Публикация пресс-релизов Поиск по компании
Решения, технологии, стандарты Рынок, отрасль, люди Основы
Отменить подписку Подписка
Производители Системные интеграторы Дистрибьюторы
Продукты месяца Поиск по категории Добавить продукт
Добавить мероприятие
Добавить вакансию Специалисты по АСУ ТП, КИП Специалисты по электротехнике, энергетике Главные инженеры, технологи, электрики Менеджеры по продажам, консультанты, другое
Технические требования Публикация статей Публикация пресс-релизов Media Kit 2014
Перейти:  
 


 

Статьи, интервью, обзоры на Ua.Automation.com

Кибербезопасность и законодательство. Ситуация в мире

Кибербезопасность и законодательство. Ситуация в мире
Том Джилхини, Cisco
 
Производственная отрасль может похвастаться сомнительным “достижением” – она является второй крупнейшей целью киберпреступников, сразу после здравоохранения. Среди промышленности на первом месте из угрожаемых отраслей находится автомобильная. В 2015 примерно треть всех атак в промышленности пришлась на автомобильную отрасль. Химическая отрасль была на втором месте.  
 
С пришествием промышленного интернета вещей (ПИВ) интеллектуальная собственность, данные и продукция промышленных компаний находятся под постоянной угрозой со стороны киберпреступников. По некоторым оценкам, 21% промышленников прошли через потерю интеллектуальной собственности из-за кибератак.
 
Многие производители очень сильно отстали с точки зрения безопасности. Отчасти это объясняется тем, что они не сталкивались требованиями по соответствию, как например, финансовая отрасль с PCI DSS или здравоохранение с HIPAA. В итоге, промышленность сегодня является более уязвимой с точки зрения кибербезопасности.
 
В своем посте для адвокатской конторы Robinson & Cole, Линн Фостер Фридман написал: «Производственные компании часто не верят в то, что они находятся под прицелом, так как у них нет больших объемов данных о потребителях. Поэтому они не концентрируются на кибербезопасности и становятся уязвимыми». И все же промышленность не столь наивна относительно киберугроз, как можно подумать. 92% опрошенных производителей в прошлом году выделили кибербезопасность среди своих основных задач. 
 
Соединенный…и уязвимый цех 
 
Хакеры использовали Heartbleed и другие уязвимости для своих атак. Также они используют человеческие ошибки и слабости – с помощью различных технологий социального инжиниринга, подобных фишингу. Однако настоящий экшен сейчас происходит в сфере ПИВ.  
 
Производственная среда сейчас соединена с интернетом. Это существенно расширило простор для атак на промышленность. В прошлом использовался «воздушный зазор», который физически отделял промышленные сети от корпоративных и от интернета. Сегодня зазор уже «не вариант», так как промышленники активно используют бизнес-модели, ставшие возможными благодаря ПИВ.
 
И это проблема, поскольку контроллеры, работающие в каждой промышленной среде, часто не имеют даже базовых функций безопасности, таких как аутентификация или мощное шифрование. Из-за этого многим атакам на АСУ ТП даже не надо использовать уязвимости ПО. Все что нужно – получить доступ к контроллерам, и можно довольно легко изменять любые настройки.
 
Национальная ассоциация производителей (National Association of Manufacturers или NAM) отмечает: «Миллиарды соединенных устройств используются в современной продукции и собственно в цехах, где они производятся. Эта технология создает огромные возможности и влечет трансформирующие изменения. Она превратила всех производителей в технологические компании».
 
Однако в NAM также отмечают, что: «Чем больше будет интеллектуальных устройств, тем больше в этих устройствах будет данных, которые захотят украсть». Более того, в производимых товарах также все больше коммуникационных возможностей. Устройства для нагревания, вентиляции, кондиционирования могут использовать связь для взаимодействия с пользователями и своими производителями.
 
Позитивным моментом в этом является то, что производители могут перейти от модели одноразовой продажи к модели постоянного дохода. К сожалению, параллельно появляются новые возможности для кибератак. Поэтому промышленные группы и правительственные организации работают над тем, чтобы обезопасить соединенные устройства и среды.
 
Нечестный бой  
 
Нужны серьезные ресурсы для того, чтобы обеспечить уровень кибербезопасности, достаточный для того, чтобы выдержать атаку на государственном уровне – ресурсы, которых у производителей, особенно небольших, просто нет. Любое развитое государство может представлять угрозу любому производителю – отмечают в NAM. Обсуждая атаки из Китая в интервью с CBS в прошлом году Джон Карлин, заместитель генерального прокурора по национальной безопасности, отметил: «Это нечестный бой. Частная компания не может конкурировать с ресурсами второй крупнейшей экономики мира».
 
Для того, чтобы поощрить инвестиции за пределами обычных уровней трат на киберзащиту, NAM призывает к партнерству на уровне государство-частный сектор. Также NAM подталкивает Национальный научный фонд (The National Science Foundation), агентство DARPA и исследовательское подразделение Департамента национальной безопасности поставить в приоритет исследования в области безопасности интернета вещей.  
 
Cражение на законодательном фронте
 
В январе Федеральная комиссия по связи (Federal Communications Commission или FCC) призвала к введению регулярной отчетности по кибербезопасности со стороны производителей устройств интернета вещей. И она опубликовала соответствующий документ для перевода обсуждения в практическую плоскость.
 
FCC отметила, что широкий круг вендоров в сфере интернета вещей должны поддерживать цены невысокими, для сохранения конкурентоспособности. Как результат, у них нет никаких стимулов встраивать системы обеспечения безопасности по «доброй воле». Таким образом FCC собирается стимулировать этот процесс.
 
На столе у президента Трампа лежал на подпись указ, касающийся кибербезопасности. В Washington Post даже опубликовали проект указа. Однако президент не подписал указ как планировалось 31 января, по невыясненным причинам. Вместо этого он провел пресс-конференцию, на которой говорил о важности кибербезопасности. Так что, мы наверное еще услышим об этом или аналогичном указе.
 
Тем временем существуют и другие законодательные инициативы на федеральном уровне в США, а также в других странах. Как минимум 28 штатов США в прошлом году рассматривали или реализовали законодательные инициативы в области кибербезопасности.
 
ЕС одобрил правила в области кибербезопасности, которые обязывают бизнес укреплять свою защиту. В Австралии разработана Национальная стратегия, в соответствии с которой правительство и частный сектор работают над решением проблем кибербезопасности.
 
Целостный подход к кибербезопасности
 
Производители должны четко осознавать, что их ожидает за поворотом к кибербезопасности. Те, кто еще не вовлечен в процесс, могут начать высказывать свое мнение сейчас, до того, как законодательство по кибербезопасности будет создано. Однако надо учитывать, что поскольку законодательный процесс очень нетороплив, а технологический прогресс – наоборот, все более стремителен, законодательство, как правило, отстает от текущего уровня развития технологий на 3-4 года (и это «там» – прим. переводчика).
 
Так что бизнесу есть смысл идти дальше простого соответствия регуляторным требованиям, если его целью является реальная безопасность. То, что сейчас нужно – это понимание и активное участие не только в соблюдении текущего законодательства или создании нового, но и в разработке стратегии кибербезопасности. Стратегии, которая гарантирует, что существуют люди, процессы и технологии, обеспечивающие безопасность критически важных данных.