制造業IT-OT安全的5個融合解決方案
責編:gltian |2019-03-05 14:12:34在融合OT與IT技術上,工業,尤其是零部件制造業,明顯落后于其他行業。舉個例子,金融機構和醫療設施都已將運營技術,比如暖通空調系統及樓宇自動化設備,融合進了用于通信的IP網絡。但制造業卻仍在觀望,懼怕融合動作會導致宕機停產或引入不必要的漏洞。
但步履緩慢并非全無進展。事實上,緩慢的融合反而有利行業發展。工控制造業仔細審查自身系統現狀,并積極采納適應其獨特屬性的關鍵理論及最佳實踐方法,目前已經已經可以趕上并開始獲得金融、消費和醫療市場上如今方興未艾的那些生產、經濟和安全效益。
我們必須承認,在實現OT-IT上工業面臨的難題遠比其他行業來得多。制造業工廠車間滿是成千上萬的零散部件。生產線上的一個小裂縫都可能會造成數百萬美元的損失,對工人造成身體傷害,甚至使客戶處于危險之中。因此,OT部門建立了規避風險的環境。
OT和IT部門的職能劃分長久以來保護著生產車間,使它們免遭網絡安全風險侵害。然而,隨著IIoT和其他聯網設備的興起,運營經理如今面臨新的挑戰和責任:需求很高、資源緊張、殘酷的安全威脅數不勝數。
無論融合過程多么痛苦,拒絕融合都是不現實不理智的。OT與IT的融合對IIoT的好處不可否認,且能給制造商帶來贏取市場空間與份額的競爭優勢。
德勤律師事務所最近公布的一份報告就指出:
迪爾公司制造帶有衛星導航、實時數據監測等功能的智能聯網產品。數據通過傳感器被收集并推送到云端進行分析,幫助客戶做出明智的決定。通過網頁平臺,該公司還可以遠程診斷機器,并幫助客戶憑借預測性維護明智決策,減少宕機時間。透過核心數字創新,迪爾公司已經能夠向其客戶提供持續的價值。
問題的解決肯定不會那么容易,但專注未來的制造商可以參考迪爾公司的成功戰例,避開一些早期陷阱,打造一個更安全、更賺錢的環境。
1. 構筑溝通的橋梁
OT與IT的融合在精明的制造商中間不算秘密,但融合有很多方面及技術影響。想將這些團隊都統合到同一個安全策略下,需要了解每個部門及其獨特的職能。
成功的融合需要構筑溝通的橋梁,CISO就是理想的橋梁構筑者。羅馬非一日建成,OT和IT不僅運營方式各異,而且歷來抗拒改變并互不信任。
在融合過程開始前每周召開OT-IT親善交流會是個不錯的開端。隨著雙方各自擺出領域內的獨特經驗,兩個部門便有了合作解決問題的基礎。
2. 思想的碰撞
如下表所示,每個部門都需要了解對方職能范圍內的方法論。比如說,電子郵件服務器下線10小時似乎是可以接受的,因為這僅僅影響到郵件服務,但工廠停工1小時都有可能讓公司損失掉不小的生產力。
OT與IT的差異
研究顯示,利益相關者之間意見不合往往是阻礙項目成功的絆腳石。反過來說,納入利益相關者不僅能清除隔閡,還能將工作提升到戰略高度,推動跨部門主人翁意識。
很多成功的OT與IT部門都通過部門間輪崗、工作共享等方式建立了“交換”項目,保持聯系,鍛造更強的合作伙伴關系。
3. 明確責任
從本質上講,融合打開了安全假定的大門。各部門可能會簡單地假定其他部門負責特定安全職能。但這種“模糊的安全”已不再是可接受的操作,尤其是在如今萬物互聯的商業通用基礎設施中,OT經理必須要承擔安全職責。
組成統一管理,共同承擔責任的聯合任務組有助于增強凝聚力和支持業務目標,尤其是在實現集成安全策略的時候。
4. 構建信任
盡管兩個部門間的信任不能一夜建成,但可以加速建成。
先從能帶來可感知的價值的低風險小型實驗性項目開始。確保記錄下所有重要經驗。這么做不僅可以構建信任,還能創造出發展團隊成員間跨職能技能的機會。
5. 敏捷性
沒有敏捷性就沒有成功,打破整個網絡中拖慢安全實現的壁壘十分重要。安全既是風險,同時也是有助緩解威脅的機會。Gartner認為,OT和IT融合能帶來巨大回報。
成功實現OT-IT融合計劃的大多數公司,在彈性安全策略的支持下,通過優化業務過程、增強信息支持決策、降低損耗、減小風險和縮短項目時間線,撐起了敏捷的企業運作,獲得了豐厚的安全投資回報(ROSI)。
德勤律師事務所報告: