Net güvenlik röportajında bu yardımda, Jungheinrich’teki Ciso Dr. Tim Sattler, akıllı depolara ve endüstriyel kontrol sistemlerine bağlı siber güvenlik risklerini tartışıyor. Her zaman açık ortamlarda gerçek siber esneklik oluştururken operasyonel sürekliliğin nasıl korunacağını açıklıyor.
Dr. Sattler ayrıca üçüncü taraf ortaklarla çalışmak ve bir sonraki otomasyon dalgasına hazırlanmak için pratik stratejiler paylaşıyor.
Akıllı depo sistemlerinden ve endüstriyel kontrol sistemlerinden hangi benzersiz siber güvenlik zorlukları ortaya çıkıyor?
Akıllı depolar, programlanabilir mantık kontrolörlerinden (PLC’ler) ve depo yönetim sistemlerinden özerk mobil robotlara ve IoT özellikli forkliftlere kadar bir dizi teknolojiyi içerir. Bu yenilikler verim ve verimliliği optimize ederken, saldırı yüzeyini önemli ölçüde genişletirler.
Endüstriyel kontrol sistemleri (IC’ler) geleneksel olarak güvenlik ve güvenilirlik göz önünde bulundurularak tasarlanmıştır. Birçoğu hala şifreleme veya kimlik doğrulaması olmadan eski protokollere güveniyor. İzleme, uzaktan bakım veya ERP sistemleriyle entegrasyon için bağlantının uygulanması karmaşıklık ve risk katmanları ekler. ICS ortamları da gecikmeye karşı son derece duyarlıdır, bu nedenle geleneksel güvenlik kontrollerinin veya sık yamaların uygulanması istenmeyen sonuçlara neden olabilir.
Ayrıca, her ikisi de tarihsel olarak izole işlev gören BT ve OT’nin (operasyonel teknoloji) dikkate değer bir yakınsaması olmuştur. Bu yakınsama önemli bir zorluk oluşturmaktadır. Bağlı bir sistemdeki bir güvenlik açığı – örneğin, yanlış yapılandırılmış bir WMS veya eşleştirilmemiş bir forklift telemetri ünitesi – saldırganlar için bir pivot noktası haline gelebilir. Etkili savunmalar oluşturmak için bu karşılıklı bağımlılıkları anlamak çok önemlidir.
CISOS, arıza süresini karşılayamayan ortamlarda siber güvenlik ile operasyonel sürekliliği nasıl dengeleyebilir? 7/24 operasyonel talepleri olan bir şirket için siber esneklik ne anlama geliyor?
Bir depoda küçük aksamalar bile tüm tedarik zincirinde önemli vuruş etkileri olabilir. Siber esnekliğin çevre savunmasından daha fazlasını kapsadığını belirtmek önemlidir. Bir siber olay sırasında ve sonrasında temel işlevleri koruma yeteneğidir.
Süreklilik ve güvenlik arasında doğru dengeyi elde etmek, mimari planlama aşamasında alınan kararlarla başlar. Kritik OT ortamlarının segmentine, katı erişim kontrollerinin uygulanması ve arıza muhafazası için tasarlanmanın hepsi önemlidir. Endüstriyel ortamlar için tasarlanmış gerçek zamanlı izlemeye yatırım yapmak da çok önemlidir. Bu tür araçlar, performanstan ödün vermeden anormallikleri tespit edebilmelidir.
Bir saldırının önlenmesinin yeterli olmadığını anlamak da önemlidir; Operasyonları hızla geri yükleme yeteneği eşit derecede önemlidir. Bu, yapılandırmaların çevrimdışı yedeklemelerini, test edilmiş olay tepkileri oyun kitaplarını ve operasyon ekipleriyle birlikte geliştirilen tanımlanmış yük devretme süreçlerini içerir.
Ayrıca, siber esnekliği depo ortamının ötesinde düşünmek önemlidir. Bakım iş akışları ve kritik parçaların zamanında teslim edilmesi güvenli dijital iletişim ve sistem kullanılabilirliğine de bağlıdır. Meydan okumayı tehlikeye atan bir sistem, onarımları geciktirme, birikmiş işler oluşturma ve operasyonel riski tahtada artırma potansiyeline sahiptir.
