Wie sicher ist Ihr Fertigungsnetzwerk?

Es ist vielleicht nicht das Wichtigste, aber Lohnfertiger und mittelständische Hersteller müssen über IT/OT-Cybersicherheit nachdenken, insbesondere bei der Herstellung von Militär- und Verteidigungsteilen. Die Vorschriften sind da. Bist du bereit?

Reicht es aus, die neuesten Maschinen und Werkzeugtechnologien wie 5-Achsen-Maschinen zu kaufen, Auszubildende und neue Maschinisten einzustellen und zu betreuen, Teile zu produzieren und Wartungspläne im Auge zu behalten? Mit intelligenten Sensoren und mehr internetbasierter Infrastruktur, die jetzt von Mitarbeitern in der Werkstatt verwendet wird, gibt es so viel Technologie in und um Maschinen und die Kontrollräume der meisten Geschäfte.

Sicherheitsmanagement ist jetzt ein echtes Thema und umfasst die Verwaltung aller Systeme und des Mitarbeiterverhaltens. Für die Betriebe, die Teile für die Verteidigungsindustrie herstellen, ist Sicherheit ein wichtiges Compliance-Thema mit echten Konsequenzen für das Geschäft.

„Die Praxis heute ist, dass kleine bis mittelständische Hersteller ausgelastet sind, Aufträge eingehen und das größte Problem darin besteht, Talente zu finden und zu halten – die größte Hürde, um Produkte auf den Markt zu bringen. Angesichts all der Entscheidungen, die Hersteller jeden Tag treffen müssen, steht Cybersicherheit nicht ganz oben auf ihrem Radar“, sagt Elliot Forsyth, Vice President of Business Operations am Michigan Manufacturing Technology Center, in einem Artikel für Advanced Manufacturing.

Wir sprechen mit Brancheninsidern über den Stand der Sicherheit in der heutigen Fertigung – und wohin die Reise geht.

Industrielle Cyberangriffe:Datenschutzverletzungen, Cyberspionage und mehr

Das Internet ist ein fantastisches Werkzeug und ein Segen für Unternehmen. Aber es ist auch ein Ort krimineller Aktivitäten, an dem Betrug, Lösegeld, Diebstahl und Systemmanipulation allzu oft vorkommen.

Auch die Fertigung wurde nicht von Sicherheitsproblemen verschont. Auch Industriesektoren, darunter Öl und Gas, sowie Segmente kritischer Infrastrukturen wie Elektro- und Kernkraftwerke müssen ihre Sicherheit verstärken. Im Jahr 2018 wurden petrochemische Unternehmen in Saudi-Arabien mit der Absicht gehackt, den Betrieb zu sabotieren und Explosionen zu verursachen.

Das ist natürlich ein Extremfall, aber es kann passieren. Die Mehrheit der Sicherheitsvorfälle zielen auf Finanzinformationen und geistiges Eigentum ab.

„Es ist ein sehr unsicherer Bereich“, sagt John Livingston, CEO von Verve Industrial Protection. „Die meisten Hersteller sind sich des Problems im Allgemeinen nicht bewusst oder sie haben nicht die Ressourcen im eigenen Haus [um es zu handhaben]. … Einerseits verlassen sich viele auf Cloud-Dienste und am anderen Ende des Spektrums verlassen sie sich auf alte Betriebssysteme in ihren Umgebungen, die nicht gepatcht werden.“

Im Jahr 2018 gab es 352 Sicherheitsvorfälle in der Fertigung, und bei 87 davon wurde die Offenlegung von Daten bestätigt, so der „2019 Data Breach Investigations Report“ von Verizon, eine der umfassendsten jährlich veröffentlichten Studien.

„Zum zweiten Jahr in Folge überwiegen finanziell motivierte Angriffe Cyberspionage als Hauptgrund für Verstöße in der Fertigung, und in diesem Jahr um einen bedeutenderen Prozentsatz (40 Prozent Unterschied)“, schlussfolgern die Autoren des Verizon-Berichts. „Wenn dies in den meisten anderen Branchen der Fall wäre, wäre es nicht der Rede wert, da Geld der Grund für die überwiegende Mehrheit der Angriffe ist. Die Fertigung hat jedoch in den letzten Jahren ein höheres Maß an spionagebezogenen Sicherheitsverletzungen erlebt als andere Branchen.“

Wenn das Ziel die Spitzenproduktion und Teileherstellung ist, spielt Technologie zweifellos eine zentrale Rolle, wenn es darum geht, Unternehmen beim Erreichen ihrer Ziele zu unterstützen. Das Sammeln und Überwachen präziser Maschineninformationen wird immer wichtiger, um Spitzenleistungen zu erzielen.

Job-Shops sind oft mit dem Internet verbunden, und die Anwendungen, die Mitarbeiter verwenden, einschließlich E-Mail, Websites und mobile Apps, können allesamt die Öffnung sein, die Angreifer benötigen, um an Mitarbeiter- und Unternehmensinformationen oder geistiges Eigentum zu gelangen. Diese Informationen könnten Bibliotheken mit Teilespezifikationen umfassen, die ein Originalgerätehersteller aus den Händen von Wettbewerbern haben möchte, und eine Regierung möchte nicht, dass andere Nationen sie haben.

