Comment les fabricants peuvent protéger contre les cyber attaques

Par Jonathan Wilkins de European Automation basé à Stafford

Dans 2014, le nombre total d'incidents de cyber-sécurité détectés s'est élevé à 42.8 millions selon l'enquête mondiale sur la sécurité de l'information 2015 de PWC, que vous pouvez trouver sur http://goo.gl/MZR3zg. Pour ceux d'entre vous qui n'ont pas fait le calcul, il s'agit d'attaques 117,339 par jour, chaque jour. Et ce ne sont que les grèves qui ont été détectées et rapportées.

European Automation Johnatan WilkinsPour comprendre l'ampleur des menaces actuelles, l'entreprise antivirus Kaspersky a créé une carte interactive. Il décrit le nombre et le type de cybermenaces en temps réel. Si vous lisez ce livre blanc en ligne, je suis sûr que vous serez d'accord pour dire qu'il est presque hypnotique. Si vous lisez hors ligne, je vous recommande de visiter http://cybermap.kaspersky.com.

Mais la carte est aussi incroyablement inquiétante. Le nombre total -de attaques de sécurité détectés a augmenté de 48 pour cent par rapport à 2013 2014 et il ya peu de preuves pour suggérer que ce pourcentage diminuera en 2015. Malgré ces chiffres, il semble que les programmes de sécurité de l'information ont effectivement affaibli, en raison principalement de la naïveté et de l'insuffisance des investissements.

Dans le seul secteur industriel, les entreprises ont signalé une 17 pour cent d'augmentation du nombre d'incidents de sécurité détectés dans 2014. Les coûts financiers résultant augmenté de 34%, tandis que la recherche de Barclays suggère que près de 50% des entreprises qui souffrent d'une négociation de cessez-attaque de cyber-sécurité.

Ce rapport spécial analyse la menace croissante mondiale de cyber et souligne la valeur de la mise en œuvre d'une stratégie de sécurité de l'entreprise axée pour assurer le bien-être des employés et des systèmes industriels automatisés.

Qui l'a fait?

L'année 2014 en vedette certains des plus grands manquements de piratage et de la cyber-sécurité de la décennie. Il semble que personne était en sécurité, pas même les plus grands acteurs de l'entreprise. eBay, Sony Pictures Entertainment, Apple et Sony Playstation, étaient toutes les victimes de cyber-attaques sous une forme ou une autre.

Fait intéressant, il y a une chose que la plupart des menaces de sécurité ont en commun et c'est la source. Les résultats de l'enquête de PWC montrent que 34.55 pour cent des entreprises interrogées, ont rapporté que les attaques contre eux l'année dernière étaient estimées provenir des employés actuels de l'entreprise et 30.42 pour cent des anciens employés. Ce sont les deux plus grands coupables.

Statistiquement, vous êtes beaucoup plus susceptible de faire l'objet d'une cyberattaque à cause de quelqu'un branchant une clé USB endommagée sur votre réseau, que d'être spécifiquement ciblé par un pirate essayant d'exploiter une faiblesse dans un système automatisé. Cependant, cela ne veut pas dire que vous ne devriez pas vous préparer aux deux éventualités.

Les pirates occupaient toujours une place importante dans l'enquête - en troisième place, 23.89 pour cent des entreprises interrogées plaçaient leurs attaques de sécurité sur elles. Cependant, il existe une autre menace moins répandue que les entreprises devraient également connaître.

Chaque entreprise rencontre quotidiennement des tiers - consultants, entrepreneurs, fournisseurs et fournisseurs. Il est impératif que les informations partagées avec ces parties, sur et hors site, soient limitées à un niveau approprié. 18.16% des entreprises interrogées ont répondu qu'elles pensaient que leurs fournisseurs tiers actuels étaient responsables, activement ou passivement, de leurs cyber-attaques.

Par exemple, le géant américain du commerce de détail Target a commis une grave violation de 2013 lors du vol des informations personnelles identifiables (PII) et des informations de carte de crédit des clients. Le piratage en plusieurs étapes a commencé avec le fournisseur de systèmes de chauffage, de ventilation et de climatisation de Target, qui, semble-t-il, avait accès au réseau de Target. Les informations d'identification ont été volées au fournisseur américain à l'aide d'un logiciel malveillant commun mis en œuvre via une campagne de phishing par courrier électronique. C'était le chemin des pirates.

