Come i produttori possono proteggere gli attacchi contro Cyber

Di Jonathan Wilkins di Stafford based Automation europeo

In 2014, il numero totale di incidenti di sicurezza informatica rilevati è salito a 42.8 milioni secondo il sondaggio sulla sicurezza delle informazioni sullo stato della rete di 2015 di PWC, che puoi trovare su http://goo.gl/MZR3zg. Per quelli di voi che non hanno fatto la matematica, cioè gli attacchi 117,339 al giorno, ogni giorno. E questi sono solo gli scioperi che sono stati rilevati e segnalati.

European Automation Johnatan WilkinsPer comprendere la portata pura di minacce attuali, le imprese di antivirus Kaspersky ha creato una mappa interattiva. Rappresenta il numero e il tipo di minacce informatiche in tempo reale. Se stai leggendo questo white paper on-line, sono sicuro che sarete d'accordo che è quasi ipnotico. Se stai leggendo in linea, vi consiglio di visitare http://cybermap.kaspersky.com.

Ma la mappa è anche incredibilmente preoccupante. Il numero totale -di attacchi alla sicurezza riscontrati aumenti da 48 per cento da 2013 a 2014 e non ci sono prove che suggeriscono tale percentuale diminuirà in 2015. Nonostante questi dati, sembra che i programmi di sicurezza informatica hanno effettivamente indebolito, principalmente a causa di ingenuità e investimenti insufficienti.

Nel solo settore industriale, le aziende hanno registrato un 17 per cento di aumento degli incidenti di sicurezza rilevati nel 2014. I costi finanziari risultanti sono aumentati del 34%, mentre la ricerca di Barclays suggerisce che quasi 50% delle imprese che subiscono un trading attacco cessate sicurezza informatica.

Questo rapporto speciale analizza la crescente minaccia informatica globale e delinea il valore di attuare una strategia di sicurezza aziendale focalizzata per garantire il benessere dei dipendenti e sistemi automatizzati industriali.

Chi l'ha fatto?

L'anno 2014 caratterizzato alcuni dei più grandi di hacking e sicurezza informatica violazioni del decennio. Sembra che nessuno era al sicuro, nemmeno i più grandi giocatori aziendale. eBay, Sony Pictures Entertainment, Apple e Sony Playstation, erano tutte le vittime di attacchi informatici in una forma o nell'altra.

È interessante notare che c'è una cosa che la maggior parte delle minacce alla sicurezza hanno in comune e che è la fonte. I risultati dell'indagine di PWC mostrano che 34.55 per cento delle aziende intervistate ha riferito che gli attacchi contro di loro l'anno scorso sono stati stimati provenire da dipendenti attuali della società e 30.42 per cento da ex dipendenti. Questi erano i due maggiori colpevoli.

Statisticamente, è molto più probabile che tu cada sotto attacco cibernetico a causa di qualcuno che collega una chiavetta USB corrotta alla tua rete, piuttosto che devi essere preso di mira in modo specifico da un hacker che cerca di sfruttare un punto debole in un sistema automatizzato. Tuttavia, ciò non significa che non si dovrebbe preparare per entrambe le eventualità.

Gli hacker si sono comunque posizionati molto nel sondaggio, il terzo con il 23.89 per cento delle aziende intervistate che hanno bloccato i loro attacchi alla sicurezza su di loro. Tuttavia, esiste un'altra minaccia meno diffusa di cui le aziende dovrebbero essere consapevoli.

Ogni azienda incontra quotidianamente terzi, come consulenti, appaltatori, fornitori e fornitori. È fondamentale che le informazioni condivise con queste parti, all'interno e all'esterno del sito, siano limitate a un livello appropriato. L'18.16 per cento delle aziende intervistate ha risposto di ritenere che i loro attuali fornitori di terze parti fossero responsabili, attivamente o passivamente, dei loro attacchi informatici.

Ad esempio, il gigante della vendita al dettaglio statunitense Target ha subito una notevole violazione in 2013 quando le informazioni personali identificabili (PII) e i dettagli della carta di credito dei clienti sono stati rubati. L'hack multi-sceneggiato è iniziato con il fornitore di riscaldamento, ventilazione e condizionamento di Target, che, a quanto pare, aveva accesso alla rete di Target. Le credenziali sono state rubate al venditore statunitense utilizzando malware comuni implementati attraverso una campagna di phishing via e-mail. Questa era la via degli hacker.

