最近,我参加了一个由食品饮料、制药和公共事业部门的制造商组成的小组讨论,其中有一个问题是关于这些公司在跟踪、跟踪和安全方面所做的努力。其中两名专家表示,他们依靠空气间隙来维持安全,而跟踪和跟踪是通过一个自主开发的系统或现有的制造执行系统(MES)完成的。
然后,一家大型制药公司的代表插话说,商业网络和生产网络之间的安全完全依赖于防火墙。“我们应该迁移到DMZ网络架构,”制药自动化工程师承认。(是的,这可能是个好主意。)至于系列化,他说,“我们落后了几十年……但这是FDA的要求,所以我们正在努力。”
我相信那一刻我发出了一声喘息。
FDA对《药品供应链安全法》(DSCSA)的第一阶段截止日期始于2015年,第二阶段将于明年开始,最后阶段将于2023年实施。一家非常大的制造商在合规方面“落后了几十年”,这一事实令人震惊。但是它们可能代表了大多数公司,这些公司可能被强加在过时的遗留体系结构上的需求所压倒。而且,为了满足新的指导方针,生产产品优先于技术投资。然而,在我们生活的这个超连接的世界里,没有时间坐下来等待。
为此,“空气缺口”的评论让我更多地思考安全问题。智能制造和工业物联网(IIoT)需要工业控制系统(ICS)、车间设备和互联网之间的连接,在不久的将来将成为生产和供应链的重要组成部分。这种向数字化的转变也需要打开这一缺口,我认为许多制药公司并没有为此做好准备。
根据SANS Institute的2016年国家ICS安全调查显示,所有行业的公司都感觉他们的控制系统比一年前更受威胁。在2015年的调查中,只有8%的受访者认为他们的控制系统受到严重威胁,而35%的人表示他们感到威胁程度很高。在该调查中,38%的受访者声称患ICS的风险中等。2016年提出的同一问题跃升至24%的受访者表示,他们认为威胁级别为严重/严重,43%的人声称ICS威胁很高,而23%的人表示威胁仍然中等。
SANS的调查报告称,人们越来越担心内部威胁,甚至是供应链合作伙伴,而不是潜伏在互联网黑暗中的网络罪犯。毕竟,外部黑客关闭药品生产线不会有什么好处。但是,这并不总是与扰乱制造业有关。
勒索软件——一种通过加密计算机文件,并基本上将数据作为人质,直到某个组织(用比特币)支付赎金的恶意软件——正在上升。今年早些时候印度制药公司成为勒索软件的受害者,自2016年1月1日以来,美国平均每天发生4000多起勒索软件攻击,根据美国司法部的说法。数字勒索,又是一件需要担心的事情。
目前,控制系统和网络组件正朝着内在安全(或设计安全)发展,即将网络安全能力内置在设备上,而不是固定在设备上。这是一个很好的选择,为公司建设一个新的控制系统基础设施。但是,当涉及到保护旧ICS时,需要添加多层安全,而且可能同样重要的是,it和OT团队之间的协作。
这家制药公司的自动化工程师指出:“企业IT部门对任何尚未找到的解决方案都有着难以置信的抵触。”“即使它明显比他们目前拥有的任何东西都要好,他们也不在乎。”
是时候开始关心和准备了。
