home Technologie de fabrication Équipement de fabrication
Fabrication industrielle
Internet des objets industriel | Matériaux industriels | Entretien et réparation d'équipement | Programmation industrielle |
home  MfgRobots >> Fabrication industrielle >  >> Industrial Internet of Things >> Capteur

Table ronde de la direction :Sécurité des installations et du réseau

L'un des aspects les plus importants de toute installation de fabrication est la sécurité, qu'il s'agisse de protéger les machines ou les données. Fiches techniques posé des questions aux dirigeants d'entreprises fournissant des solutions de sécurité des réseaux et des installations pour obtenir leur point de vue sur des questions telles que la cybersécurité, le cloud, les appareils sans fil et la sécurisation d'une main-d'œuvre distante .

Nos participants sont Mike Jabbour, directeur général, Digital Connectivity and Power chez Siemens Digital Industries ; Mike Lloyd, directeur de la technologie chez RedSeal ; Radu Pavel, directeur de la technologie et ingénieur en chef chez TechSolve ; et Donovan Tindill, stratège principal en cybersécurité chez Honeywell Connected Enterprise – Cybersécurité.

Fiches techniques : Avec plus de personnes travaillant à distance en raison de la pandémie de COVID-19, quels procédures et systèmes de sécurité devraient être en place pour le fonctionnement à distance des équipements, les diagnostics et la maintenance ?

Mike Lloyd : Dans la ruée vers le travail à domicile, la plupart des équipes de sécurité ont été frappées par un tsunami de demandes d'amélioration des contrôles des ordinateurs portables, de nouvelles exigences VPN, de nouveaux services cloud, etc. cependant, un aspect souvent négligé est les actifs commerciaux qui n'ont pas bougé lorsque les opérateurs l'ont fait. Soudain, les opérateurs ont eu besoin de capacités à distance pour piloter et diagnostiquer tout équipement physique qui ne bougeait pas et en matière de sécurité, la distance signifie toujours un risque. Toute nouvelle voie de contrôle entre les télétravailleurs et les actifs physiques de l'entreprise augmente la surface d'attaque de l'entreprise. Il est sage pour les équipes de sécurité de revenir en arrière et de vérifier comment tous les actifs physiques de l'entreprise peuvent être atteints. Si vous saviez comment tout cela fonctionnait avant COVID, alors vous ne le savez probablement pas maintenant.

Radu Pavel : La situation du COVID-19 entraîne une numérisation accélérée de l'environnement de travail. Alors que les réalités commerciales entraînent le besoin de données en temps réel pour de nombreuses fonctions, les avantages potentiels des nouvelles technologies alimentent le désir de connecter les appareils de production et de non-production dans l'usine. L'appétit des fabricants pour les technologies de pointe dépasse rapidement leur capacité à les protéger et cet environnement de connectivité et riche en données soulève des préoccupations et des défis importants liés à la cybersécurité. Les fabricants sont confrontés à des défis supplémentaires en raison de la nécessité de protéger non seulement les systèmes informatiques, mais également la technologie opérationnelle (OT), qui peut s'étendre des capteurs aux automates, aux contrôleurs de robot, aux machines-outils et à d'autres équipements opérationnels.

Mike Jabbour : La grande partie est que COVID n'a pas changé l'ensemble de l'équipement ou des processus nécessaires aux communications à distance - il a seulement entraîné la nécessité d'utiliser les technologies qui étaient déjà disponibles. Toutes les entreprises ne devraient pas faire exactement la même chose en ce qui concerne les applications distantes et la sécurité, mais les bases doivent toujours être intégrées. Il existe de nombreuses autres appliances de sécurité à prendre en compte, mais au minimum, une connexion VPN, un pare-feu et un serveur de saut doivent être utilisés.

La communication à distance doit toujours être correctement authentifiée, cryptée et coupée lorsqu'elle n'est pas utilisée. Un pare-feu approprié protège le trafic interne d'un réseau non fiable. S'il existe plusieurs segments d'un réseau, la communication via le pare-feu doit protéger chacun des segments internes les uns des autres. En ce qui concerne les communications à distance, le chiffrement du trafic de l'utilisateur distant vers le réseau de confiance est toujours considéré comme la meilleure pratique. Cela peut être fait avec une appliance VPN. Il ne doit y avoir aucune communication directe entre un réseau non approuvé et le réseau sécurisé.

