在网络安全问题上,制造商往往基于恐惧、不确定性和怀疑做出决定。毕竟,谁知道下一次震网病毒什么时候会来袭呢?这种经营理念的问题在于,它是无结构的,与公司的商业模式是分离的。在罗克韦尔自动化公司的一次网络安全小组讨论中自动化公平本周在芝加哥,信息很明确:恐惧不是动力,希望也不是策略。
然而,网络威胁无处不在,企业希望确保制造基础设施和系统的安全,但他们并不总是知道从哪里开始,或如何长期管理。
考虑到工业控制系统(ICS)正在连接到更多的智能资产、企业系统以及互联网,这是一个大问题,这意味着工厂可能为坏人打开了虚拟的大门。
想知道如何在自己的设备中处理这一问题的制造商可以借鉴Shell的安全策略。这家油气公司将网络安全视为一个商业案例,旨在引起公司高管、合作伙伴、技术供应商和客户的共鸣。他们不再强调“黑客来了”,而是将网络安全定位为公司数字化之旅的一个商机。
壳牌全球解决方案公司(Shell global Solutions)工业网络安全全球技术负责人泰勒·威廉姆斯(Tyler Williams)表示,为了实现这一目标,“它必须像企业一样运作。”威廉姆斯也是网络安全小组的成员之一。他说,这还需要统一信息技术(It)和运营技术(OT)之间的语言,并创建一个统一安全和安全概念的共同框架。
威廉姆斯说:“你不能再把网络安全和安全混为一谈了,你需要把它们当成一个概念来看待。”这样做不是小事,但我们是在能源输送行业,这是一个令人兴奋的行业,但也是一个危险的行业。为了成为这一领域的领导者,我们必须确保人们每天安全回家。”
这也意味着,技术合作伙伴必须通过协调网络安全和安全的语言来支持壳牌的努力。
弗兰克•Kulaszewicz罗克韦尔的该公司架构与软件高级副总裁同意,在网络安全问题上,合作伙伴必须达成一致,解决从物理硬件到软件的整个基础设施问题。身份验证和策略管理、篡改检测、知识产权保护以及弹性和健壮性也是因素之一。
“我们认为这是一个分层的安全模型,”Kulaszewicz说。
“我们考虑的是网络安全、物理安全与工业领域安全之间的联系。目前还没有人能做到这一点,但希望通过我们的合作伙伴团队,我们能成为第一个做到这一点的人。”
Kulaszewicz提到的合作伙伴团队是其他小组成员,包括Jeff Jones,首席网络安全策略师微软,设拉子哈桑,AT&T的工业物联网区域副总裁,以及Maciej Kranz,工业物联网副总裁思科的企业战略创新小组。
克兰兹说:“重要的是要知道,安全不是一种覆盖。”“它需要嵌入到架构级的所有系统中。我们嵌入安全,然后围绕防火墙功能、入侵保护和基于策略的智能访问控制开发联合解决方案。”
在自动化博览会上的讨论迅速发展到工业物联网(IIoT)和云,以及不断变化的建筑景观。有人问:所有这些新技术都向你们涌来,而且被采用得如此之快,那么你们是如何应对的呢?
美国电话电报公司的哈桑表示,该公司已经在工业物联网的道路上走了很长一段时间,用户总是首先考虑安全问题。从蜂窝网络的角度来看,该公司通过与罗克韦尔和思科合作开发了安全技术。“这需要一个生态系统才能实现,但我们已经搞清楚了。为了让壳牌等企业客户信任我们,我们必须先证明网络的安全性。”这些设置包括端点设备的私有IP地址、VPN技术、只允许某些信息从端点进入的内置协议,等等。
所有这些都是至关重要的,但对于壳牌的Williams来说,如果技术生态系统能够将安全管理作为一项服务,那么制造商就可以专注于他们的核心竞争力,那就更好了。“建筑帮不了我,”他说。“如果你告诉我们,安全是这个新业务机会的内在组成部分,我们会说,太棒了,安装它,并代表我们处理它。让我们继续生产石油和天然气吧。”