2021年9月15日 星期三

‧ 工業安全系統透明度的重要性

 

Security Shouldn’t be a Secret. Why Transparency Matters

安全不應該是秘密,所以 為什麼透明度很重要!

IDVIEW 不只是縮時攝影


FORCE TECHNOLOGY


網路安全要求對於在訪問存取控制、軟體更新和監控方面,為你的工業管理系統非常非常,非常重要。這裡有一些要考慮的事情。

作者:Jeppe Pilgaard Bjerre,FORCE Technology

不能低估網路安全,在行業和關鍵基礎設施中的重要性。無論是小型生產工廠的 PLC,還是發電廠的控制中心,如果它們不再按預期工作,都會產生重大後果。

同樣,網
安全是電子產品的一個方面,在為新模組和安裝制訂要求規範時,必須考慮到這一點。與為感測器和執行器的連接方式,設定基本功能要求一樣,還必須在訪問控制、軟體更新和監控方面設定網安全要求。

隨著系統變得更加自動化,不同品牌和類型的設備之間的數位通信程度也會更高。在這裡,你必須概覽和洞察,哪些設備支持哪些安全機制。

簡而言之,必須針對產品在各自環境中,將受到的環境影響設定要求 —— 正如開發人員和客戶,已經在熱機械和 EMC 影響方面所做的那樣。

統一方法

例如,如果要評估產品,是否可以可靠地用於工業安裝,必須檢查它是否符合 ISO/IEC61000-6-2 標準。同樣的方法可用於檢查網安全。

現在有一些適用於工業系統的網
安全標準,例如 ISO/IEC62443 或 UL2900。這些標準對產品中,必須存在的風險管理機制提出了具體要求。例如,如果設置了管理員/密碼,作為登錄或用戶控制的要求,使得普通用戶無法更改任務關鍵參數,則可能要求產品必須不能投入運行。
Cyber​​sikkerhed industrielle sikkerhedssystemer

使用一個或多個標準,來為的安裝中包含的產品設置要求,從而也將引起對不符合這些要求的任何產品的注意,從而可以評估任何風險,並發現潛在問題。

簡而言之,它是關於在
使用的產品中,圍繞網路安全創建透明度。例如,如果使用 ISO/IEC62443 作為參考,很容易向供應商指出他們的產品必須滿足哪些要求,從而減少產品何時「足夠安全」的問題。

安全流程

然而,僅僅規定產品應該具備的功能安全機制是不夠的。我們還需要透,來持續確保產品安全,從而了解我們如何處理此類產品的安全性問題,例如,在製造商決定停止支持系統時,安裝來自製造商的軟體更新或更換組件。 

在這裡,
可以受益於 ISO/IEC62443-2-3,它同時滿足設備製造商和買家的需求。除其他事項外,該標準描述了如何通知製造商(開發和測試)和買家的新軟更新和相關實施流程。

對開發軟
更新很重要的工具之一,是檢測現有產品中的漏洞。在這裡,製造商擁有一個清晰的溝通館道,來報告公司外部人員檢測到的漏洞可能是一個優勢。

通信通道可以以這樣一種方式實現,即發送的數據保持加密。作為報告漏洞的激勵措施,可以向發現安全漏洞的人提供「漏洞賞金」(一種獎勵形式)。



人類的挑戰

網路安全挑戰的很大一部分,與使用和使用底層系統的人員有關。近年來發生的許多嚴重的網攻擊,都是由於人為錯誤造成的。例如,2015 年對烏克蘭電網的攻擊,始於魚叉式網釣魚攻擊,其中一名員工被電子郵件誘騙。

人類方面的挑戰在於,改變人類行為遠比修改軟體中的代碼困難得多。因此,有必要激發一種公開討論 IT 安全,並讓員工在日常生活中關注 IT 安全的公司文化。它可以是有關密碼和內部文件處理的適當程序,並且員工可以發現網
釣魚電子郵件,並知道如果他們懷疑存在安全問題該怎麼辦。

處理人為方面的一種方法,可能是使用 ISO27001 或 IASME。這些標準可以在安全流程,實際實施和維護
過程中,為公司提供幫助,例如如何處理解僱員工,以及如何以負責任的方式進行風險管理。

網路安全是一項共同任務

為了提高安全級別,必須了解這是一項必須共同完成的任務 - 不僅在公共和私營部門之間,而且在公司之間。

重要的是,我們就持續的攻擊向彼此發出警告,並相互分享我們的知識和經驗。在這方面相互競爭是沒有用的,因為我們所接觸的系統滿足合理的最低安全性符合社會利益。尤其是在關鍵基礎設施方面:如果發電廠或水廠受到網絡攻擊,其他人應該意識到這一點,以便他們可以調查他們是否也受到攻擊。

很明顯,公眾不需要獲得有關關鍵基礎設施的資訊。但是,在這裡應該仍然可以在機密論壇中,與其他人在同一條船上討論挑戰和問題。

公眾的作用

網路安全是一個應該引起公眾關注的問題。我們只需要解決安裝在醫院、發電廠和我們社會所依賴的其他機構周圍的技術中存在的挑戰。就像我們確保擁有備用電源裝置和機制,來處理電網中斷一樣,我們還應該努力確保,我們社會所依賴的數位部分的安全。

丹麥是世界上數
化程度最高的國家之一,我們可以為此感到自豪,但這也意味著我們需要在網安全方面負責任的文化。我們需要兼顧個人數據的管理和行業的營要素,例如 SCADA 系統、變頻器等。在這裡,能夠借鑒 IT 領域的經驗非常重要,因為有大量知識相互重疊。


業界和公眾都關注這個話題,這符合每個人的利益。
安全不是很多人在日常生活中想到的話題,但儘管如此,人們必須應對的文化正在建立。

例如,當 Internet 連接被加密時,瀏覽器中出現的綠色掛鎖。當人們看到掛鎖時,他們認為 Internet 連接是安全的,因此可以安全地發送機密資訊。但如果情況不再如此,則必須向公眾展示。因此,這引發了關於誰,應該對這種公共教育負責和支付費用的討論。不過,這很可能是丹麥政府民選代表的討論。



按此回今日3S Market新聞首頁

沒有留言:

張貼留言