Binlerce ve binlerce bileşen çağdaş araçlar montajına giriyor. Herhangi bir orijinal ekipman üreticisinin (OEM) tüm bu bileşenleri kendileri üretmesi imkansızdır. Tüm bu parçalar için tam zamanında teslimat ve özelleştirme talebi, büyük, alışılmadık bir şekilde entegre bir tedarik zinciri yarattı.
Bir tedarikçi bile siber güvenlik ihlali yaşarsa, etki otomotiv endüstrisi için katlanarak zarar verebilir. Bitki kesinti süreleri haftaları sadece bu tedarikçi için büyük üretim kayıplarına neden olmakla kalmaz, aynı zamanda üretim ve tedarikçi ilişkilerini zincirden daha da etkileyen bir dalgalanma etkisi yaratır. Bahsetmemek gerekirse, tüm tedarik zinciri yıkıcı bir siber saldırıya maruz kalabilir. En önemlisi, insan güvenliğini tehlikeye atma potansiyelidir.
Ne yazık ki, otomotiv tedarik zincirinin üretim sürecinde daha yaygın olan operasyonel teknoloji (OT) siber güvenliklerinde boşluklar var. Bitkilerde giderek daha fazla yenilikçi ve güçlü sistemlerin ve araçların kendilerinin karşısında ve ötesinde daha fazla bağlantı, boşlukları genişletiyor.
Tesis ve güvenlik yöneticileri genellikle saatlerinde var olan güvenlik açıklarını keşfetmek için sersemletilir. Boşlukların kapatılmasında ve tedarik zinciri tehditlerinden korunmada kesin ve hızlı bir ilerleme kaydetmek için hangi eyleme geçirilebilir adımlar atabilirler?
Otomotiv üreticileri sadece siber güvenlik etkinliklerine veya yollarına çıkan yeni düzenlemelere duyarlı olmayı göze alamazlar. Kesintisiz operasyonları ve gelirleri sağlamak için ileriye doğru proaktif ve pratik bir yaklaşıma ihtiyaçları vardır.
Şaşırtıcı derecede yaygın güvenlik boşlukları
Tedarik zincirindeki çoğu şirket için OT ortamları karmaşık ve dokunulmazdır, “kırılmazsa, düzeltmeyin. Günümüz otomotiv tesislerinin çoğu, çok farklı yaşlar, işletim sistemleri (OSS) ve yetenekleri olan çeşitli donanım ve yazılım sistemleri içerir.
Örneğin, bitkilere kurulan robotik teknolojilerin bazıları, küresel olarak herhangi bir imalat sektöründe bulunan en modern ve yenilikçi endüstriyel kontrol sistemleri (ICSS) arasındadır. Farklı yama ve ürün yazılımı seviyeleri gerektiren yeni OSS’ye güveniyorlar.
Aynı tesisteki bir sonraki üretim hattına adım atın ve onlarca yıllık varlıkları bulmak yaygındır. Böyle bir eski sistemi üretim süreci için kritik olsa da, hala satıcısı tarafından güncellenmeyen veya yamalı olmayan eski bir işletim sistemi çalıştırıyor olabilir.
Otomotiv tedarik zincirinin üretim sürecindeki OT bakımı ve siber güvenlik sorumluluğu genellikle geleneksel bilgi teknolojisi (BT) ağına veya işletim sistemi desteğine düşer. Sonuç olarak, çoğu zaman tam anlamıyla kimsenin zemindeki OT ağına takılmasından doğrudan sorumlu olan kimse yoktur. Dahası, farklı dünyalar arasında güçlü bir ilişki olmadığından, çok az OT bilgisi uzmanlığın BT tarafında bulunur veya tam tersidir.
Otomotiv üreticisi genellikle hem BT hem de OT ağlarının güvence altına alındığı tehlikeli yanlış algılama altındadır – aslında, şirket kendi OT süreçlerini korumak için neredeyse görünürlüğe sahip değildir, bağlı satıcılarının ve ortaklarının çok daha azı. Gerçekten de, genellikle siber saldırganların otomotiv endüstrisinde hedeflediği bir OEM’in Tier 1 ve Tier 2 tedarikçileridir.
Kontrolü ele geçirmek için eyleme geçirilebilir adımlar
Bir otomotiv üreticisi OT peyzajında nasıl görünürlük kazanabilir ve pratik ve etkili süreçler koymaya başlayabilir? İyi haber şu ki, önümüzdeki aylarda ve yıllar içinde karşılaşacakları gelişen zorlukların önüne geçmek için kısa sürede yapılabilecek temel adımlar var:
- Bitki zemini yürüyün ve dolapları açın-ilk adım genellikle en göz açıcıdır. Tesis personeli ve destek satıcıları, uzaktan erişim noktaları da dahil olmak üzere bir sistemi yükseltmek, çalıştırmak ve bağlı olmak için yapmaları gerekenleri yapacaktır. Çoğu zaman, bu sürecin ardından, üreticinin ağına geride bırakılan geniş açık, güvenli olmayan internet bağlantıları vardır.
- Kıyı yukarı ve kilitleyin – mevcut ekipmanın varlık yaşam döngüsü boyunca bakım rutini etrafında sağlam bir güvenlik uygulaması benimsemek ve güvenli dosya aktarımı için güvenli mekanizmalar olduğundan emin olmak çok önemlidir. Uzaktan erişime sahip olmadıklarında, satıcılar genellikle ekipmanlarına kod veya yazılım yamaları yüklemek için güvenli olmayan USB çubukları getirir. Sıkma çevre güvenliği ve gerektiğinde OT uç noktalarını kilitlemek önemli bir ikinci adımdır.
- En savunmasız ve anlamlı boşluklara öncelik verin – otomotiv tedarik zincirindeki OT ağları tipik olarak düzdür. Bir sisteme siber saldırı genellikle tedarikçi ve ortak ağındaki diğer bitkileri ve sistemleri etkileyebilir. Otomotiv üreticileri, çeşitli tehditlerin potansiyel zararını değerlendirmelidir – Makine X aşağı inerse veya y işlemi başarısız olursa, aşağı doğru bir döngü riski nedir? Tedarik zinciri.
Soru, otomotiv üretiminde siber güvenliğin güçlendirilmesinin gerekli olup olmadığı değil – daha, nasıl ve nerede başlayacağınız. Tesis ve güvenlik yöneticileri, karşılaştığı açık zorlukların karmaşıklığı ve kapsamı ile uyuşmayacak ve ellerini zorlamak için yeni olaylar veya düzenlemeler bekleyemezler. Bugün başlamak için bugün atılacak pratik, düşük riskli adımlar vardır ve otomotiv üreticilerinin OT siber güvenliklerine yapılan bir yatırımda değeri çok hızlı bir şekilde gerçekleştirmelerini sağlayabilirler.
Yazar hakkında
Teknik Direktör, Txone Networks’teki Americas olarak Austen Byers, şirketin tasarım, mimari ve mühendislik teknik yönü ve liderliği sağlama çabalarına öncülük ediyor.
Austen, siber güvenlik alanında 10 yıldan fazla olan operasyonel teknoloji (OT) siber güvenlik alanında aranan bir düşünce lideridir. Endüstriyel siber güvenliğin durumu, OT ihlallerinin karmaşıklıkları hakkında bilgi vermek ve kuruluşların varlıklarını ve ortamlarını güvende tutmalarına yardımcı olacak stratejiler sağlamak için bir konu uzmanı olarak çok sayıda endüstri etkinliğinde konuştu.
Austen’e ulaşılabilir [email protected] ve https://www.txone.com/.