La morale de l'histoire est que pour développer des systèmes sécurisés, les entreprises doivent mettre en œuvre des mesures techniques, conceptuelles et organisationnelles pour prévenir différents types de menaces à la sécurité.

Par où commencer

Dans un contexte de fabrication, les incidents de sécurité typiques incluent l'infection par des logiciels malveillants, l'utilisation non autorisée, la manipulation de données, l'espionnage et le déni de service - cette tentative étant de rendre une machine ou une ressource réseau indisponible pour ses utilisateurs.

La défense contre ces types de menaces prend plus que simplement investir dans un nouveau logiciel ou l'embauche d'un chef de l'information de sécurité (RSSI), bien que ces mesures sont un bon début. Les changements doivent être mis en œuvre à partir du sol. Avant de prendre de l'avance de nous-mêmes il ya certaines mesures qui devraient être prises avant toute autre chose.

Pour évaluer correctement les menaces probables, les propriétaires de système doivent d'abord évaluer les points faibles de ce système - y compris l'élément humain. Dans un environnement automatisé, cela peut révéler un scénario dans lequel une propriété de l'ensemble est considérée comme bénéfique du point de vue de l'automatisation, mais nuisible à la sécurité.

Par exemple, un dispositif à distance qui est libre d'accéder à un contrôleur logique programmable (PLC) sans authentification de gagner du temps dans un processus automatisé. Toutefois, dans une perspective de sécurité cela est un point faible définitive. Il est nécessaire d'identifier ces faiblesses afin d'accéder à des risques et prendre les mesures appropriées.

Les fabricants et les entreprises industrielles devraient accorder une attention particulière à trois domaines essentiels. Le premier est les points faibles qui surviennent en raison d'un équipement inadéquat ou la mise en œuvre de logiciels. Cela pourrait être un appareil défectueux ou un morceau de programmation.

La montée de l'interconnectivité et l'internet des objets permet tout dans une usine de communiquer en utilisant un protocole commun, générant une grande quantité de données. Cela nous amène à la seconde entreprises de la région devrait se concentrer sur: la sécurisation du flux de données de masse afin que les pirates ne peuvent pas exploiter.

Enfin, les points faibles résultent souvent de mesures organisationnelles ou de leur absence. Par exemple, il est important de s’assurer que l’équipe du RSSI met à jour les systèmes d’exploitation, les navigateurs Web et les applications chaque fois que cela est nécessaire. Cela élimine l'inquiétude d'utiliser un produit qui présente des défauts connus qu'un développeur a corrigé dans une version ultérieure. Vous devez implémenter une stratégie d'entreprise dédiée à la mise à jour du logiciel pour résoudre ce problème.

Dans l'ensemble, il est essentiel que, lors d'une évaluation de sécurité initiale, l'équipe identifie, regroupe et isole les informations critiques appartenant à l'entreprise afin que l'équipe de CISO puisse les protéger correctement. Cela devrait être la principale priorité pour toute entreprise concernée par sa cybersécurité.

Réseau de protection

Un des moyens les plus efficaces de protéger les systèmes de production automatisés est la protection des cellules. Cette forme de la défense est particulièrement efficace contre un certain nombre de menaces, y compris les attaques man-in-the-middle, où l'attaquant a la capacité de surveiller, modifier et d'injecter des messages dans un système de communications.

La protection des cellules utilise un composant intégré de sécurité qui supervise l'accès à une cellule automatisée. Ceci est souvent appelé un portier, car il joue le même rôle que son homonyme humain en décidant qui peut et qui ne peut pas entrer. Le dispositif le plus commun utilisé à cet effet est un processeur de communication Ethernet industriel qui intègre un pare-feu et réseau privé virtuel (VPN), filtrant les attaques et sécurisant la connexion réseau.

La protection des cellules empêche également l'accès non autorisé et de contrôle, des attaques par déni de service et les menaces en ligne via le réseau de bureau.

Cependant, il est important que les évaluations des risques et les mesures de sécurité ne se concentrent pas uniquement sur les systèmes automatisés. Le personnel, les fournisseurs et les fournisseurs tiers devraient également être surveillés.

