Security Shouldn’t be a Secret. Why Transparency Matters
安全不應該是秘密,所以 為什麼透明度很重要!
IDVIEW 不只是縮時攝影 |
網路安全要求對於在訪問存取控制、軟體更新和監控方面,為你的工業管理系統非常非常,非常重要。這裡有一些要考慮的事情。
不能低估網路安全,在行業和關鍵基礎設施中的重要性。無論是小型生產工廠的 PLC,還是發電廠的控制中心,如果它們不再按預期工作,都會產生重大後果。
同樣,網路安全是電子產品的一個方面,在為新模組和安裝制訂要求規範時,必須考慮到這一點。與為感測器和執行器的連接方式,設定基本功能要求一樣,還必須在訪問控制、軟體更新和監控方面設定網路安全要求。
隨著系統變得更加自動化,不同品牌和類型的設備之間的數位通信程度也會更高。在這裡,你必須概覽和洞察,哪些設備支持哪些安全機制。
簡而言之,必須針對產品在各自環境中,將受到的環境影響設定要求 —— 正如開發人員和客戶,已經在熱機械和 EMC 影響方面所做的那樣。
統一方法
例如,如果你要評估產品,是否可以可靠地用於工業安裝,你必須檢查它是否符合 ISO/IEC61000-6-2 標準。同樣的方法可用於檢查網路安全。現在有一些適用於工業系統的網路安全標準,例如 ISO/IEC62443 或 UL2900。這些標準對產品中,必須存在的風險管理機制提出了具體要求。例如,如果設置了管理員/密碼,作為登錄或用戶控制的要求,使得普通用戶無法更改任務關鍵參數,則可能要求產品必須不能投入運行。
使用一個或多個標準,來為你的安裝中包含的產品設置要求,從而也將引起對不符合這些要求的任何產品的注意,從而可以評估任何風險,並發現潛在問題。
簡而言之,它是關於在你使用的產品中,圍繞網路安全創建透明度。例如,如果你使用 ISO/IEC62443 作為參考,很容易向供應商指出他們的產品必須滿足哪些要求,從而減少產品何時「足夠安全」的問題。
安全流程
然而,僅僅規定產品應該具備的功能安全機制是不夠的。我們還需要透,來持續確保產品安全,從而了解我們如何處理此類產品的安全性問題,例如,在製造商決定停止支持系統時,安裝來自製造商的軟體更新或更換組件。在這裡,你可以受益於 ISO/IEC62443-2-3,它同時滿足設備製造商和買家的需求。除其他事項外,該標準描述了如何通知製造商(開發和測試)和買家的新軟體更新和相關實施流程。
對開發軟體更新很重要的工具之一,是檢測現有產品中的漏洞。在這裡,製造商擁有一個清晰的溝通館道,來報告公司外部人員檢測到的漏洞可能是一個優勢。
通信通道可以以這樣一種方式實現,即發送的數據保持加密。作為報告漏洞的激勵措施,可以向發現安全漏洞的人提供「漏洞賞金」(一種獎勵形式)。
人類的挑戰
網路安全挑戰的很大一部分,與使用和使用底層系統的人員有關。近年來發生的許多嚴重的網路攻擊,都是由於人為錯誤造成的。例如,2015 年對烏克蘭電網的攻擊,始於魚叉式網路釣魚攻擊,其中一名員工被電子郵件誘騙。人類方面的挑戰在於,改變人類行為遠比修改軟體中的代碼困難得多。因此,有必要激發一種公開討論 IT 安全,並讓員工在日常生活中關注 IT 安全的公司文化。它可以是有關密碼和內部文件處理的適當程序,並且員工可以發現網路釣魚電子郵件,並知道如果他們懷疑存在安全問題該怎麼辦。
處理人為方面的一種方法,可能是使用 ISO27001 或 IASME。這些標準可以在安全流程,實際實施和維護的過程中,為公司提供幫助,例如如何處理解僱員工,以及如何以負責任的方式進行風險管理。
網路安全是一項共同任務
為了提高安全級別,必須了解這是一項必須共同完成的任務 - 不僅在公共和私營部門之間,而且在公司之間。重要的是,我們就持續的攻擊向彼此發出警告,並相互分享我們的知識和經驗。在這方面相互競爭是沒有用的,因為我們所接觸的系統滿足合理的最低安全性符合社會利益。尤其是在關鍵基礎設施方面:如果發電廠或水廠受到網絡攻擊,其他人應該意識到這一點,以便他們可以調查他們是否也受到攻擊。
很明顯,公眾不需要獲得有關關鍵基礎設施的資訊。但是,在這裡應該仍然可以在機密論壇中,與其他人在同一條船上討論挑戰和問題。
公眾的作用
網路安全是一個應該引起公眾關注的問題。我們只需要解決安裝在醫院、發電廠和我們社會所依賴的其他機構周圍的技術中存在的挑戰。就像我們確保擁有備用電源裝置和機制,來處理電網中斷一樣,我們還應該努力確保,我們社會所依賴的數位部分的安全。
丹麥是世界上數位化程度最高的國家之一,我們可以為此感到自豪,但這也意味著我們需要在網路安全方面負責任的文化。我們需要兼顧個人數據的管理和行業的營運要素,例如 SCADA 系統、變頻器等。在這裡,能夠借鑒 IT 領域的經驗非常重要,因為有大量知識相互重疊。
業界和公眾都關注這個話題,這符合每個人的利益。網路安全不是很多人在日常生活中想到的話題,但儘管如此,人們必須應對的文化正在建立。
例如,當 Internet 連接被加密時,瀏覽器中出現的綠色掛鎖。當人們看到掛鎖時,他們認為 Internet 連接是安全的,因此可以安全地發送機密資訊。但如果情況不再如此,則必須向公眾展示。因此,這引發了關於誰,應該對這種公共教育負責和支付費用的討論。不過,這很可能是丹麥政府民選代表的討論。
沒有留言:
張貼留言