Um insider's 11 Take-Aways de empresas vencedoras de cibersegurança industrial (IIoT)

Conforme você lê blogs e artigos sobre segurança cibernética e a Internet das coisas industrial ( IIoT ), é fácil ficar tão focado nas complexidades (e há muitas), que você perde de vista o quadro geral. Há uma grande oportunidade neste espaço - inexplorada pelos atuais participantes da segurança cibernética de TI.

Em termos mais simples, ao proteger contas de consumidor gratuitas como contas do Gmail ou do Facebook, a motivação para investir em segurança é impulsionada por certos objetivos - proteger a confiança do cliente, evitar um impacto desagradável na reputação da empresa, etc. claro, preocupações reais e importantes. Mas quando uma empresa industrial está tentando proteger uma turbina de $ 10 milhões, a economia de investir em segurança torna-se muito diferente - e muito mais simples. Há uma razão pela qual muitos dos investimentos atuais em segurança são direcionados para o espaço industrial:é um mercado extremamente promissor - e onde as inovações podem ter um impacto enorme.

GE Ventures, a subsidiária de capital de risco da General Electric, é uma das organizações que reconhece as grandes oportunidades (e ainda maior responsabilidade) para reduzir custos e eliminar o tempo de inatividade não planejado para seus clientes. Eles trabalham em estreita colaboração com empresas industriais há décadas. A empresa também construiu relações de confiança de longa data com os clientes e os ajuda a aproveitar as vantagens da Internet industrial e protegê-los de seus riscos inerentes. Eles estão enfrentando esse desafio - sua própria arquitetura Predix, uma plataforma que ajuda a otimizar os processos de negócios industriais, tem uma estratégia abrangente de segurança em profundidade.



Além da estratégia de segurança em profundidade em sua plataforma, a GE Ventures está sempre em busca de startups que estão promovendo a arte da segurança cibernética industrial. De acordo com eles, existem alguns muito talentosos por aí. Obviamente, a IIoT não é um mercado fácil de entrar para startups. As redes industriais são diferentes da TI corporativa, o que as torna um lugar terrível para o trabalho clandestino - ter um ótimo roteiro de produtos em TI tradicional não é um direito de nascença para ter sucesso na segurança cibernética industrial. Mas existem alguns pontos em comum entre as startups mais bem-sucedidas e promissoras neste espaço. Aqui estão alguns da perspectiva da GE Ventures:

1.) Eles sabem o que fazem.

Existem muitas coisas que a GE considera ao avaliar uma startup:Uma equipe com as especialidades certas. Tecnologia diferenciada. Mas o fator mais importante que separa as empresas que estão nadando na água daquelas que já nadam é que elas são compostas de cima para baixo por pessoas que "obtêm" aplicações industriais.
As startups mais bem-sucedidas têm um tipo de conhecimento institucional de controle industrial sistemas (ICS) - muitas vezes adquiridos trabalhando na indústria em suas carreiras anteriores. Eles aprenderam lições importantes (às vezes da maneira mais difícil):eles conhecem o mercado. Eles entendem suas restrições. Eles entendem por experiência a superfície de ataque e a exposição. E estão sempre, sempre de olho na bola:a continuidade dos negócios do cliente.

2.) Eles fazem o juramento hipocrático da IIoT:Primeiro, não faça mal.

Não importa em que estejam trabalhando, as startups IIoT de sucesso nunca perdem de vista o objetivo principal de seus clientes:esta máquina não pode falhar. Qualquer que seja o trabalho que estejam fazendo para proteger um sistema, eles sabem que não pode, de forma alguma, desacelerar ou destruir ativos industriais. Eles criam uma camada de segurança que é pelo menos tão ágil, senão mais, do que os dispositivos e sistemas que protege.

3.) Eles não tornam as coisas mais difíceis para o cliente.

As startups da IIoT bem-sucedidas sabem que seu cliente-alvo faz as coisas de certa maneira há anos. Eles sabem que não devem fazer suposições de que esses clientes têm os mesmos recursos internos e conhecimento institucional que uma empresa não industrial teria - ou, quando se trata de software, que eles falam a mesma língua. E eles não presumem que o cliente estará disposto a preencher as lacunas que se perderam na tradução. As startups IIoT mais promissoras estão prontas para fornecer soluções de TI para o setor industrial e não têm medo de deixar claro que é aí que reside sua especialidade. Mas eles saíram do portão falando OT.

4.) Eles tornam a segurança integrada.

As startups da IIoT bem-sucedidas sabem que tratar a segurança como um recurso adicional ou aumento de vendas nunca funcionará. Seus clientes esperam que a segurança seja incorporada ao produto e totalmente integrada ao processo industrial existente.

5.) Eles não tentam comer o bolo inteiro de uma vez.

A segurança de TI corporativa e a segurança cibernética IIoT são dois animais totalmente diferentes. Você não pode simplesmente transportar algo de um mundo para o outro. Ainda assim, há lições a serem aprendidas com a evolução da segurança corporativa. Entre as maiores startups de IIoT que aderem:elas não tentam resolver o problema de segurança de uma só vez.

