在工业资产安全风险:分析之前,你买

工业工程师注意:如果你不思考如何获得新的wiz-bang-flashy PLC或PAC在你买它之前,你设置了一个痛苦的世界。

我ndustrial控制系统被用在广泛的行业,从生产和制造、发电和输电、炼油和水处理行业网络安全妥协可能意味着巨大的资本损失。

最近我们看到很多传统的专有控制systems-distributed控制系统,plc和SCADA applications-adding新的、更开放的技术如以太网和TCP / IP。和组织的越来越浓的兴趣获取系统数据的业务优势,工业控制系统正在连接到信息技术(IT)网络。

这是可怕的。

工业互联网网络安全——每个人的责任根据一项民意调查AutomationWorld.com工业自动化和过程控制行业正面临着许多问题与cybery安全。一个巨大的问题对于大多数工业控制工程师是开放体系结构的安全危险。

是的,我们想实现IIoT的潜力。需要一套共同的沟通语言,协议和编程standards-open标准。但我们也把自己暴露在风险当我们连接工业设备新网络。

根据进行的一项研究控制工程,约80%的受访者表示他们的控制系统是受到网络攻击的威胁。简讯:如果开启和电子设备,现在受到威胁,。是的,这意味着你的设备。如果你在20%说不,请订阅这个博客页面的右边,因为我们有很多讨论。

因为我们连接控制系统网络,这些开放标准IIoT是基于互联网的开放式体系结构。这意味着我们需要开始将网络安全标准应用于控制系统和工业网络。

什么是工业资产连接到互联网的安全影响吗?

工业资产风险分析

让我们首先看风险的本质。确定风险的基本方程是:

进行工业资产风险分析

一个威胁是任何潜在的发生,可能造成一个不良的或不必要的outcome-such破坏,损坏,或损失一个组织或一个工业资产。威胁可能源自人、其他组织、硬件、网络,甚至自然。

一个脆弱性一个弱点在一个资产或缺乏对策衬托利用企图。漏洞可以包括软件或固件代码中的错误时,程序的漏洞,人类监督的失败,或硬件设计缺陷。

一个威胁事件被威胁利用脆弱性时发生。

当我们分析工业资产被剥削的风险,我们需要了解工业资产估值。工业资产的价值是它的货币和非货币成本,包括公众信心和知识股权(资产包含知识的价值)。底线是:这是损伤的程度,可以如果工业资产剥削造成的。

例如,如果攻击者违反了风力发电机的控制系统,并迫使其失控,不仅可能导致的损失涡轮机也与损伤相关的成本如果风力涡轮机周围区域,着火和破坏农民的小麦收成。

工业资产风险评估

大多数工业系统是专为最小的人工交互。从理论上讲,现代工业设备的静态设计意味着这些系统相当抵抗威胁事件。

但是如果我们对工业资产执行一个基本的风险评估,包括威胁程度和资产估值,我们看到任何漏洞风险大大增加,如果安全被破坏。

例如,它可能是几乎不可能侵入核电站(低威胁)但其后果(资产估值)的核电站被攻击可能是灾难性的在多个层面上(高风险)。

那么我们如何降低风险工业资产?通过保障措施或对策。维护或对策是任何删除或减少脆弱性和保护对一个或多个特定的威胁。

例如,一个简单的物理保护或对策保护工业资产背后的锁着的门,只有验证,验证,和可审计的运营商。

更新软件和固件工业资产的风险降到最低工业资产保障措施和对策有多种形式:

大多数现有的工业资产不是设计为连接到互联网。然而,当他们被连接到网络,构建工业物联网,这些资产变得越来越容易受到的威胁和利用IT部门已经处理了几十年。

不幸的是,大多数工业资产航运今天没有设计时考虑到网络安全。

利用它对工业网络安全解决方案 IT部门处理网络安全很长时间了。事实上,如果你正在寻找一些有趣的历史在黑客,你可以浏览alt.2600新闻集团会回到拨号的日子。

我的观点是,制造商必须学习历史是它在网络安全空间。制造商需要将信息安全技术和方法应用于工业资产作为其开发周期的一部分。

鉴于工业的长期预期生命周期assets-twenty三十年或者在某些情况下,它是至关重要的,网络安全设计为工业资产从地上起来,准备尽可能不会过时。

当我们获得新的自动化和过程控制技术,无论是硬件还是软件,我们的一个最高优先级应该是风险评估和网络安全。如果我们不评价工业资产保障措施和对策在供应商评估和资格,我们将支付成本的形式解决潜在威胁和利用资产的整个生命周期。

换句话说,99美元showbox PLC)可能是一个廉价的解决方案,远程SCADA网站。直到它被攻击者使用一个基本的网络分析工具来捕获你的PLC的密码,通过网络在明文发送,因为低成本公司没有马力危机所需的数字现代加密和身份验证。怎么老说去,买便宜的,买两次吗?