La morale della storia è che per sviluppare sistemi sicuri, le aziende devono attuare misure tecniche, concettuali e organizzativi per prevenire diversi tipi di minacce alla sicurezza.

Dove iniziare

In un contesto di produzione, tipici incidenti di sicurezza comprendono infezioni da malware, uso non autorizzato, manipolazione di dati, spionaggio e denial of service - quest'ultimo tentativo di rendere una macchina o risorsa di rete non disponibile per gli utenti previsti.

Difesa contro questo tipo di minacce richiede più che semplicemente investire in un nuovo software o di assunzione di un Chief Information Security Officer (CISO), anche se queste misure sono un buon inizio. Le modifiche devono essere attuate da zero. Prima di andare avanti di noi stessi ci sono alcuni passaggi che dovrebbero essere presi prima di qualsiasi altra cosa.

Per valutare correttamente le probabili minacce, i proprietari dei sistemi devono prima valutare i punti deboli di quel sistema, compreso l'elemento umano. In un ambiente automatizzato, questo può rivelare uno scenario in cui una proprietà dell'insieme è considerata vantaggiosa dal punto di vista dell'automazione, ma dannosa per la sicurezza.

Ad esempio, un dispositivo remoto che è libero di accedere a un controllore logico programmabile (PLC) senza autenticazione risparmia tempo in un processo automatizzato. Tuttavia, dal punto di vista della sicurezza questo è un punto debole preciso. È necessario identificare questi punti deboli per poter accedere a rischi e prendere i provvedimenti opportuni.

Produttori e aziende industriali devono prestare particolare attenzione a tre aree principali. Il primo è i punti deboli che sorgono a causa di apparecchiature improprio o implementazione del software. Questo potrebbe essere un dispositivo guasto o un pezzo di programmazione.

L'ascesa di interconnessione e di Internet of Things permette tutto in una fabbrica di comunicare utilizzando un protocollo comune, generando una grande quantità di dati. Questo ci porta alla seconda società dell'area dovrebbe concentrarsi su: garantire il flusso di dati di massa in modo che gli hacker non possano sfruttarlo.

Infine, i punti deboli spesso sorgono a causa di misure organizzative o della loro mancanza. Ad esempio, è importante assicurarsi che il team di CISO aggiorni i sistemi operativi, i browser Web e le applicazioni ogni volta che è necessario. Ciò annulla la preoccupazione di utilizzare un prodotto che ha difetti noti, che uno sviluppatore ha corretto in una versione successiva. È necessario implementare una politica aziendale dedicata all'aggiornamento del software per risolvere questo problema.

Nel complesso, è essenziale che, durante una valutazione iniziale della sicurezza, il team identifichi, raggruppa e isola le informazioni critiche appartenenti al business in modo che il team del CISO possa proteggerlo adeguatamente. Questa dovrebbe essere la priorità principale per qualsiasi azienda interessata alla sua sicurezza informatica.

La protezione della rete

Uno dei mezzi più efficaci per salvaguardare sistemi automatici di produzione è la protezione delle cellule. Questa forma di difesa è particolarmente efficace contro una serie di diverse minacce, compresi gli attacchi man-in-the-middle, per cui l'attaccante ha la capacità di monitorare, modificare e iniettare messaggi in un sistema di comunicazione.

La protezione cellulare impiega un componente integrato di sicurezza che supervisiona l'accesso a una cella automatizzata. Questo è spesso indicato come un portiere, perché ha lo stesso ruolo del suo omonimo umano decidendo chi può e chi può entrare. Il dispositivo più comune utilizzato a tale scopo è un processore di comunicazione Ethernet industriale che integra un firewall e rete privata virtuale (VPN), filtraggio degli attacchi e protezione della connessione di rete.

Protezione delle cellule impedisce anche l'accesso non autorizzato e il controllo, attacchi denial of service e minacce online tramite la rete aziendale.

Tuttavia, è importante che le valutazioni del rischio e le misure di sicurezza non si concentrino esclusivamente sui sistemi automatizzati. Anche personale, fornitori e fornitori di terze parti dovrebbero essere sottoposti a controllo.