Donovan Tindill : Pour l'accès à distance à un système de système de contrôle industriel / technologie d'exploitation (ICS / OT), les conséquences et les pertes d'une cyberattaque sont considérablement plus élevées que l'accès à la technologie de l'information (IT). Afin de réduire ce risque commercial, des protections supplémentaires sont nécessaires, notamment l'authentification multifacteur à partir de réseaux non fiables. La confiance est relative - le réseau d'entreprise est moins fiable que les systèmes ICS/OT. Un VPN typique permet à un utilisateur de se connecter à volonté 24h/24 et 7j/7. L'approbation explicite de la demande d'accès est requise pour chaque session, chaque utilisateur et chaque jour en cas de travail à distance, en raison des conséquences potentielles des cyberattaques ICS/OT.

Fiches techniques : Cela ressemble à une arme à double tranchant :le cloud, les réseaux de capteurs sans fil et d'autres systèmes industriels ont apporté de nouveaux avantages passionnants aux usines numériques, mais en même temps, ces technologies de fabrication intelligente augmentent massivement les possibilités d'attaque. Comment concilier accessibilité et sécurité ?

Lloyd : L'Internet industriel des objets (IIoT) apporte de grands avantages mais aussi de grands risques. En règle générale, toutes les « choses » de l'Internet des objets doivent être traitées comme fragiles et non dignes de confiance. Cela choque les équipes habituées à gérer des infrastructures SCADA isolées, mais les temps ont changé. Compte tenu de la fragilité des systèmes IoT, la seule approche raisonnable est la segmentation du réseau - toutes les voies d'accès possibles doivent être prises en compte et les systèmes industriels doivent être isolés dans toute la mesure du possible. Au fil du temps, l'accès deviendra bâclé et des erreurs seront commises. Vous avez donc besoin d'un moyen de vérifier en permanence que l'accès est limité à ce qu'il devrait être, afin de pouvoir arrêter la dérive du réseau.

Tindill : L'accessibilité peut être équilibrée avec la sécurité, mais de nouvelles normes sont établies en même temps. La sécurité des aéroports avant le 11 septembre est très différente de celle d'aujourd'hui, mais la nouvelle normalité est bien établie avec de nouvelles technologies et de nouveaux protocoles qui permettent toujours un contrôle de sécurité en temps opportun. Avec les nouvelles technologies, une formation aux solutions est nécessaire et si la cybersécurité y est associée, l'expérience utilisateur et l'accessibilité ne sont pas un problème. Les avantages commerciaux de ces nouvelles technologies et usines numériques ont le potentiel de produire des résultats jamais vus auparavant. Le rôle de la cybersécurité est de protéger l'investissement dans le cloud, les réseaux de capteurs sans fil et d'autres systèmes industriels afin qu'ils puissent fournir leur retour sur investissement tout en étant plus résistants aux cyberattaques. L'authentification multifacteur, l'infrastructure à clé publique, la cryptographie et d'autres contrôles de sécurité, lorsqu'ils sont mis en œuvre correctement, sont pratiquement transparents pour l'utilisateur et offrent un niveau supplémentaire de contrôle d'accès impossible à atteindre avec les technologies héritées antérieures.

Jabbour : Les réseaux intentionnellement planifiés et segmentés sont l'épine dorsale non seulement d'un système de communication d'usine, mais également des meilleures pratiques de sécurité. Un réseau ICS segmenté peut aider à protéger les réseaux de capteurs les uns des autres lorsqu'une attaque se produit, ce qui signifie que l'accès à une seule section de votre usine ne ferait pas tomber toute l'entreprise d'un seul coup. Cela doit également être associé à la connaissance et à la compréhension des vulnérabilités de votre installation. Le simple fait de placer un appareil et de s'éloigner est la principale procédure pour accorder aux pirates un plan d'attaque sur votre système. La gestion de tous les appareils sur le réseau comprend non seulement la connaissance et la compréhension des appareils qui s'y trouvent, mais aussi des examens réguliers programmés des vulnérabilités et de leur niveau de menace (faible/moyen/élevé).

Pavel : L'ampleur et la rapidité de la numérisation et la croissance des réseaux de connectivité entraînent une augmentation des risques de cybersécurité. Il ne s'agit pas seulement de l'ampleur de l'exposition, mais de la vulnérabilité des systèmes cyber-physiques connectés. Ces nouveaux systèmes n'ont pas été intrinsèquement conçus avec la cybersécurité à l'esprit. Le problème est exacerbé par le potentiel d'impacts négatifs sur les performances résultant de l'intégration de technologies de cybersécurité courantes dans les systèmes existants. Équilibrer accessibilité et sécurité est une stratégie à multiples facettes qui repose sur des protocoles de communication standard, le cryptage des données transférées sur les réseaux, l'exploitation des normes de cybersécurité les plus récentes et la mise en œuvre de technologies permettant d'identifier et d'atténuer les menaces de cybersécurité en temps réel. .