No mundo corporativo, começamos com um grande problema (proteger ativos digitais e dados) e, por fim, o dividimos em vários problemas menores:segurança de perímetro, identidade / autenticação, prevenção contra perda de dados, conformidade, etc. Inicializações Smart IIoT aplique o mesmo pensamento à segurança cibernética da IIoT. Eles não procuram "resolver" a segurança cibernética industrial. Eles estão atacando problemas menores e discretos e desenvolvendo soluções úteis.

6.) Eles partem do pressuposto de que irão ser direcionado.

Até mesmo as maiores e melhores empresas digitais do mundo encontram código malicioso ou inexplicável em seus ambientes - às vezes, ameaças que estão adormecidas há anos. As startups Smart IIoT esperam que suas soluções estejam sujeitas aos mesmos tipos de ameaças maliciosas e / ou de coleta de inteligência. Isso não significa que eles não gastem muito tempo e esforço tentando evitar violações. Mas eles gastam o mesmo tempo e esforço certificando-se de que, se alguém entrar, eles possam isolar a violação e impedir que ela se infiltre no resto do sistema. E eles reconhecem que a superfície de ataque do ICS se estende além dos próprios dispositivos industriais e redes, para todas as partes da organização e da cadeia de suprimentos.

7.) Eles estão prontos para escalar.

Startups da IIoT bem-sucedidos nunca se esquecem de que, para clientes industriais, o tempo de inatividade zero é aceitável. Eles sabem que não basta ter uma boa tecnologia - eles precisam estar prontos para usar essa tecnologia em uma escala de milhares de implantações, às vezes em vários países, às vezes durante a noite.

8.) Eles sabem que a segurança começa bem antes de conectar um único dispositivo industrial.

As startups IIoT bem-sucedidas reconhecem que algumas das vulnerabilidades mais perigosas não são apenas falhas em seu código, mas fraquezas em sua cadeia de suprimentos. Eles sabem que qualquer OEM que incorpore subconjuntos feitos por terceiros pode potencialmente introduzir firmware adulterado em seu sistema por acidente. E eles aprenderam a lição com fornecedores que tinham tecnologia excelente, mas viram os negócios evaporarem porque o cliente percebeu que estava usando um fornecedor não confiável para um componente da cadeia de suprimentos. As startups IIoT sólidas tomam medidas para proteger seus produtos durante todas as etapas, desde a construção até o envio, quando podem estar mais vulneráveis ​​a erros ou agentes mal-intencionados.

Uma das áreas mais interessantes agora sendo exploradas:livros-razão públicos. Um número crescente de empresas está procurando tecnologias de contabilidade pública Blockchain para ajudar a autenticar ativos e fornecer uma trilha de auditoria com cadeia de custódia de ponta a ponta. (Grupos da indústria também estão se envolvendo - a Trusted IoT Alliance anunciou recentemente uma nova iniciativa para promover livros-razão padrão para autenticar dispositivos de IoT.) Ainda é muito cedo, mas um trabalho como este pode ser extremamente valioso para ICS, onde muitas categorias de não Ativos de TI (motores, peças, sub-peças) estão se conectando de volta ao backbone de TI.

9.) Eles não se distraem com palavras da moda.

O espaço de inicialização, ou pelo menos a mídia que o cobre, tende a ser excessivamente sensível ao ciclo de hype. Qualquer que seja o conceito mais recente (atualmente, IA e aprendizado de máquina), as empresas se apressam para garantir que podem afirmar que marcaram essas caixas. As startups da IIoT bem-sucedidas não perdem tempo se preocupando com o último sabor do mês. Eles estão focados em fornecer respostas concretas para problemas industriais específicos.

10.) Eles entendem a necessidade de proteger os dados em repouso e em movimento.

Os clientes industriais precisam de soluções não apenas para proteger os dados na extremidade - onde mais dados do que nunca estão sendo coletados e processados ​​- mas também para proteger os dados em movimento enquanto eles viajam para a nuvem.

Os dados em movimento representam um desafio particularmente complicado para os sistemas industriais. Algumas empresas neste espaço estão desenvolvendo soluções para simplificar a passagem de dados criptografados, eliminando a necessidade de descriptografar os dados em qualquer ponto em trânsito e seus riscos associados.

11.) Eles entendem que o trabalho nunca acaba.

Boas startups de cibersegurança reconhecem que nunca estarão “acabadas” com sua solução e não se sentem muito confortáveis ​​com seu design atual. Eles entendem que a segurança cibernética do mundo real significa iteração contínua e indefinida.

---

Esta não é uma lista abrangente. Mas se você está traçando o curso das empresas que desenvolvem novas soluções interessantes em segurança cibernética IIoT, é um bom lugar para começar.

Autores:Michael Dolbec &Abhishek Shukla, Diretores Administrativos da GE Ventures