Mühendisler ve tesis operatörleri arasında ilk güvenlik kültürü oluşturma stratejiniz nedir?
Güvenlik, tüm iş operasyonlarının ayrılmaz bir parçası olmalıdır. Bu, özellikle sistemlere en yakın çalışan personelin her zaman BT profesyonelleri olmadığı endüstriyel ortamlarda önemlidir. Buyları elde etmek için, güvenlik önlemlerinin hedeflerini engellemediğini, daha ziyade destekleyemeyeceğini anlayabilecekleri ve gösterebilecekleri şekilde iletişim kurmak esastır.
Düzenli farkındalık kampanyaları yürütüyoruz, ancak genel mesajlaşmadan kaçınıyoruz. Operatörlerin, örneğin e -posta şifrelemesine aşina olmaları gerekmez; Ancak, şüpheli bir USB cihazını tanıyabilmelidirler. Güvenlik farkındalık içeriğimiz, modüler olarak tasarlanmış, küçük birimlerde kolayca sindirilebilir ve ShopFloor’un operasyonel bağlamına göre tasarlanmıştır. İster bir vardiya brifing veya 3 dakikalık bir eğitim modülü olsun, eğitim içeriğimizi her çalışma ortamının benzersiz ihtiyaçlarına uyacak şekilde uyarlamaya kararlıyız.
Son olarak, güvenli davranışı ödüllendiriyoruz. Bir operatörün bir olayı veya yakın kaçırma bildirmesi durumunda, tanınacak ve kınanmayacaktır. Pozitif takviyenin daha etkili bir yaklaşım olduğu gösterilmiştir.
Üçüncü taraf lojistik (3PL) ortakları ve tedarikçileri tarafından ortaya çıkan siber güvenlik risklerini nasıl değerlendirir ve yönetirsiniz?
Tedarik zinciri riski, endüstriyel siber güvenliğin en karmaşık yönlerinden biridir.
Ortakları katmanlı bir tedarikçi risk programı ile yönetiyoruz. Tüm tedarikçiler, kritiklik seviyelerine göre bir güvenlik değerlendirmesine tabi tutulurlar. Uzaktan erişime sahip olanlar gibi yüksek riskli ortaklar için, olayları ve verilerin işlenmesi için gereksinimleri rapor etme yükümlülükleri de dahil olmak üzere net siber güvenlik hükümlerini içermesi için sözleşmelere ihtiyacımız var.
Ayrıca masa üstü egzersizlerimizde üçüncü taraflardan kaynaklanan saldırıları içeren senaryolar da ekliyoruz. Bu, zayıf bağlantıları tanımlamamıza yardımcı olur.
Ayrıca, güvenliğin ortak bir sorumluluk olduğunu kabul ediyoruz. Uygun olduğunda en iyi uygulama önerilerini sunarak ortaklarımızı güvenlik duruşlarını iyileştirmelerini aktif olarak destekliyoruz.
Endüstriyel CISOS, otomasyon ve robotik gelişmeye devam ettikçe güvenlik yatırımlarını nasıl geliştirebilir?
Nihayetinde, endüstriyel ortamlarda siber güvenlik, ilerlemeyi mümkün kılarak riski akıllıca yönetmekle ilgilidir.
Önde kalmak için Cisos aşağıdaki dört prensipe odaklanmalıdır:
- Modülerlik: Sıfır tröst ağ segmentasyonu veya kapsayıcı uygulama ortamları gibi gelişebilen güvenlik mimarisine yatırım yapın.
- Görünürlük: BT izleme ile entegre olan OT görünürlük araçlarına yatırım yapın ve alanlarda kök neden analizini destekleyin.
- Ortaklık: Güvenliği inovasyonun en erken aşamalarına dahil etmek için Ar -Ge, ürün güvenliği ve satıcı ortaklarıyla yakın çalışın. Tasarım gereği güvenlik sadece bir slogandan daha fazlası olmalıdır.
- Yetenek: Hem siber güvenlik hem de endüstri mühendisliği konusunda uzmanlığa sahip hibrit ekipler oluşturun. Gelecekten korunma sadece araçlarla ilgili değildir; Bu alanlarda düşünebilen insanlar hakkında.