home Tecnologia de manufatura Equipamentos de Fabricação
Manufaturação industrial
Internet das coisas industrial | Materiais industriais | Manutenção e reparo de equipamentos | Programação industrial |
home  MfgRobots >> Manufaturação industrial >  >> Manufacturing Technology >> Tecnologia industrial

O que os fabricantes precisam saber sobre segurança cibernética agora - uma entrevista com Pat Toth


O número de ataques cibernéticos continua a aumentar e os criminosos cibernéticos estão cada vez mais determinados. As empresas continuam tentando navegar em uma orientação técnica confusa em um cenário digital em rápida mudança. Os pequenos fabricantes muitas vezes não acham que suas empresas estão em risco. Afinal, por que alguém iria querer atingir um pequeno fabricante rural quando há empresas maiores para atingir?

Para entender o que está acontecendo e descobrir o que os fabricantes realmente precisam saber sobre segurança cibernética, conversei com Pat Toth. Pat é um Cientista da Computação na Parceria de Extensão de Fabricação do NIST que tem mais de 30 anos de experiência em segurança cibernética e trabalhou em vários documentos de orientação de segurança cibernética do NIST.

Pergunta:Os fabricantes estão realmente sob risco de ataques cibernéticos quando comparados a outros setores? Se sim, por quê?

Pat: De acordo com o Departamento de Segurança Interna dos EUA, a indústria de manufatura é a segunda indústria mais visada com base no número de ataques cibernéticos relatados.

Acho que os pequenos fabricantes são especialmente vulneráveis ​​porque são vistos como pontos de entrada fáceis em cadeias de suprimentos maiores. Pense desta forma:se você é um criminoso e está planejando arrombar um prédio e roubá-lo, você vai tentar arrombar um prédio com equipamento de vigilância, um sistema de alarme e guardas, ou é mais provável que seja um alvo um prédio que não tem nenhum desses recursos de segurança no local? Normalmente é o último, e é por isso que os criminosos cibernéticos visam especificamente os fabricantes. Infelizmente, muitas pequenas empresas não têm medidas de segurança adequadas porque essas empresas não pensam que são alvos.

Os cibercriminosos podem estar interessados ​​em sua propriedade intelectual (IP) ou podem querer acessar informações sobre com quem você trabalha ou quem você emprega. A violação de dados do cliente da Target em 2013 é um dos exemplos mais conhecidos disso. Seu provedor de sistema HVAC foi intencionalmente visado por criminosos cibernéticos porque os hackers sabiam que poderiam obter acesso aos sistemas da Target por meio desse provedor HVAC. A violação de dados resultou no roubo de informações de cartão de crédito de milhões de pessoas.

Pergunta:Dado que os fabricantes de pequeno e médio porte (SMMs) costumam ser os alvos principais, mas também costumam ter recursos limitados, o que esses SMMs podem fazer?

Pat: Pode parecer complicado e provavelmente um pouco opressor, mas há coisas que os SMMs podem fazer que são de baixo ou nenhum custo e fáceis de implementar.

O que realmente importa é implementar políticas e educar os funcionários. Vários estudos descobriram que os funcionários são um dos pontos mais vulneráveis ​​na segurança de todas as empresas. A maioria dos funcionários simplesmente não tem consciência do que precisa estar atento e como identificar um incidente cibernético real ou potencial até que seja tarde demais. As empresas precisam se comunicar regularmente para ajudar os funcionários a entender as táticas dos criminosos cibernéticos e a função crítica que desempenham na prevenção de incidentes cibernéticos.

Por exemplo, sua empresa deve ter uma política em vigor para o uso de mídia social no local de trabalho. Alguns funcionários esperam acessar as mídias sociais durante o dia de trabalho. Existe um ato de equilíbrio que as empresas enfrentam - permitir que os funcionários acessem as mídias sociais e proteger seus sistemas. Então, como você fará isso? Você estabelece uma política. A política pode ser que você não permita o uso de mídia social nos sistemas da empresa. Talvez você forneça uma rede semipublica separada para as pessoas acessarem as mídias sociais ao longo do dia que não exponha sua empresa a riscos. Qualquer que seja sua política, certifique-se de que seus funcionários estejam cientes dela, entendam por que ela existe e as consequências potenciais se a política for violada.

Pergunta:É bom saber que não existem soluções de baixo custo que os fabricantes podem implementar. Se uma empresa está pronta para melhorar sua segurança cibernética, por onde ela deve começar?

Pat: Comece examinando o NIST Cybersecurity Framework e o NISTIR 7621 Small Business Information Security:The Fundamentals. A Estrutura de Segurança Cibernética consiste em padrões, diretrizes e melhores práticas para gerenciar os riscos relacionados à segurança cibernética. Ele fornece uma abordagem priorizada, flexível e econômica para proteger os sistemas. Segurança de informações de pequenas empresas:os fundamentos são baseados na Estrutura de segurança cibernética e fornecem uma visão geral mais gerenciável para os tomadores de decisão da empresa que podem não ter formação técnica. Ele também se concentra em como avaliar e priorizar as funções de segurança.

Para começar, aqui está um breve resumo do que você encontrará no Framework.

A primeira etapa é Identificar . Identifique as informações mais valiosas para sua empresa. Esta é a informação que, se perdida ou modificada, interromperia suas operações. Por exemplo, digamos que você seja um fabricante de alimentos e faça biscoitos de chocolate usando a receita da sua avó. Essa receita é vital para o seu negócio e deve ser protegida contra roubo ou modificação para que o seu negócio possa continuar.

