Апрель 2015 скачать эту статью как PDF

В. как защитить мой цифровой поставок?

А. КЕОС и группы управления знают, что цифровая безопасность имеет важное значение. Но, просто сделать его организационным приоритетом является гораздо проще, чем зная, как для оценки уровня безопасности Организации, а затем принимать соответствующие меры по выявлению и смягчению от соответствующих рисков в их цепи поставок. Тем не менее этот вопрос не может быть нырнул, с высоким профилем компьютера хаки на предприятия, такие как Sony Pictures и американской розничной цели, выделяя как уязвимые компании могут быть (Richwine, 2014; Ян & Джаякумара, 2014). В каждом случае хакеры имели возможность удаленного доступа ключевых ИТ-систем и украсть, что они хотели. Что касается цели, что данные кредитной карты клиента и другие личные данные; в случае Sony Pictures-Ну, почти все.

Беда в том, что многие предприятия по-прежнему просматривать его безопасности через призму простых атак, основанных на мошенничества, например, на мишени, где цель была финансовой выгоды. Слишком мало предприятий были обеспокоены Sony стиль хаки, где цель была намеренно причинить ущерб бизнес взлом-ущерб вызванных такими вещами, как кража интеллектуальной собственности, репутационные последствия, бизнес-процессов, и – потенциально – использование незаконного доступа к причинить физический вред критической инфраструктуры и оборудования.

Тем не менее, нельзя отрицать, хотя повреждение на Sony Pictures кажется,-учитывая, что хакеры украли электронные письма, финансовые данные и еще не выпустила фильмы-атака Sony может быть нетипичными, в том, что хакеры ориентации его центральных административных систем ИТ: финансовые системы, людские ресурсы, электронная почта и так далее (Richwine, 2014). Sony Pictures был запуск мельницы производство бизнес, также было бы обширный набор производства и поставок систем управления для привлечения лиц с намерением злокачественных: склад систем управления для остановки, вместе с контроллером системы SCADA, которые контролируют завод Пол машины; создание систем управления к нарушению; Секреты рынка, чтобы украсть из ERP-систем (ERP); и богатые cornucopia связанных с продуктом интеллектуальной собственности в системах управления (PLM) жизненного цикла продукта.

Итак как реальная опасность для бизнеса цепочки поставок и систем управления цепями поставок? И что можно сделать, чтобы минимизировать их? В подразделах, которые следуют за мы определить пять областей для руководителей и директоров производственных и производственно-сбытовых цепочек сосредоточиться на обеспечении.

Обеспечение безопасности корпоративных ресурсов планирования и других центральных административных систем

Хотя обычные производители, как правило, не имеют цифровых продуктов для защиты, они имеют много конфиденциальной информации, например, прайс-листы, списки клиентов, списки поставщиков, поставщиков механизмов ценообразования, внутренние сообщения электронной почты и так далее (Уитли, 2011).

Итак что может сделать бизнес, чтобы свести к минимуму опасность кибер атак на их цепочки поставок? Изучение, что пошло не так на Sony и других громких хаки будет полезным началом. Используйте надежные пароли, например,- и, в частности, не следуют Sony свинца, сохраняя их на сервере, вместе с данными они предназначены для защиты в незашифрованной папке, помеченные «пароль» (Кертис, 2014). Рассмотрим также, хранение ультра-чувствительных данных отдельно от центрального планирования общеорганизационных ресурсов системы и ее обширной пользовательской базы, чтобы избежать прав скомпрометированных доступа к транзакционных данных, ведущих к более серьезного нарушения (Уоррен, 2014).

И, пожалуй, самое главное, настаивают на использовании виртуальной частной сети в сочетании с двухфакторной проверкой подлинности – особенно для сотрудников (и бизнес-партнеров), удаленного доступа к ключевым системам (Уитли, 2008). Требуя от людей, которые получают доступ к цифровые данные сначала вставить физический маркер (например, зашифрованные USB-ключ) или ввести код 2 фактора для того, чтобы доказать, что они кто их логин утверждает, что они, хакеры должны приобрести скомпрометированных логин и скомпрометированных форма двухфакторной идентификации, который является более сложной задачей (Уоррен, 2014).

