在数字时代,物联网(IOT)是企业保持竞争力和盈利能力不可否认的现实。大多数工业公司将物联网视为数字化运营以提高效率和盈利能力的主要驱动力。然而,与智能手表等消费物联网产品不同,要大规模采用工业物联网,公司必须大力投资改造其设备、基础设施、人员和流程。由于物联网系统与物理环境相互作用,因此它们也具有更高的相关风险。更多的网络威胁是连接和软件技术的另一面。固有的软件缺陷、意外错误和对物理系统的恶意远程访问可能会对人员、设备和环境造成损害。有多份关于网络犯罪分子使用远程访问和鱼叉式网络钓鱼电子邮件破坏关键基础设施的报告。纽约州一座灌溉大坝的指挥和控制系统遭到黑客攻击,以及乌克兰电网上由BlackEnergy恶意软件造成的停电是两个著名的例子。根据美国证券交易委员会10Q报告和欧洲财报,2017年因工业感染造成的损失高达10亿美元。以下摘录强调了工业网络安全威胁的严重性。“工业物联网(IIOT)中安全漏洞的后果远比传统IT部署的危害严重。如果IIoT系统遭到黑客攻击,除了通常的IT后果(例如声誉受损和经济损失)外,还可能造成人员伤亡和/或环境破坏。”——《实用工业物联网安全》为确保物联网投资安全,必须保持警惕,董事会会议延伸至厂区。接下来让我们讨论一些实现这一目标的实用方法。物联网安全比网络安全更棘手任何工业物联网解决方案都涉及技术复杂性、多个供应商和特定领域的行为。这使得物联网威胁形势和缓解措施都非常棘手。传统的网络安全主要是保护软件程序和数据在存储和传输过程中不被恶意访问。物联网安全更进了一步。除了数据隐私之外,系统还必须能够安全可靠地从攻击中恢复。(来源物联网家庭网)例如,如果自动驾驶汽车的控制软件在汽车以每小时100公里的速度行驶时发生故障,汽车应该能够迅速做出反应,避免发生致命事故。因此,物联网安全必须在多个层面进行协调,需要开发者、运营商和管理人员共同努力,以确保物联网设备、计算平台、通信和过程的安全。在《实用工业物联网安全》一书中,讨论了一种四层方法来剖析和简化生命周期各个阶段的安全管理。这四个层是:身份和访问管理端点和嵌入式软件通信和连接云平台和应用程序做好准备在软件定义的互联世界中,安全性不仅仅是猜测和预防攻击,还涉及如果受到攻击会发生什么,其后果可能平静地撤消。制定了安全计划来保护相关资产的企业在降低资产和负债风险方面表现更好。“除了数据可用性、隐私和完整性之外,IIoT安全程序还必须确保在因意外错误配置或自然灾害而受到外部或内部攻击时的弹性和可靠性。”—《实用工业物联网安全》制定涵盖信息技术(IT)和运营技术(OT)的安全计划对于大多数采用物联网的传统组织来说是一个新概念。但是,制定安全计划是保护其物联网投资的关键步骤之一。物联网安全计划包括主动和被动安全措施,包括:风险评估、策略定义、合规性、安全监控、事件管理和审计。使其实用“实用的安全治理模型必须能够针对特定业务用例调整安全强度,以确保信任和合规性。”-《实用工业物联网安全》安全涉及成本,它也增加了复杂性,并且需要正常操作增加额外的处理周期。市场上有大量物联网安全产品可供选择,但它们的实施和使用往往并不简单。此外,在快速发展的数字经济中,创新和上市时间通常比安全性和可靠性更重要。在物联网解决方案的设计、开发、部署和运营阶段,这些因素可能会导致人们对“保护多少”感到困惑。保护一切是不现实的,而且往往是不可能的。它必须与用例的独特风险特征一致。每个物联网用例都有其独特的技术和业务需求,以及独特的安全态势和攻击面。例如,保护智慧城市用例的步骤将与智能农业大不相同。通过将四层安全方法与适当的风险评估相结合,组织可以通过定义实用方法和可实现的安全目标来“微调”他们的安全程序。如果执行得当,保护工业物联网用例不一定是一场噩梦。这是确保您的业务数字化转型以提高效率的必经之路。
