为了保护工厂控制系统免受黑客、恐怖分子或其他恶意分子的电子攻击,需要采取网络安全措施,这一问题最近越来越受到自动化专业人士的关注。
这是一个好消息,仪器仪表、系统和自动化协会ISA-SP99委员会主席Brian Singer说,该委员会正在为电子安全制造制定标准。另一方面,坏消息是,许多高级经理仍然不接受这种想法。
“很多人知道他们需要采取行动,很多时候,他们知道需要采取什么行动来消除他们所面临的许多(网络安全)风险。但因为他们无法衡量收益,他们无法说服管理层进行投资,”辛格在最近亚特兰大举行的WBF北美会议上对观众说。
困难的措施
但随着越来越多的公司获得早期网络安全计划的经验,这种情况开始改变,辛格说,他是总部位于密尔沃基的罗克韦尔自动化公司网络安全服务的高级商业顾问,“当我们现在出去做这些项目时,我们谈论的很多是安全投资的回报,这样人们就知道你可以期望获得收益。”“这是一个很难衡量的指标,但好处是存在的。”
在他的WBF演讲和随后的采访中自动化的世界辛格说,当公司确实进行网络安全投资时,一些可衡量的好处开始显现。
辛格说,首先,投资于更好的网络安全架构可以让制造商有信心更广泛地使用远程支持服务,这可以节省成本。
例如,当安全政策程序到位,要求车间人员或外部供应商在对设备进行更改之前遵循特定步骤时,还可以节省成本。辛格解释说:“当你强迫他们做变更记录并通过层层审批时,整个系统就会得到更好的制衡。”这可以减少错误和操作问题。
通常可以衡量网络安全节省的第三个领域是应用更好的设计实践,包括以太网网络上的控制数据和业务数据流量。例如,当安全性要求对工厂网络进行分段,或者将某些流程线从一个流程线与另一个流程线隔离时,结果可能会减少在控制局域网上造成网络阻塞的业务流量。Singer指出,这可以对整个网络的正常运行时间、可用性和性能产生可衡量的改善。
硬美元储蓄
辛格说,在一些早期项目中,一些制造商已经能够衡量18%到22%的安全投资回报,这仅仅是基于这些实实在在的美元收益。但他承认,对大多数公司来说,这通常不足以证明网络安全项目的合理性。“大多数人需要30%到40%的资金来证明支出是合理的,或者少于三年的回报。”
因此,证券投资回报的计算通常也必须包括一些风险缓解措施。辛格承认,这仍然很难让人接受。“如果你去找运营副总裁,说你有一个耗资20万美元的安全项目,它可以消除40万美元的风险,他会说,‘你说的风险是什么意思?我不明白你的意思。’”
辛格观察到,即使工厂人员能够就工厂每年实际控制安全事故的成本达成一致,管理层通常也希望得到这些成本的证明。“大多数时候,这种证据并不存在。”辛格说,目前大多数公司没有跟踪控制安全事件,这一事实仍然是更积极的工业网络安全举措的主要障碍。“我们需要更好的跟踪和更开放的信息共享。”
但即便如此,情况也开始发生变化。辛格表示,许多大型制造业客户现在都在推出网络安全组织措施,从而能够更好地跟踪事件。“他们正在组建应对团队,并为车间编写新的政策文件。这些是相当便宜的物品,但至少可以让人们跟踪他们什么时候受到攻击或感染病毒,”辛格说。“所以到明年,他们将有一些证据来支持这些风险数据的来源。”
