Come i produttori possono proteggere gli attacchi contro Cyber

By Jonathan Wilkins of Stafford based European Automation

In 2014, the total number of cyber security incidents detected rose to 42.8 million according to PWC”s Global State of Information Security Survey 2015, which you can find at http://goo.gl/MZR3zg. For those of you that have not done the maths, that is 117,339 attacks per day, every day. And these are just the strikes that were detected and reported.

European Automation Johnatan WilkinsTo comprehend the sheer extent of current threats, antivirus business Kaspersky has created an interactive map. It depicts the number and type of cyber threats in real time. If you are reading this white paper online, I am sure you will agree that it is almost hypnotic. If you are reading offline, I recommend you visit http://cybermap.kaspersky.com.

Ma la mappa è anche incredibilmente preoccupante. Il numero totale -di attacchi alla sicurezza riscontrati aumenti da 48 per cento da 2013 a 2014 e non ci sono prove che suggeriscono tale percentuale diminuirà in 2015. Nonostante questi dati, sembra che i programmi di sicurezza informatica hanno effettivamente indebolito, principalmente a causa di ingenuità e investimenti insufficienti.

Nel solo settore industriale, le aziende hanno registrato un 17 per cento di aumento degli incidenti di sicurezza rilevati nel 2014. I costi finanziari risultanti sono aumentati del 34%, mentre la ricerca di Barclays suggerisce che quasi 50% delle imprese che subiscono un trading attacco cessate sicurezza informatica.

Questo rapporto speciale analizza la crescente minaccia informatica globale e delinea il valore di attuare una strategia di sicurezza aziendale focalizzata per garantire il benessere dei dipendenti e sistemi automatizzati industriali.

Chi l'ha fatto?

L'anno 2014 caratterizzato alcuni dei più grandi di hacking e sicurezza informatica violazioni del decennio. Sembra che nessuno era al sicuro, nemmeno i più grandi giocatori aziendale. eBay, Sony Pictures Entertainment, Apple e Sony Playstation, erano tutte le vittime di attacchi informatici in una forma o nell'altra.

Interestingly, there is one thing most security threats have in common and that is the source. The results of PWC”s survey illustrate that 34.55 per cent of companies asked, reported that the attacks on them last year were estimated to originate from current employees of the company and 30.42 per cent from former employees. These were the two biggest culprits.

Statistically, you are far more likely to come under cyber attack because of someone plugging in a corrupted USB stick to your network, than you are to be specifically targeted by a hacker trying to exploit a weakness in an automated system. However, that”s not to say that you shouldn”t prepare for both eventualities.

Hackers still ranked highly in the survey – third with 23.89 per cent of companies surveyed pinning their security attacks on them. However, there is another, less prevalent threat that companies should be aware of too.

Every business encounters third parties on a daily basis – such as consultants, contractors, suppliers and providers. It is imperative that the information shared with these parties, on and off site, is restricted to an appropriate level. 18.16 per cent of businesses surveyed responded that they believed their current third party providers were responsible, actively or passively, for their cyber attacks.

For example, the US retail giant Target had a considerable breach in 2013 when the personal identifiable information (PII) and credit card details of customers were stolen. The multi-staged hack began with Target”s heating, ventilating and air conditioning supplier, who, it would seem, had access to Target’s network. Credentials were stolen from the US vendor using common malware implemented through an e-mail phishing campaign. This was the hackers’ way in.

La morale della storia è che per sviluppare sistemi sicuri, le aziende devono attuare misure tecniche, concettuali e organizzativi per prevenire diversi tipi di minacce alla sicurezza.

Dove iniziare

In a manufacturing context, typical security incidents include infection by malware, unauthorised use, manipulation of data, espionage and denial of service – the latter being an attempt to make a machine or network resource unavailable for its intended users.

Difesa contro questo tipo di minacce richiede più che semplicemente investire in un nuovo software o di assunzione di un Chief Information Security Officer (CISO), anche se queste misure sono un buon inizio. Le modifiche devono essere attuate da zero. Prima di andare avanti di noi stessi ci sono alcuni passaggi che dovrebbero essere presi prima di qualsiasi altra cosa.

To evaluate properly the likely threats, system owners must first assess the weak points of that system – including the human element. In an automated environment, this may reveal a scenario in which a property of the whole is considered beneficial from an automation perspective, but detrimental from security one.

Ad esempio, un dispositivo remoto che è libero di accedere a un controllore logico programmabile (PLC) senza autenticazione risparmia tempo in un processo automatizzato. Tuttavia, dal punto di vista della sicurezza questo è un punto debole preciso. È necessario identificare questi punti deboli per poter accedere a rischi e prendere i provvedimenti opportuni.