Sécurité par l'éducation

Une partie du problème actuel est que le sujet de la cybersécurité n'est pas abordé dans la plupart des entreprises malgré les conséquences néfastes des failles de sécurité, notamment la perte de production, la réduction de la qualité des produits et les menaces pour la sécurité humaine et les machines.

La plupart des gouvernements ont créé ou sont en processus de création, les règlements en matière de cybersécurité qui imposent des conditions sur la protection et l'utilisation des données personnelles. Les entreprises qui ne parviennent pas à protéger suffisamment les sanctions financières de risque de l'information sensible. Malgré cela, certaines entreprises restent ignorants.

Règlement sont particulièrement répandus à travers l'Europe et devraient servir d'exemple de ce que les pays qui ne disposent pas encore de législation doivent attendre dans un proche avenir. Les États-Unis a également des politiques de conformité obligatoires quand il vient à la protection des entreprises PII.

Au début de 2104, les Etats-Unis mis en place un cadre pour l'amélioration des infrastructures de la cyber-sécurité: un ensemble de normes de l'industrie et des meilleures pratiques visant à aider les organisations à gérer les risques en matière de cybersécurité. Cependant, ces mesures ont été fortement critiqué pour ne pas aller assez loin, surtout à la lumière de la récente profil haute Sony Pictures Entertainment scandale de piratage impliquant prétendument la Corée du Nord.

Pour aider à éduquer les entreprises des moyens de sécurité de l'information, le gouvernement britannique a alloué 860 millions £ jusqu'à 2016 d'établir un Programme National Cyber ​​Security. Une partie de ce programme est d'assurer le Royaume-Uni est l'un des endroits les plus sûrs de faire des affaires en ligne. Cela vient après qu'il a été révélé que 81 pour cent des grandes entreprises et 60 pour cent des petites entreprises au Royaume-Uni a signalé une violation de cyber dans 2014.

Dans le cadre de ce programme, le gouvernement a mis au point un système de cyber-essentiel pour donner aux entreprises un objectif clair. Cela permettra aux entreprises de se protéger contre les menaces les plus courantes en matière de cybersécurité, mais également d’annoncer qu’elles respectent cette norme. Pour plus d'informations sur le schéma, allez à www.gov.uk/government/publications/cyber-essentials-scheme-overview.

En outre, une «Dix étapes pour cyber livret de sécurité 'est disponible pour ceux qui cherchent des conseils sur les risques et les méthodes de prévention actuelles. La littérature présente les éléments importants lors de la création d'une stratégie de sécurité vocation commerciale, tels que les régimes de gestion des risques, la configuration sécurisée, sécurité des réseaux, les privilèges de l'utilisateur, l'éducation et la sensibilisation, la gestion des incidents, la prévention des logiciels malveillants, la surveillance et la maison ou un accès mobile. Le livret de sécurité peut être téléchargé en allant à www.gov.uk/government/publications/cyber-risk-management-a-board-level-responsibility.

Les entreprises qui souhaitent en savoir plus sur la manière d’augmenter leur niveau de sécurité peuvent également accéder à un document d’orientation utile de l’agence de normalisation industrielle PROFIUBUS & PROFINET International (PI).

La directive de sécurité pour PROFINET a été initialement développée dans 2006 et révisée ultérieurement à la fin de 2013. Il spécifie des idées et des concepts concernant la manière et les mesures de sécurité à mettre en œuvre. Il contient également une liste des acronymes de sécurité couramment utilisés et propose une série de meilleures pratiques éprouvées, telles que le concept de protection cellulaire mentionné plus haut. Le guide PROFINET peut être téléchargé en allant sur http://goo.gl/yT7rKW.

L'information est là pour les entreprises qui cherchent des conseils en matière de cybersécurité. Cependant, d'après les statistiques fournies par l'enquête de PWC, il semblerait que les entreprises de produits industriels sont déjà en tête.

Industrie

Dans l'ensemble, les cybermenaces sont en augmentation et encore d'informations budgets de sécurité semblaient diminuer dans 2014. Le marché des produits industriels est l'exception car il a créé des budgets pour se protéger.

