然而,与消费者物联网产品(如智能手表)不同,要大规模采用工业物联网,企业必须投入大量资金来改造其设备、基础设施、人员和流程。由于物联网系统与物理环境相互作用,因此它们的相关风险也更高。
更多的网络威胁是连接性和软件技术的另一面。固有的软件缺陷、意外错误和对物理系统的恶意远程访问会对人员、设备和环境造成损害。
已经有几份报告称,网络犯罪分子利用远程访问和鱼叉式网络钓鱼电子邮件入侵关键基础设施。纽约州灌溉大坝指挥和控制系统的黑客入侵,以及乌克兰电网中BlackEnergy恶意软件引起的停电就是两个显著例子。
根据美国证券交易委员会10Q报告和欧洲财务报告显示,2017年由于工业感染造成的损失高达10亿美元。
以下摘录突出了工业网络安全威胁的严重性。
“工业物联网(IIOT)安全漏洞的后果比传统IT部署的危害要严重得多。在工业物联网系统遭到黑客攻击的情况下,除了常见的IT后果(例如声誉损失和财务损失)之外,还可能会造成生命损失和/或环境破坏。”
——《实用工业物联网安全》 |
为了确保物联网投资安全无忧,必须保持足够的警惕,并将董事会会议延伸到工厂车间。接下来让我们讨论一些实现此目标的实用方法。
物联网安全比网络安全更棘手
任何工业物联网解决方案都涉及技术复杂性、多个供应商和特定领域的行为。这使得物联网威胁形势和缓解措施都相当棘手。
传统的网络安全主要是保护软件程序和数据在存储和传输过程中免受恶意访问。而物联网安全则更进一步,除了数据隐私之外,系统还必须能够安全可靠地从攻击中恢复。(来源物联之家网)例如,如果无人驾驶汽车的控制软件在汽车以每小时100公里的速度行驶时崩溃,汽车应该能够从容地做出快速反应以避免致命事故。
因此,物联网安全必须在多个层面进行协调,这需要开发人员、运营商和管理层做出贡献,以确保物联网设备、计算平台、通信和流程的安全。
在《实用工业物联网安全》一书中,讨论了一种四层方法来剖析和简化生命周期各个阶段的安全管理。这四个层次是:
- 身份和访问管理
- 端点和嵌入式软件
- 通信和连接
- 云平台与应用
做好准备
在软件定义的连网世界中,安全性不仅仅在于推测和阻止攻击,它还涉及到如果发生攻击,可以从容地消除后果。制定安全计划以保护其关联资产的企业在降低资产和负债风险方面表现得更好。
“除了数据可用性、隐私性和完整性之外,工业物联网安全计划还必须确保在发生攻击时的恢复能力和可靠性,这些攻击可能来自外部或内部,也可能是由于意外的错误配置或自然灾害造成。”
——《实用工业物联网安全》 |
对于大多数采用物联网的传统组织来说,制定一个包含信息技术(IT)和运营技术(OT)的安全计划是一个新概念。然而,制定安全计划是保护其物联网投资的关键步骤之一。物联网安全计划包括主动和被动安全措施,其中包括:风险评估、策略定义、法规遵从性、安全监控、事件管理和审计。
使之实用
“一个实用的安全治理模型必须能够为特定业务用例调整安全性的强弱,以确保信任和合规性。”
——《实用工业物联网安全》 |
安全涉及成本,它还增加了复杂性,并要求常规操作增加额外的处理周期。市场上有太多的物联网安全产品可供选择,但它们的实现和用法通常并不简单。此外,在快速发展的数字经济中,创新和产品上市时间往往要优先于安全性和可靠性。
在物联网解决方案的设计、开发、部署和运营阶段,这些因素会导致围绕“保护多少”的困惑。保护一切都是不现实的,而且往往无法实现。它必须与用例的独特风险特征保持一致。
每个物联网用例都有其独特的技术和业务需求,以及独特的安全态势和攻击面。例如,保护智慧城市用例的步骤将与智慧农业大不相同。
通过将四层安全方法与适当的风险评估相结合,企业可以通过定义实用的方法和可实现的安全目标来“调整”其安全计划。
如果执行得当,保护工业物联网用例不必成为噩梦。这是确保企业数字化转型以提高效率的必胜之道。