Jabbour : Parce que la cybersécurité est plus facilement négligée. La plupart des installations IIoT tentent de satisfaire un besoin commercial et la cybersécurité n'est généralement pas un sujet de conversation standard dans les besoins commerciaux jusqu'à ce qu'une attaque se produise.

Lloyd : Cyniquement, car la sécurité est toujours le dernier élément de tout déploiement. La poussée pour l'IoT est une question de fonctionnalités et de coût. Cela signifie que les appareils sont produits rapidement, à un prix minimum, et que vous bénéficiez de la sécurité pour laquelle vous payez. Les appareils ne sont souvent pas patchables et ne peuvent pas prendre en charge les agents et scanners traditionnels de nos outils de sécurité. Ainsi, la sécurité de l'IoT est un problème très difficile - en fait, injectant d'innombrables nouveaux appareils fragiles dans un réseau qui était déjà indiscipliné et désorganisé. La transition vers l'IdO ne se passera bien que pour ceux qui sont disciplinés et planifient à l'avance pour contenir l'explosion des problèmes quand - et non si - ils se produisent.

Tindill : Il existe plusieurs raisons pour lesquelles la cybersécurité n'est envisagée qu'en fin de déploiement. Les processus d'approvisionnement et d'approvisionnement excluent les exigences de cybersécurité car le prix reste le facteur principal. La plupart des processus d'ingénierie excluent la cybersécurité - cela signifie que la spécification, la conception, la configuration, les tests et la mise en service se produisent souvent sans aucune tâche ou livrable de cybersécurité. Les équipes informatiques et de cybersécurité sont exclues jusqu'au moment de se connecter au réseau ou à Internet - c'est à ce moment-là que ces équipes peuvent découvrir pour la première fois que le projet existe même. La cybersécurité devrait avoir un poids suffisant dans les critères de décision ; après avoir été inclus dans les processus d'achat, il est ensuite réalisé à travers l'ensemble des tests de conception, de configuration, de durcissement et de cyber-acceptation, le tout avant le lancement.

Pavel : Depuis les premiers jours où le plus grand risque était un virus informatique, jusqu'à aujourd'hui où les logiciels malveillants de technologie opérationnelle peuvent détruire l'équipement et entraîner des pertes de vie, le monde informatique a connu une augmentation exponentielle des attaques de cybersécurité. Les technologies basées sur l'IdO présentent leur propre ensemble de défis de sécurité uniques associés à l'intégrité des données, aux fuites de données, à la confidentialité et au potentiel d'accès non autorisé.

Alors, pourquoi la sécurité est-elle souvent le dernier élément du déploiement de l'IoT ? Certains de ces systèmes n'ont pas été conçus avec la cybersécurité à l'esprit, mais plutôt dans le seul but de fournir une certaine fonction. Les utilisateurs finaux ne considéraient pas la cybersécurité comme l'un de leurs principaux critères de sélection, mais plutôt la capacité d'un système à effectuer une tâche, son efficacité et son coût. Ce n'est que ces dernières années que le problème de la cybersécurité a été davantage mis en avant par les utilisateurs, les gouvernements et les groupes de normalisation.

Lloyd : Les trois principales priorités des réseaux industriels sont la segmentation, la segmentation et la segmentation. Les anciens vides d'air se sont évaporés et Internet est de plus en plus intégré aux opérations physiques de l'usine, que cela nous plaise ou non. Cette profusion d'interfaces signifie que la surface d'attaque totale a explosé et tôt ou tard, quelque chose est sûr d'entrer. La priorité absolue est de planifier à l'avance pour limiter la propagation des événements malveillants, en utilisant la segmentation, et pour les systèmes les plus critiques, devant pour fermer les "portes anti-souffle" semblables aux portes de cloison des sous-marins.

Pavel : Les cyberattaques peuvent affecter la confidentialité, l'intégrité et la disponibilité dans un environnement de fabrication. Ils peuvent entraîner la perte de la propriété intellectuelle des produits et des processus ; les pertes de production dues à la destruction, la modification et la reprogrammation de pièces et de processus ; atteinte à la réputation ; et même des blessures et des pertes de vie. L'importance de l'intégrité des données pour la fabrication peut être vue en relation avec la production de pièces :la modification des spécifications du produit et du processus pourrait nuire à la qualité et à la fiabilité du produit.