Selon l'enquête sur la sécurité de PWC, ce secteur, plus que tous les autres secteurs interrogés - électricité et services publics, santé, commerce de détail et services aux consommateurs, technologie et services financiers - semble comprendre les risques croissants pour la sécurité. De plus, il investit en conséquence.

Les budgets de sécurité de l'information pour les entreprises de produits industriels ont dépassé les 150 pour cent au cours des deux dernières années. Dans 2014, les dépenses consacrées à la sécurité de l'information représentaient 6.9 pour cent du budget informatique total des répondants à l'enquête PWC, le plus élevé de tous les secteurs interrogés. Cependant, dans 2014, les incidents de sécurité dans le secteur ont également été multipliés par six. Alors peut-être même qu'une augmentation de 150% ne suffit pas.

Le résultat de cet investissement a été des améliorations notables dans les processus et les technologies de sécurité, ainsi que des initiatives de formation. Cependant, il ya encore place à l'amélioration généreuse.

Restez en sécurité

Megatrends comme Industrie 4.0, l'Internet des objets et de grosses données ont entraîné l'automatisation industrielle à un niveau complètement nouveau, la création de lignes de production plus efficaces et sophistiqués. Industrie intègre ses lignes de fabrication avec des couches informatiques et la pyramide traditionnelle de l'automatisation industrielle est effondre en raison de la nécessité d'une production plus rapide et moins cher et plus efficace. Cependant, il ya un prix pour ces gains: une plus grande ouverture, l'interconnectivité et la dépendance vient plus grande vulnérabilité.

Il y a un besoin certain de plus de formation en matière de cybersécurité, à la fois en haut et en bas de l'échelle de fabrication. Trop souvent, les entreprises se heurtent à des pièges communs - croyant qu'elles sont soit intouchables ou pas une cible.

Si la majorité des cyber-attaques en 2014 ont été commis par les employés actuels de la société concernée, combien d'entre eux pensez-vous ont été entrepris en connaissance de cause? Ou étaient-ils le résultat d'un individu pas pleinement comprendre que ses actions pourraient conduire à des violations de la sécurité?

Comprendre que vous ne devez pas être une cible souhaitable pour les pirates informatiques et que les cyber-menaces peuvent être le résultat d'un jugement médiocre et non malicieux d'un employé est essentiel pour comprendre les risques.

Même si la direction met en œuvre de tout coeur un cyber-sécurité dédiée à la baisse, tout ce qu'il faut est un dispositif de logiciels malveillants infectés branché sur le réseau de causer des perturbations. Nous ne pouvons pas empêcher les accidents, mais il est possible de les gérer en leur inculquant les connaissances des employés et mettre en place des dispositifs et des procédures de contrôle fiables pour quand une attaque se produit.

Formation à la sécurité ne doit pas être limitée à un hors séminaire pour le personnel et une première mise à niveau des systèmes. La maintenance et les mises à jour Patch doivent être effectuées au fur et vulnérabilités sont révélés ou un nouveau logiciel est libéré. La haute direction a besoin pour mettre en œuvre les politiques de maintenance et une surveillance rigoureuse. La sécurité est une préoccupation constante et évolutive, pas quelque chose qui peut être résolu par un correctif rapide.

Des évaluations des risques doivent être entreprises pour les fournisseurs, les fournisseurs et les entrepreneurs, et des restrictions doivent être mises en place concernant les informations. Encore une fois, cela ne peut pas simplement être une évaluation initiale. Les procédures unifiées doivent être rédigées et suivies lorsqu’il s’agit d’un tiers qui requiert un certain niveau d’informations de la part d’une entreprise.

Avec un investissement financier et une attention appropriée versée à l'infrastructure et les procédures de la cyber-sécurité, une entreprise sera prête en cas d'attaque extérieure malveillante lieu.

Sinon, une entreprise ne se contente pas de faire face à la perte de production et les pénalités financières; il ya aussi la perte de réputation et le danger potentiel pour les deux machines et les humains à prendre en considération.

Industrie de process Informer

Laisser un commentaire

Votre adresse email ne sera pas publiée. Les champs obligatoires sont marqués *

Ce site utilise Akismet pour réduire les spams. Découvrez comment vos données de commentaire sont traitées.