Votre queue de sécurité remue-t-elle votre chien d'architecture ?

Récemment, en tant que leader de l'IIoT, je semble recevoir beaucoup de questions de la part des dirigeants de compagnies d'assurance. Leur question commune :où est le risque dans l'IIoT ? Leur thème semble être :connecter les choses est tout simplement trop risqué. Nous ne comprenons pas les risques pour la sécurité ou la sûreté, alors Ça ne peut pas être bon .

Je ne suis pas d'accord.

Je suis d'accord pour dire que l'IoT est un nouveau monde courageux en général, et pour la gestion des risques en particulier. Il existe toutes sortes de nouvelles opportunités de méfait si une machine est compromise. Le piratage qui a fait sortir une Jeep de la route en entrant dans le système de surveillance de la pression des pneus en est un exemple classique.

Cela dit, les machines intelligentes ont également plus de possibilités de se protéger. La triste vérité aujourd'hui est que la plupart des systèmes sont très mal protégés (comme cette Jeep). La sécurité reçoit des ordres de grandeur plus d'attention aujourd'hui qu'il y a peu de temps. Jusqu'à récemment, la plupart des systèmes industriels n'envisageaient même rien d'autre que les pare-feux « coquilles d'œuf » ou les conceptions hors ligne « à vide d'air ». Cela a changé à 100 % aujourd'hui ; tout le monde pense sécurité, sécurité, sécurité. Et le progrès est exaltant. En d'autres termes, je pense que tout le monde installe des cyber "alarmes antivol" beaucoup plus rapidement que l'augmentation des cambrioleurs. Conclusion :malgré l'augmentation des systèmes connectés, le risque « probablement réel » diminue dans la plupart des cas.

Mes interlocuteurs en assurance considèrent cela comme une vision trop optimiste de l'avenir. Je rétorque qu'ils ont une vision trop optimiste du présent. Vous voyez, je prétends que la situation aujourd'hui présente un risque inacceptable, intolérable, incroyablement élevé. Des industries entières fonctionnent sans la moindre sécurité. Cela semble plus effrayant à l'avenir uniquement parce que le risque que vous ne connaissez pas semble pire que le risque que vous connaissez. C'est la nature humaine. Mais quiconque regarde verra que les risques actuels sont très élevés et que les nouveaux designs sont bien meilleurs.

Cela dit, mon véritable optimisme vient de l'opportunité de changer. D'après mon expérience (et cela peut choquer les passionnés de la sécurité), la sécurité n'est pas un moteur de changement. J'entends par là que les systèmes industriels ne sont généralement pas disposés à mettre en œuvre une nouvelle architecture (juste) pour améliorer la sécurité. L'industrie électrique est mon exemple préféré. L'industrie crie depuis 20 ans que la sécurité est un problème. Et, à mon humble avis, ils continueront à crier... à moins que quelque chose d'autre conduit le changement.

La bonne nouvelle :l'IIoT est ce moteur de changement. Et la sécurité aujourd'hui est absolument une porte de changement. Chaque application insiste sur la sécurité lorsqu'elle implémente une nouvelle architecture pour d'autres raisons. Puisque l'IIoT motive de très nombreuses applications industrielles à refaire leurs architectures, la sécurité s'améliore. Bien sûr, la mise en œuvre d'une nouvelle architecture pour une application industrielle majeure, ou d'ailleurs toute une industrie, est intimidante. Mais c'est la magie des changements radicaux offerts par l'IIoT. L'IIoT est convaincant. Le changement arrive, et il arrive vite.

Pendant que nous parlons du changement, ne négligeons pas les améliorations technologiques pour permettre cette porte. Par exemple, de nombreux systèmes IIoT potentiels sont principalement confrontés à des problèmes d'évolutivité et d'intégration de systèmes. Avec un peu de réflexion, les architectes découvrent que les systèmes IioT concernent uniquement les données, puis qu'ils ont vraiment un défi de flux de données et de transparence des données hautes performances. La meilleure façon de fournir un flux transparent est une conception « de pair à pair » ou « publier un abonnement ». C'est le "chien" de l'architecture :les systèmes ont besoin de la simplicité et des performances d'un modèle de communication qui envoie simplement les données là où elles sont nécessaires, dès maintenant. Cette transparence des données rend gérable l'immense futur système IIoT.

