermöglicht die Fernsteuerung von Gebäuden
  9. Was ist ein Netzwerksicherheitsschlüssel? Wie finde ich es?
  10. Warum Cybersicherheit für den Seelenfrieden der physischen Sicherheit unerlässlich ist