Sicurezza attraverso l'educazione

Parte del problema attuale è che il tema della sicurezza informatica non è elevato a discussioni a livello di consiglio nella maggior parte delle aziende, nonostante le conseguenze dannose delle violazioni della sicurezza, compresa la perdita di produzione, la riduzione della qualità del prodotto e le minacce alla sicurezza sia per gli uomini che per le macchine.

La maggior parte dei governi hanno creato o sono in processo di creazione, norme di sicurezza informatici che impongono condizioni sulla tutela e l'uso di PII. Le aziende che non riescono a proteggere adeguatamente sanzioni pecuniarie a rischio le informazioni sensibili. Nonostante questo, alcune aziende rimangono ignoranti.

I regolamenti sono particolarmente diffusi in Europa e dovrebbero servire come esempio di ciò che i paesi che non hanno ancora una legislazione devono aspettarsi nel prossimo futuro. Gli Stati Uniti hanno anche le politiche di conformità obbligatorio quando si tratta di aziende che proteggono PII.

All'inizio del 2104, gli Stati Uniti implementato un quadro per migliorare l'infrastruttura di sicurezza informatica: un insieme di standard di settore e le migliori pratiche volte ad aiutare le organizzazioni a gestire rischi per la sicurezza informatica. Tuttavia, queste misure sono state pesantemente criticato per non andare abbastanza lontano, soprattutto alla luce del profilo alto recente Sony Pictures Entertainment scandalo delle intercettazioni avrebbe coinvolto la Corea del Nord.

Per aiutare ad educare le aziende nei modi di sicurezza delle informazioni, il governo britannico ha stanziato £ 860 milioni fino 2016 di istituire un programma di Cyber ​​Security Nazionale. Parte di questo programma è quello di garantire il Regno Unito è uno dei luoghi più sicuri per fare business online. Questo viene dopo è stato rivelato che 81 per cento delle grandi aziende e 60 per cento delle piccole imprese nel Regno Unito ha registrato una breccia informatica in 2014.

Nell'ambito del programma, il Governo ha messo a punto un sistema di elementi essenziali informatici per dare alle imprese un chiaro obiettivo di puntare per. Ciò consentirà alle imprese di proteggersi contro le minacce più comuni alla sicurezza informatica, ma anche pubblicizzare che essi soddisfano questo standard. Per ulteriori informazioni sul programma, visitare a www.gov.uk/government/publications/cyber-essentials-scheme-overview.

Inoltre, un 'Dieci passi per informatica libretto di sicurezza' è disponibile per chiunque alla ricerca di consigli sui rischi e metodi di prevenzione in corso. La letteratura evidenzia elementi importanti per la creazione di una strategia di sicurezza business focalizzato, come ad esempio i regimi di gestione del rischio, la configurazione sicura, la sicurezza della rete, i privilegi degli utenti, educazione e sensibilizzazione, la gestione degli incidenti, la prevenzione del malware, il monitoraggio e la casa o l'accesso mobile. Il libretto di sicurezza può essere scaricato visitando www.gov.uk/government/publications/cyber-risk-management-a-board-level-responsibility.

Le aziende che vogliono saperne di più su come aumentare i loro livelli di sicurezza possono anche accedere a un utile documento di orientamento dall'agenzia di standard del settore PROFIUBUS e PROFINET International (PI).

La Security Guideline per PROFINET è stata originariamente sviluppata in 2006 e successivamente modificata alla fine di 2013. Specifica idee e concetti su come e quali misure di sicurezza dovrebbero essere implementate. Contiene inoltre un elenco di acronimi di sicurezza comunemente utilizzati e offre una serie di best practice comprovate, come il concetto di protezione delle celle menzionato in precedenza. La guida di PROFINET può essere scaricata andando a http://goo.gl/yT7rKW.

Le informazioni sono disponibili per le aziende che cercano consigli in merito alla sicurezza informatica. Tuttavia, dalle statistiche fornite dall'indagine della PWC, sembrerebbe che le società di prodotti industriali stiano già aprendo la strada.

Settore

Nel complesso, le minacce informatiche sono in aumento, eppure budget per la sicurezza dell'informazione sembravano diminuire in 2014. Il mercato dei prodotti industriali è l'eccezione, perché ha creato le tasche per proteggersi.