A segunda etapa é Proteger . Você conversou com gerentes e funcionários e usou este feedback para identificar as informações mais importantes para sua empresa. Agora é hora de decidir o que precisa ser feito para proteger adequadamente essas informações. Esta etapa depende muito das ameaças e vulnerabilidades específicas de sua empresa. As pequenas empresas que simplesmente trabalham com os clientes por meio de interação face a face ou por telefone não terão tanto a proteger quanto as empresas que conduzem negócios por meio de e-mail e portais da web. Na verdade, depende do seu ambiente operacional quanto à proteção que você precisa implementar.

A terceira etapa é Detectar . Você precisa ser capaz de detectar quando ocorreu um incidente cibernético. Você deve ter sistemas antispyware, antivírus e de detecção de intrusão atualizados. Você também deve considerar seu espaço físico. Considere coisas como se você precisa ser alertado quando as pessoas acessam áreas que não deveriam. Seja um incidente digital ou físico, é importante saber quando o incidente aconteceu e a que a (s) pessoa (s) teve acesso.

A quarta etapa é Responder . Quando ocorre um incidente cibernético, sua empresa precisa responder rapidamente para mitigar os danos potenciais. Você precisa ter um plano antes que algo aconteça. O plano deve incluir quem é o responsável e quem deve ser contatado quando algo ocorrer. Além disso, os funcionários devem saber como acessar o plano durante e após o horário comercial.

Lembra-se da escola primária, quando praticávamos exercícios de incêndio algumas vezes por ano? Assim como aqueles exercícios de simulação de incêndio, sua empresa deve praticar regularmente sua resposta a incidentes cibernéticos para que os funcionários saibam exatamente o que fazer se ocorrer um incidente cibernético.

A quinta e última etapa é Recuperar . Você deve realizar backups regulares para que possa recuperar seus sistemas. Esses backups devem ser armazenados em um local separado ou na nuvem. Você precisa testar seus backups. Se você não testar suas informações de backup, não terá certeza de que será capaz de se recuperar totalmente de um evento. A frequência com que você decide testar seus backups deve se basear na importância das informações para as operações da empresa.

Esta não é uma situação “tamanho único” e você deve decidir o que funciona para sua empresa e sua cultura. Para uma empresa, o teste uma vez por ano pode ser suficiente. Para outra empresa, pode ser necessário testar uma vez por semana. Não é uma resposta fácil de ouvir, mas realmente requer olhar para seus sistemas para ver onde você está vulnerável, sabendo as ameaças que você enfrenta e como irá neutralizá-las.

Pergunta:Digamos que minha empresa tenha implementado medidas de segurança adequadas e criado um plano de resposta:O que vem a seguir?

Pat: Esta não é uma atividade "pronta e pronta". Você não pode escrever um plano de resposta e colocá-lo na prateleira. Este deve ser um documento vivo. Todos precisam conhecer sua postura de segurança cibernética e como você pode continuar a aprimorá-la.

Cada vez que você compra um novo equipamento ou contrata um novo funcionário, precisa pensar sobre como essas atividades afetam a sua segurança. Para empresas menores, isso pode ser difícil. Com muita frequência, vejo casos em que uma empresa cresceu rapidamente e esquece que nem todos precisam de acesso a todas as informações. Pode levar algum tempo, mas a administração precisa examinar uma lista de funcionários e ver o que eles devem e não devem ter acesso. Alguém na fábrica não precisa de acesso às informações da folha de pagamento. Definir funções e implementar a separação dessas funções pode ser difícil, mas é necessário quando se pretende proteger sua empresa contra ameaças cibernéticas.

Acho que a segurança cibernética e a qualidade têm muitas semelhanças em termos de adoção. Muitas empresas demoraram a adotar sistemas de qualidade como a ISO 9000. Um dos principais componentes da qualidade é a mentalidade de uma empresa. A segurança cibernética não é relegada apenas à pessoa de TI ou responsável pela cibernética - cada funcionário em todos os níveis da empresa tem alguma forma de responsabilidade. A segurança cibernética precisa fazer parte da cultura de uma empresa - assim como a qualidade - para ser eficaz.

Perguntas:onde posso encontrar informações para instruir meus funcionários sobre o que eles podem fazer para reduzir o risco cibernético da empresa?

Pat: Vá para a página da web de recursos de segurança cibernética do NIST MEP. Nesta página, você encontrará uma série de recursos, incluindo uma ferramenta simples de autoavaliação que você pode usar (com base na Estrutura de Segurança Cibernética do NIST) para autoavaliar o nível de risco cibernético de sua empresa. A autoavaliação pode ajudá-lo a determinar onde estão os pontos fracos da sua empresa e onde concentrar os recursos para melhorá-los. Não rastreamos suas informações nem guardamos os resultados. Depois de fazer a avaliação, você receberá uma pontuação para saber onde estão seus pontos fracos em relação aos seus esforços de segurança cibernética. Você também pode entrar em contato com um dos 51 Centros MEP, localizados em todos os 50 estados e em Porto Rico, que fazem parte da Rede Nacional MEP TM para perguntas ou ajuda.

Tecnologia industrial

  • Processo de manufatura
  • impressao 3D
  • Sistema de controle de automação
  • Tecnologia industrial
    1. O que você precisa saber sobre IoT e segurança cibernética
    2. Marketing de CBD 101:O que os fabricantes devem saber sobre conformidade
    3. O que os fabricantes precisam saber sobre chatbots
    4. Comprou uma casa com fornalha a óleo? O que você precisa saber sobre entrega de óleo
    5. O que as PMEs precisam saber sobre o USMCA em julho
    6. O que você precisa saber sobre a certificação CMMC
    7. O que você precisa saber sobre montagem de PCB
    8. Metrologia básica:o que você precisa saber sobre medições de precisão
    9. O que você precisa saber sobre financiamento de equipamentos
    10. Seção de impostos 179:o que os fabricantes precisam saber