Produttori e aziende industriali devono prestare particolare attenzione a tre aree principali. Il primo è i punti deboli che sorgono a causa di apparecchiature improprio o implementazione del software. Questo potrebbe essere un dispositivo guasto o un pezzo di programmazione.

L'ascesa di interconnessione e di Internet of Things permette tutto in una fabbrica di comunicare utilizzando un protocollo comune, generando una grande quantità di dati. Questo ci porta alla seconda società dell'area dovrebbe concentrarsi su: garantire il flusso di dati di massa in modo che gli hacker non possano sfruttarlo.

Finally, weak points often arise due to organisational measures, or lack thereof. For example, it is important to ensure that the CISO”s team update operating systems, web browsers and applications whenever necessary. This negates the worry of using a product that has known flaws, which a developer has corrected in a later version. You should implement a corporate policy dedicated to updating software to solve this problem.

Overall, it is essential that, during an initial security assessment, the team identify, group and isolate the critical information belonging to the business so that the CISO”s team can properly protect it. This should be the main priority for any company concerned with its cyber security.

La protezione della rete

Uno dei mezzi più efficaci per salvaguardare sistemi automatici di produzione è la protezione delle cellule. Questa forma di difesa è particolarmente efficace contro una serie di diverse minacce, compresi gli attacchi man-in-the-middle, per cui l'attaccante ha la capacità di monitorare, modificare e iniettare messaggi in un sistema di comunicazione.

Cell protection employs a security integrated component that supervises access to an automated cell. This is often referred to as a doorman, because it plays the same role as its human namesake by deciding who can and who can”t come in. The most common device used for this purpose is an industrial Ethernet communications processor that integrates a firewall and virtual private network (VPN), filtering out attacks and keeping the network connection secure.

Protezione delle cellule impedisce anche l'accesso non autorizzato e il controllo, attacchi denial of service e minacce online tramite la rete aziendale.

However, it is important that risk assessments and security measures don”t focus solely on automated systems. Staff, suppliers and third party providers should also come under scrutiny.

Sicurezza attraverso l'educazione

Part of the current problem is that the topic of cyber security isn”t being elevated to a board level discussion in most companies despite the damaging consequences of security breaches including loss of production, reduced product quality and safety threats to both humans and machines.

La maggior parte dei governi hanno creato o sono in processo di creazione, norme di sicurezza informatici che impongono condizioni sulla tutela e l'uso di PII. Le aziende che non riescono a proteggere adeguatamente sanzioni pecuniarie a rischio le informazioni sensibili. Nonostante questo, alcune aziende rimangono ignoranti.

I regolamenti sono particolarmente diffusi in Europa e dovrebbero servire come esempio di ciò che i paesi che non hanno ancora una legislazione devono aspettarsi nel prossimo futuro. Gli Stati Uniti hanno anche le politiche di conformità obbligatorio quando si tratta di aziende che proteggono PII.

All'inizio del 2104, gli Stati Uniti implementato un quadro per migliorare l'infrastruttura di sicurezza informatica: un insieme di standard di settore e le migliori pratiche volte ad aiutare le organizzazioni a gestire rischi per la sicurezza informatica. Tuttavia, queste misure sono state pesantemente criticato per non andare abbastanza lontano, soprattutto alla luce del profilo alto recente Sony Pictures Entertainment scandalo delle intercettazioni avrebbe coinvolto la Corea del Nord.

Per aiutare ad educare le aziende nei modi di sicurezza delle informazioni, il governo britannico ha stanziato £ 860 milioni fino 2016 di istituire un programma di Cyber ​​Security Nazionale. Parte di questo programma è quello di garantire il Regno Unito è uno dei luoghi più sicuri per fare business online. Questo viene dopo è stato rivelato che 81 per cento delle grandi aziende e 60 per cento delle piccole imprese nel Regno Unito ha registrato una breccia informatica in 2014.

Under the programme, the Government has developed a cyber essentials scheme to give companies a clear goal to aim for. This will allow businesses to protect themselves against the most common cyber security threats but also advertise that they meet this standard. For more information about the scheme, go a www.gov.uk/government/publications/cyber-essentials-scheme-overview.

Inoltre, un 'Dieci passi per informatica libretto di sicurezza' è disponibile per chiunque alla ricerca di consigli sui rischi e metodi di prevenzione in corso. La letteratura evidenzia elementi importanti per la creazione di una strategia di sicurezza business focalizzato, come ad esempio i regimi di gestione del rischio, la configurazione sicura, la sicurezza della rete, i privilegi degli utenti, educazione e sensibilizzazione, la gestione degli incidenti, la prevenzione del malware, il monitoraggio e la casa o l'accesso mobile. Il libretto di sicurezza può essere scaricato visitando www.gov.uk/government/publications/cyber-risk-management-a-board-level-responsibility.

