International Security Journal 采访了西门子智能基础设施网络安全经理Alina Matyukhina博士,讨论了不断发展的网络安全现状以及西门子即将开启的系列网络直播。
Alina Matyukhina
Q:目前企业在网络安全方面面临的最大挑战是什么?
A:过去,关闭的门可以提供足够的安全,防止建筑物内的企业受到外部威胁。但随着物联网(IoT)的采用,这种物理保护已经不够了。楼宇已变得更智能,并配备了空调、照明、智能电表、充电站监控及监控系统等联网控制系统。
由于物联网设备可以很容易地添加到任何网络中,建筑系统不再是物理上或虚拟上的隔离。事实上,连接互联网的设备可以在世界任何地方访问和控制。它们可以相互通信,也可以与组织的IT系统通信,使它们成为更大的企业级网络的一部分。但是,连接越高,IT部门的安全担忧就越多。
由于建立了通过互联网通信的设备,许多IT领导担心黑客可能会通过其构建系统和设备来攻击一个组织。这种担忧是合理的,因为大多数当前的建筑技术使用的通信协议是在信息技术(IT)和操作技术(OT)结合之前创建的。研究表明,57%的物联网设备容易受到中度或高度攻击。网络攻击已经损害了数项业务,包括医院、数据中心和酒店等关键基础设施。
Q:企业如何才能最好地防范网络攻击?
A:有多种方法可以最好地减少网络攻击,但首先,每一家企业都应该整合一种网络安全文化。人是成功有效的网络安全策略的核心。对持续培训和意识的投资将有助于保护组织免受网络攻击。
参与安全相关流程的员工应该接受充分的培训,并且应该有明确的指导,告诉谁应该与内部问题联系。但正确的专业知识也很重要:企业需要清楚这一领域的内部角色和责任,并制定一套关于应该如何处理事件的清晰的安全信息。任何可疑事件都应被视为真实事件,直到被证明是虚惊一场。
每个企业都需要一份指南,说明如何及时解决安全事件。他们必须确保他们已经做了一切可能的事情来降低被入侵的风险。至关重要的是,企业对事件保持透明,在发现漏洞时通知客户和其他需要的利益相关者。在出现问题的情况下,企业沟通与修复技术缺陷同样重要,因为网络攻击可能会损害企业的声誉,侵蚀客户的信任。
Q:西门子如何帮助企业加强网络安全?
A:西门子从网络安全之旅的一开始就在支持几项业务,并贯穿其建筑的整个生命周期。我们开发的每一个新一代产品都是安全的设计。这意味着,我们在产品的初始设计中实施了网络安全。外部安全专家在产品的整个生命周期中执行事后威胁和风险评估,以识别和降低潜在风险。这在产品开发过程的早期就开始了,并在每次重大更新时重复。
在发布新产品之前,我们会请独立的第三方机构测试我们产品的潜在漏洞。我们的客户将始终得到一个产品与最新的安全措施和更新到位。此外,我们的产品开发周期最近通过了TÜV SÜD的独立认证审核,符合IEC62443标准3级成熟度。证明产品开发过程完全符合IEC 62443-4-1的要求。
该标准包括与安全相关的要求,如能力和专业知识、第三方组件的安全、流程和质量保证、安全架构和设计、问题处理以及安全更新、补丁和安全开发环境。有了这个标准,我们就表明我们的安全相关活动在整个产品生命周期中都得到了充分的计划、记录和执行,并且我们的产品遵循安全产品开发的国际标准。
Q:西门子网络直播系列将讨论什么?
A:网络安全对于保证关键基础设施和社区正常运行至关重要。虽然网络攻击正在增加,但业主们还没有做好最坏的打算。我们将讨论为什么我们的整体网络安全方法对每个企业的成功至关重要。
Q:未来五年,网络安全领域将以何种方式发展?
A:首先,将会有一个本地安全的OT网络:我们将从使用vpn、防火墙等昂贵的额外手段来保护OT网络,转向直接使用制造商提供的标准化OT网络协议提供更内置的安全。BACnet Secure Connect (BACnet/SC)作为目前最流行的开源协议之一,将被集成到新产品中。
BACnet/SC是流行的开源通信协议Building Automation and Control Network (BACnet)的最新扩展,它可以在不同制造商的设备之间进行数据通信。它采用了与保护网上银行相同的技术。它使得通过构建网络进行的通信就像网上银行转账一样安全,因此大大降低了这种数据通信可能被操纵的风险。例如,有人可能破坏数据中心的空调,导致整个服务器群停止工作。这就是为什么我们智能基础设施越来越多地开始在我们的产品和系统中实施这个协议。
其次,将会有零接触入职:在未来,我们将会看到越来越多的物联网设备配备某种形式的零接触入职。这种技术不需要安装人员进行配置,就可以使设备进入运行状态,节省了建筑工程师大量的开发时间和昂贵的安全工程专业知识。
第三,面向IT利益相关者的OT透明:OT网络对IT部门的透明将成为一种新的规范,因为网络可视性的缺乏(以及OT网络总体的复杂性)会带来严重的安全问题。我们将看到更多的解决方案,将端到端网络安全监控降至物联网层面,作为运营监控的一部分。
Q:人们怎样才能找到更多关于这个系列的信息?
A:要获取有关该系列的更多信息,请访问 https://sie.ag/3EVesCg 并注册该活动。 之后,您将可以访问更详细的网页和每一集直播内容。 如果还有其他问题,我和我的团队将随时为您提供帮助。请随时与我们联系或访问我们的网站 https://new.siemens.com/global/en/products/buildings/cybersecurity-for-smart-buildings.html。
|