La disponibilité des données et des systèmes cyber-physiques est également essentielle à la productivité de la fabrication. Le matériel et les logiciels hérités sont couramment utilisés dans les processus de fabrication et certains de ces systèmes n'ont pas été conçus en pensant à la cybersécurité ou à l'IoT. Par conséquent, il existe un risque inhérent lors de la connexion de ces appareils hérités à l'IoT ou de leur intégration dans le réseau de l'usine.

Jabbour : Absolument pas. Les pare-feu ne sont qu'un seul appareil d'un système total et bien qu'ils doivent être utilisés, d'autres considérations de conception doivent être prises en compte.

Tindill : Au milieu des années 1990, les pare-feu et les antivirus étaient la norme car ils fournissaient des garanties suffisantes pour se défendre contre les menaces de cybersécurité de l'époque. Pratiquement 100 % des organisations disposent aujourd'hui de pare-feu et les cyberattaques peuvent contourner les pare-feu avec d'autres tactiques, techniques et procédures (TTP). Les cybermenaces évoluent rapidement et de multiples contrôles de cybersécurité sont nécessaires. Les pare-feu remplissent principalement un contrôle de protection, bon pour détecter les mauvais comportements connus au périmètre du réseau. Les attaques d'aujourd'hui incluent le vol d'informations d'identification et leur utilisation pour pénétrer les réseaux sans détection, car la force brute ou les connexions malveillantes ne sont pas nécessaires. Nous avons tous entendu des histoires sur la façon dont un acteur de la menace était à l'intérieur d'un système pendant six à neuf mois avant l'attaque ; ceci est un exemple de la façon dont les faibles capacités de détection et de réponse se manifestent.

Pavel : S'appuyer uniquement sur un pare-feu n'est plus une bonne pratique - cela ne l'a probablement jamais été. Les trois éléments les plus critiques d'un programme de sécurité d'entreprise sont les personnes, les processus et la technologie. Les petites et moyennes entreprises présentent un défi particulier pour la cybersécurité dans les environnements de fabrication et la chaîne d'approvisionnement. Beaucoup manquent de personnel technique pour fournir une cybersécurité robuste et, comme ils ne sont souvent pas conscients de la complexité des menaces, ils ne sont pas en mesure de créer une analyse de rentabilisation pour investir dans la cybersécurité OT. Afin d'aider à surmonter ces écueils et d'accélérer l'adoption de mesures de cybersécurité appropriées, le gouvernement a investi dans l'élaboration de réglementations, de normes et de programmes de certification applicables à des secteurs entiers.

Lloyd : Les pare-feu sont comme les serrures de porte de votre immeuble - un bon début, un niveau de base d'hygiène de sécurité, mais à peine un antidote complet au risque. Firewalls are complicated and are almost always misconfigured in some way. I’ve assessed many thousands of real-world firewalls and it’s unusual to find fewer than ten errors per device. (Extremely complex firewalls can contain thousands of errors in a single device.) The hardest aspect of firewalls is understanding whether they have covered everything —after all, you can’t identify a pathway around the firewall just by reading the firewall. You need to have a comprehensive view of access across your entire factory network and you need to be able to keep up with access as your network changes and grows.

RESOURCES

  1. Honeywell Connected Enterprise
  2. RedSeal
  3. Siemens Digital Industries
  4. TechSolve

Capteur

  • Embarqué
  • Capteur
  • Cloud computing
  • Technologie de l'Internet des objets

    1. Gestion de la sécurité IIoT
    2. Télécommande universelle Raspberry Pi
    3. 3 étapes pour une meilleure collaboration entre les professionnels de la mise en réseau et de la sécurité
    4. Pourquoi la sécurité IoT doit être une priorité [RAN, edge] pour les opérateurs de réseau
    5. Sécurisation de l'IoT de la couche réseau à la couche application
    6. Trois questions que les opérateurs de réseau devraient poser sur la sécurité de l'IoT
    7. L'attaque de sécurité ICS permet le contrôle à distance des bâtiments
    8. Qu'est-ce qu'une clé de sécurité réseau ? Comment le trouver ?
    9. Pourquoi la cybersécurité est essentielle à la tranquillité d'esprit de la sécurité physique