Le aziende che vogliono saperne di più su come aumentare i loro livelli di sicurezza possono anche accedere a un utile documento di orientamento dall'agenzia di standard del settore PROFIUBUS e PROFINET International (PI).

The Security Guideline for PROFINET was originally developed in 2006 and later revised at the end of 2013. It specifies ideas and concepts regarding how and which security measures should be implemented. It also contains a list of commonly used security acronyms and offers a series of proven best practices, such as the cell protection concept mentioned earlier. PROFINET”s guide can be downloaded by going to http://goo.gl/yT7rKW.

The information is out there for companies seeking advice regarding cyber security. However, from the statistics provided by PWC”s survey, it would appear that industrial product companies are already leading the way.

Settore

Nel complesso, le minacce informatiche sono in aumento, eppure budget per la sicurezza dell'informazione sembravano diminuire in 2014. Il mercato dei prodotti industriali è l'eccezione, perché ha creato le tasche per proteggersi.

According to the PWC security survey, this sector, more than all other surveyed – power and utilities, healthcare, retail and consumer, technology and financial services – appears to understand rising security risks. Moreover, it”s investing accordingly.

Information security budgets for industrial products companies have soared more than 150 per cent in the past two years. In 2014, information security spending represented 6.9 per cent of PWC survey respondents” total IT budget, the highest of any sector surveyed. However, in 2014, security incidents in the sector also increased six fold. So perhaps even a 150% increase is not enough.

Il risultato di questo investimento è stato notevoli miglioramenti nei processi e tecnologie di sicurezza, così come iniziative di formazione. Tuttavia, vi è ancora spazio generoso di miglioramento.

Cassaforte di soggiorno

Megatrends quali Industria 4.0, l'Internet degli oggetti e grandi dati hanno spinto l'automazione industriale a un livello completamente nuovo, la creazione di linee di produzione più efficienti e sofisticati. Industria sta integrando le sue linee di produzione con i livelli IT e la tradizionale piramide di automazione industriale sta crollando a causa della necessità per una più rapida la produzione, più economico e più efficace. Tuttavia, vi è un prezzo per questi guadagni: con maggiore apertura, interconnettività e la dipendenza viene maggiore vulnerabilità.

There is a definite need for more training when it comes to cyber security, both at the top and bottom of the manufacturing ladder. Too often businesses slip into common pitfalls – believing they are either untouchable or not a target.

Se la maggior parte degli attacchi informatici a 2014 sono stati commessi dagli attuali dipendenti della società interessata, quanti di questi pensi che sono state intraprese consapevolmente? Oppure erano il risultato di un individuo non completamente capire che le sue azioni potrebbero portare a violazioni della sicurezza?

Understanding that you don”t have to be a desirable target for hackers and that cyber threats can be the result of non-malicious, poor judgement from one employee is key to understanding the risks.

Anche se la gestione implementa con tutto il cuore di una sicurezza informatica dedicata verso il basso, tutto quello che serve è un dispositivo infetto da malware collegato alla rete per causare la rottura. Non possiamo prevenire gli incidenti, ma è possibile gestire loro instillando conoscenza dei dipendenti e mettere in atto i dispositivi e le procedure di controllo affidabili per quando si verifica un attacco.

Formazione sulla sicurezza non dovrebbe essere limitata a una una tantum seminario per il personale e l'aggiornamento un iniziale sistemi. Patch di manutenzione e gli aggiornamenti devono essere effettuati, come e quando le vulnerabilità sono rivelati o nuovo software viene rilasciato. Il senior management ha bisogno di attuare politiche di manutenzione e monitoraggio vigorosi. La sicurezza è una preoccupazione costante e in continua evoluzione, non qualcosa che può essere risolto con una soluzione rapida.

Risk assessments need to be undertaken for suppliers, providers and contractors and restrictions on information should be put in place. Again, this can”t simply be an initial appraisal. Unified procedures should be written up and followed when dealing with any third party that requires a certain level of information from a business.

Con un investimento finanziario e attenzione adeguate pagati alle infrastrutture e le procedure di sicurezza informatica, un business sarà pronto se un attacco esterno dannoso prendere posto.

In caso contrario, una società non solo affrontare la perdita di produzione e di sanzioni pecuniarie; vi è anche la perdita di reputazione e di potenziale pericolo per entrambe le macchine e gli esseri umani da considerare.

Process Industry Informer

Lascia un Commento

L'indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito utilizza Akismet per ridurre lo spam. Scopri come vengono elaborati i dati dei tuoi commenti.