Secondo il sondaggio sulla sicurezza del PWC, questo settore, più di tutti gli altri rilevati - energia e servizi pubblici, assistenza sanitaria, vendita al dettaglio e consumatori, tecnologia e servizi finanziari - sembra comprendere i crescenti rischi per la sicurezza. Inoltre, sta investendo di conseguenza.

I budget per la sicurezza delle informazioni per le aziende di prodotti industriali sono aumentati di oltre il 150 per cento negli ultimi due anni. In 2014, la spesa per la sicurezza delle informazioni ha rappresentato il 6.9% degli intervistati del PWC "il budget IT totale, il più alto tra tutti i settori esaminati. Tuttavia, in 2014, gli incidenti di sicurezza nel settore sono aumentati di sei volte. Quindi forse anche un aumento del 150% non è sufficiente.

Il risultato di questo investimento è stato notevoli miglioramenti nei processi e tecnologie di sicurezza, così come iniziative di formazione. Tuttavia, vi è ancora spazio generoso di miglioramento.

Cassaforte di soggiorno

Megatrends quali Industria 4.0, l'Internet degli oggetti e grandi dati hanno spinto l'automazione industriale a un livello completamente nuovo, la creazione di linee di produzione più efficienti e sofisticati. Industria sta integrando le sue linee di produzione con i livelli IT e la tradizionale piramide di automazione industriale sta crollando a causa della necessità per una più rapida la produzione, più economico e più efficace. Tuttavia, vi è un prezzo per questi guadagni: con maggiore apertura, interconnettività e la dipendenza viene maggiore vulnerabilità.

Vi è una precisa necessità di maggiore formazione in materia di sicurezza informatica, sia nella parte superiore che in quella inferiore della scala di produzione. Troppo spesso le aziende scivolano in insidie ​​comuni - credendo di essere o intoccabili o non bersaglio.

Se la maggior parte degli attacchi informatici a 2014 sono stati commessi dagli attuali dipendenti della società interessata, quanti di questi pensi che sono state intraprese consapevolmente? Oppure erano il risultato di un individuo non completamente capire che le sue azioni potrebbero portare a violazioni della sicurezza?

Comprendendo che non devi essere un obiettivo desiderabile per gli hacker e che le minacce informatiche possono essere il risultato di non-maliziosi, un giudizio scarso da parte di un dipendente è fondamentale per comprendere i rischi.

Anche se la gestione implementa con tutto il cuore di una sicurezza informatica dedicata verso il basso, tutto quello che serve è un dispositivo infetto da malware collegato alla rete per causare la rottura. Non possiamo prevenire gli incidenti, ma è possibile gestire loro instillando conoscenza dei dipendenti e mettere in atto i dispositivi e le procedure di controllo affidabili per quando si verifica un attacco.

Formazione sulla sicurezza non dovrebbe essere limitata a una una tantum seminario per il personale e l'aggiornamento un iniziale sistemi. Patch di manutenzione e gli aggiornamenti devono essere effettuati, come e quando le vulnerabilità sono rivelati o nuovo software viene rilasciato. Il senior management ha bisogno di attuare politiche di manutenzione e monitoraggio vigorosi. La sicurezza è una preoccupazione costante e in continua evoluzione, non qualcosa che può essere risolto con una soluzione rapida.

Le valutazioni del rischio devono essere intraprese per fornitori, fornitori e appaltatori e le restrizioni sulle informazioni dovrebbero essere messe in atto. Di nuovo, questo non può essere semplicemente una valutazione iniziale. Le procedure unificate devono essere redatte e seguite quando si tratta di terze parti che richiedono un determinato livello di informazioni da un'azienda.

Con un investimento finanziario e attenzione adeguate pagati alle infrastrutture e le procedure di sicurezza informatica, un business sarà pronto se un attacco esterno dannoso prendere posto.

In caso contrario, una società non solo affrontare la perdita di produzione e di sanzioni pecuniarie; vi è anche la perdita di reputazione e di potenziale pericolo per entrambe le macchine e gli esseri umani da considerare.

Process Industry Informer

Lascia un Commento

Il tuo indirizzo e-mail non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito utilizza Akismet per ridurre lo spam. Scopri come vengono elaborati i dati dei tuoi commenti.