Bien sûr, bien que la transparence des données soit un rêve d'intégration, c'est un cauchemar en matière de sécurité.

Le côté « chien » de la boîte de dialogue ressemble à ceci :

Hey! Envoyons simplement les données là où nous en avons besoin. La disponibilité omniprésente des données rend les systèmes rapides, fiables et évolutifs. Et regardez comme le code est plus simple !

Mais, vient ensuite la « queue » de sécurité :

Nous ne pouvons pas maintenir des milliers de sessions sécurisées indépendantes ! Comment assurer la sécurité d'un tel système ?

L'année dernière seulement, c'était une sacrée bonne question. Il a bloqué l'adoption des technologies IIoT là où elles sont vraiment nécessaires. Mais ensuite, la norme DDS a développé une architecture de sécurité qui correspond exactement à sa conception de flux de données centrée sur les données. Le résultat? Le chien centré sur les données agite sa queue de sécurité centrée sur les données parfaitement adaptée. La sécurité fonctionne de manière transparente sans brouiller la transparence des données. Des avancées comme celle-ci --- qui couvrent les secteurs d'activité --- rendront les futurs systèmes IIoT beaucoup plus sûrs que le bourbier ad hoc actuel de piratages de sécurité après coup, spécifiques à l'industrie. La sécurité qui correspond à l'architecture est élégante et fonctionnelle.

Cet argument laisse mes correspondants d'assurance chercher Tao dans leurs tables actuarielles. Donc, je ne peux pas m'empêcher d'ajouter que ce n'est pas vraiment ce dont ils devraient s'inquiéter.

L'ingénierie de la sécurité aura un impact beaucoup plus important sur l'assurance. Par exemple, je m'attends à ce que l'industrie de l'assurance automobile de 200 milliards de dollars disparaisse au cours des 10 à 20 prochaines années, car l'ADAS et les voitures autonomes élimineront plus de 90 % des accidents. La plupart des erreurs hospitalières peuvent également être évitées (l'erreur hospitalière est actuellement la 3e cause de décès aux États-Unis). Dans les usines, les usines, les plates-formes pétrolières, les systèmes miniers et bien d'autres applications, les systèmes automatisés (un peu évidemment) ne sont pas entourés d'humains, éliminant ainsi un risque actuel important aujourd'hui. Les accidents, en général, sont pour la plupart le résultat de la folie humaine. Les machines vont bientôt vérifier ou éliminer l'opportunité de folie. Je vois cela comme une augmentation extrêmement positive de la qualité et de la préservation de la vie. Les dirigeants d'assurance y voient une menace existentielle.

Je leur dis de ne pas se sentir mal; la plupart des industries seront fortement perturbées par les machines intelligentes. Bien naviguer dans cette transition fera ou détruira les entreprises. Les assureurs comprennent certainement que les pertes sont plus faciles à appréhender que les gains; ce principal garantit leur industrie. Mais, cette perception n'est pas la réalité. L'impact de l'IIoT sur l'économie dans son ensemble sera extrêmement positif; les analystes le mesurent en plusieurs milliers de milliards de dollars en quelques années seulement. Ainsi, il y aura beaucoup, beaucoup d'endroits où chercher et atteindre la croissance. Le défi de trouver ces voies n'est ni moindre ni plus grand pour l'assurance que pour toute autre industrie. Mais, fondamentalement, l'IIoT conduira à un avenir plus vert, plus sûr et meilleur. C'est bon .

Pour en savoir plus sur nos solutions de sécurité, visitez http://www.rti.com/products/secure.html.