Verwalten der IIoT-Sicherheit

Wir alle haben von Internet of Things (IoT) und Industrial Internet of Things (IIoT) gehört. Wir wissen, dass die beiden unterschiedlich sind, da IoT häufig für Verbraucherzwecke und IIoT für industrielle Zwecke verwendet wird.

Aber wie definiert eine Berufsgruppe wie das Industrial Internet Consortium (IIC) eigentlich das IIoT?

Die Gruppe sieht IIoT als ein System, das Betriebstechnologieumgebungen (OT) einschließlich industrieller Steuerungssysteme (ICS) mit Unternehmenssystemen, Geschäftsprozessen und Analysen verbindet und integriert.

Diese IIoT-Systeme unterscheiden sich von ICS und OT dadurch, dass sie weitgehend mit anderen Systemen und Personen verbunden sind. Und sie unterscheiden sich von IT-Systemen dadurch, dass sie Sensoren und Aktoren verwenden, die mit der physischen Welt interagieren, in der unkontrollierte Veränderungen zu gefährlichen Bedingungen führen können.

Die Vorteile des IIoT sind die Fähigkeit von Sensoren oder verbundenen Geräten als Teil eines geschlossenen Systems, Daten zu sammeln und zu analysieren und dann basierend auf den Daten etwas zu tun. Allein die Konnektivität erhöht jedoch auch das Risiko von Angriffen – und zunehmend von Cyberangriffen – durch diejenigen, die das System möglicherweise zum Absturz bringen möchten.

Eines der vielen Projekte im Rahmen eines Department of Energy (DoE)-Programms zur Reduzierung von Cyber-Vorfällen wird von Intel vorangetrieben und befasst sich mit verbesserter Sicherheit für den Edge-Stromversorgungssystem.

Da Grid-Edge-Geräte direkt und über die Cloud miteinander kommunizieren, entwickelt die Forschung Sicherheitsverbesserungen, um die Interoperabilität hervorzuheben und ein Situationsbewusstsein in Echtzeit zu ermöglichen.

Dies muss zunächst in Form eines sicheren Gateways für Brownfield- oder Legacy-Stromsystemgeräte erfolgen, dann als internes FPGA-Upgrade (Field Programmable Gate Array), das als Teil von Greenfield- oder heutigen Geräten entwickelt wurde.

Das Ziel besteht darin, die Cyberangriffsfläche so zu reduzieren, dass das normale Funktionieren der kritischen Energielieferfunktionen nicht behindert wird.

Sven Schrecker, Chefarchitekt für IoT-Sicherheitslösungen bei Intel und Co-Vorsitzender der Sicherheitsarbeitsgruppe am IIC, sagte, dass Sicherheit beim Design und der Bereitstellung von Geräten für IIoT-Systeme nicht die einzige Überlegung sein sollte, sondern Entwickler sollten darüber nachdenken. fünf allgemeine Schlüsselfaktoren:

• Sicherheit
• Zuverlässigkeit
• Sicherheit
• Datenschutz
• Belastbarkeit

Obwohl Konstrukteure möglicherweise Sicherheitselemente in einen Chip, eine Software oder eine Plattform implementieren müssen, sind sie sich möglicherweise nicht bewusst, wie ihre Arbeit in die übergeordneten Sicherheitsrichtlinien ihres Unternehmens passt. „Die Sicherheitsrichtlinie muss sowohl vom IT-Team als auch vom OT-Team gemeinsam verfasst werden, damit jeder weiß, welches Gerät mit was kommunizieren darf“, sagte Schrecker.

Vertrauenskette aufbauen
Ein gemeinsames Thema ist es, von Anfang an eine Sicherheitsrichtlinie und Vertrauenskette zu etablieren und dann sicherzustellen, dass diese während des Designs, der Entwicklung, der Produktion und des gesamten Lebenszyklus eines Geräts beibehalten wird. Vertrauen muss in das Gerät, das Netzwerk und die gesamte Lieferkette eingebaut werden.

Haydn Povey, Vorstandsmitglied der IoT Security Foundation und auch CEO und Gründer von Secure Thingz, sagte, dass die Sicherheit auf vier Ebenen angegangen werden muss:

• CxO-Level
• Sicherheitsarchitekt
• Entwicklungsingenieur
• Betriebsleiter

Die Entwicklungs- oder Konstruktionsingenieure sind diejenigen, die die Sicherheitsrichtlinien des Unternehmens berücksichtigen müssen. Sie können auch Faktoren definieren, z. B. wie man ein Produkt identifiziert und verifiziert, wie man Software- und Hardware-Updates sicher bereitstellt und in Chips oder Software implementiert.

Im vierten Teil der Kette sind OEMs an der Herstellung von Produkten für IIoT-Netzwerke oder an der Bereitstellung dieser Produkte beteiligt. Hier muss der Produktions- oder Betriebsleiter sicherstellen, dass jedes elektronische Bauteil seine eigene einzigartige Identität hat und an jedem Punkt der Lieferkette sicher authentifiziert werden kann.

Bei der Diskussion über das Fehlen einer Vertrauenskette in Hardware und Software sagte Robert Martin, leitender leitender Ingenieur bei der MITRE Corporation und Mitglied des Lenkungsausschusses des IIC:„Vernetzte Industriesysteme haben so viele verschiedene Technologie-Stacks.“

Tatsächlich warnte er:„Eine kleine Änderung an einem Mikroprozessor kann unbeabsichtigte Auswirkungen auf die darauf laufende Software haben. Wenn wir die Software neu kompilieren und auf einem anderen Betriebssystem ausführen, funktioniert sie anders, aber niemand ist für Softwarefehler verantwortlich, die sich aus den Änderungen ergeben.“

Er fügte hinzu:„Vergleichen Sie dies mit dem Baugewerbe, wo Sie bestraft werden würden, wenn Sie Änderungen vornehmen, die sich auf die Sicherheit auswirken – es gibt Vorschriften, Zertifizierungen. Aber wir haben einfach nicht das gleiche Regime bei softwarebasierten Technologien.“

>> Weiter zu Seite 2 davon Artikel auf unserer Schwesterseite EE Times:„Designer's Guide to IIoT Security.“