„Hersteller müssen eine Risikobewertung ihrer Betriebe vornehmen“, sagt Koushik Subramanian, strategischer Berater des National Center for Cybersecurity in Manufacturing, in einem Artikel für Advanced Manufacturing. „Risiken können technischer Natur sein – in Maschinen, Steuerungen oder Software, aber auch in Personal, Praktiken und Prozessen. Risiken nehmen viele verschiedene Formen an, aber am häufigsten sind Cyberangriffe, bei denen böswillige Einzelpersonen oder Gruppen versuchen, in Systeme einzudringen, indem sie das schwächste Glied ausnutzen:den Menschen. Das ist der Grund, warum Phishing und Ransomware so beliebt sind und warum Angriffe im Trend liegen.“

Für kleinere Geschäfte bedeutet die Verwaltung von Computern oft die Einstellung externer IT-Unternehmen, auch bekannt als „IT“-Unternehmen, um zu helfen. Für mittelständische und große Hersteller könnte dies eine hybride Form von interner IT-Personalausstattung und zusätzlicher Hilfe von externen Unternehmen für die komplexeren Technologieprobleme bedeuten.

„Der größte Teil der Branche durchläuft diese Bewusstseinsphase“, sagt Livingston. „Sie beginnen zu verstehen, dass es ein Problem gibt. Aber sie fragen sich:‚Wie bekomme ich meine Arme um die Welt, die noch nie zuvor als internetbasierte Infrastruktur verwaltet wurde?‘“

  Brauchen Sie Antworten auf eine technische Frage? Fragen Sie das MSC Metalworking Tech Team im Forum.

Change Agents:Standards, staatliche Finanzierung und Dienste von Drittanbietern

Das National Institute of Standards and Technology ist das Gremium, das kritische Infrastrukturen reguliert und die Regeln für die Luft- und Raumfahrt- und Verteidigungsindustrie festlegt. Im Jahr 2016 veröffentlichte NIST SP 800-171, das die Regeln zum „Schutz kontrollierter, nicht klassifizierter Informationen in nichtföderalen Systemen und Organisationen“ enthält.

Die Standards beinhalten strenge Sicherheitskontrollen, die OEMs und Rüstungslieferanten jeder Größe betreffen können. Wenn ein Unternehmen die Vorschriften nicht einhält, kann es wahrscheinlich nicht für die Arbeit bieten.

„Für die meisten Hersteller, die nicht in kritischer Infrastruktur tätig sind, ist der Verlust eines Produktivitätstages aufgrund eines Sicherheitsproblems kein nationaler Notfall, aber es schadet ihrem Endergebnis“, sagt Scott Sawyer, Chief Technology Officer von Paperless Parts. „Wo dies wirklich ins Spiel kommt, ist geistiges Eigentum. Das Verteidigungsministerium kümmert sich wirklich um diesen Bereich.“

Es wirkt sich auf Hersteller aller Größen aus.

„Sogar Unternehmen mit 100 bis 200 Mitarbeitern haben damit zu kämpfen“, sagt Sawyer. „Plötzlich müssen sie herausfinden, wie sie konform werden.“

Wie kommen Unternehmen zurecht? Einige, die versuchen, Verträge mit der Verteidigungsindustrie zu halten oder neue anzuziehen, holen Berater hinzu – und sie implementieren Sicherheitsprogramme. Staatliche und lokale Volkswirtschaften können durch solche Vorschriften beeinträchtigt werden. Es kann teuer werden. Daher bieten Organisationen Mittel an, um Unternehmen dabei zu helfen, Sicherheitsstandards durch Manufacturing Extension Partnerships (MEP) einzuhalten.

Um mehr über die Bemühungen des Verteidigungsministeriums und NIST zu erfahren, sehen Sie sich dieses Video an.

Es sind gute Nachrichten für diejenigen, die das Sicherheitsproblem im Auge behalten, aber die meisten Hersteller tappen immer noch im Dunkeln. Vor allem kleinere Läden, erklärt Sawyer.

„Manche haben ein falsches Sicherheitsgefühl. Sie denken, dass sie nicht gefährdet sind, weil sie klein und abseits der ausgetretenen Pfade sind und ihr physischer Standort ländlich ist, sie haben nicht viele Mitarbeiter und sie haben ein geringes Marketingprofil“, sagt Sawyer. „Aber wissen Sie, genau das könnte sie in gewissem Sinne zu einem Ziel machen. Sie sind ein leichteres Ziel als ein Lockheed Martin, Raytheon oder Northrop Grumman, weil sie nicht die Sicherheit haben.“

Diese größeren Unternehmen sind Ziele, aber sie sind auch viel ausgeklügelter im Umgang mit geheimen Spezifikationen und physischer Sicherheit, erklärt Sawyer. Sawyer würde es wissen – er arbeitete mehrere Jahre in der Verteidigungsindustrie, bevor er in die Fertigung wechselte.

Verteidigungsunternehmen erziehen ihre Mitarbeiter dazu, nicht über die Arbeit zu sprechen, wenn sie das Werk verlassen. Vielen wird gesagt, sie sollten ihre Arbeitsplakette nach dem Verlassen nicht mehr sehen. Aber selbst diese Bemühungen haben motivierte Angreifer nicht davon abgehalten, an wichtiges geistiges Eigentum zu gelangen.

„Wenn Sie an die amerikanische Fertigung glauben und patriotisch sind, sollte es dazu gehören, sich um die Informationssicherheit zu kümmern“, sagt Sawyer.

Wie handhabt Ihr Geschäft heute die Sicherheit? Bereiten Sie sich vor oder befinden Sie sich im „Ignoranz ist Glück“-Modus? Diskutiere darüber im Forum. [Registrierung erforderlich]