Обеспечение безопасности важных оперативных систем на этаже фабрики

Впоследствии приписано американские и израильские спецслужбы, известные нарушения Ираном программы обогащения урана в 2009 году был впоследствии объяснить сложный вирус, называемый Stuxnet, которые ориентированы Siemens S7-315 программируемые логические контроллеры в использовании на Иране Натанзе обогащение объекта, произвольно изменяя скорость центрифуги и повреждения их роторов не подлежит ремонту (Goodwin, 2011). Похоронен глубоко под землей, объект рассчитывал быть застрахована от потенциальных бомбардировок атак – но быстро становятся жертвами целенаправленных вредоносных программ. Stuxnet, это вообще принято, имели значительные ресурсы для развития. Он был описан как «первый кибер мире, супер-оружие» (Goodwin, 2011).

Но, Бар становится ниже: по данным инцидентом, раскрывается в 2014 году ежегодном докладе Федерального ведомства по информационной безопасности (BSI) (BBC, 2014), Доменная печь на немецкий металлургический завод пострадал «значительный ущерб» после того, как хакеры использовали загрузки вредоносного сообщения электронной почты, чтобы получить доступ к ООН назвал сталелитейного автоматизированных систем управления. По-видимому социальной инженерии и фишинг кампании была проведена для получения паролей и регистрационные данные для мельницы внутренней администрации системы, из которой удалось мост через системы управления доменной печи.

Очевидно опасности являются значительными. Производителя, например, может эффективно быть привлечены к тупик систем управления складом несбалансированной, диспетчерского контроля и системы сбора (SCADA) данных (как и в Иране) и нарушается выполнение производственных систем – все из которых обычно рассматривается как «часть сантехники» и редко считаются уязвимыми для внешней угрозы. С учетом примеров недавних кибер атак, описанных здесь это предположение теперь выглядит довольно оптимистично.

Что можно сделать для предотвращения подобных атак? Опять же большая часть битвы должна быть чтобы предотвратить доступ к первоначально скомпрометированной системы. Но, например, признавая, что ни одна система не может быть полностью защищена от атак, компании должны «закалить» их завод пола системы, устраняя телефонные модемы и доступ в Интернет, часто встречаются с такими системами (используется для удаленной диагностики и управления вне часов), физически отключение портов USB и даже физически отключение таких систем от более широких сетей (Уитли, 2003, 2007, 2011, 2014). В последнем случае, результат будет потеря такого рода цепочки поставок и на предприятии работы, в ходе видимости, что менеджеры часто стремятся доставить, но по крайней мере в заводских систем будет более безопасным.

Обеспечение безопасности систем управления зданиями

Управление зданиями все более автоматизирован, с компьютерами, постоянно контролируя отопления, освещения и кондиционирования воздуха. Более настораживает компьютеры также управления лифтов, безопасности доступа, системы охранной сигнализации и камеры видеонаблюдения. Любые нарушения этой функциональности существенно неудобства или даже поставить под угрозу компании. Отопление, освещение и кондиционирование воздуха, не работает, Лифты не работают, или ведет себя непредсказуемо: эти события не обязательно угрожающих жизни или бизнес критические, но они, безусловно, стоит внимательно рассмотреть.

Тем не менее некоторые из этих атак осуществляется легче, чем это предполагалось. В 2013 году, например, два безопасности исследователи обнаружили, что они легко могут получить доступ к зданию системы управления в офисах Google Австралии в разделе Pyrmont Сиднея, Австралия. Системы были подключены к Интернету так что специалист сторонних поставщиков могут удаленно управлять внутренней среды здания – но, видимо без должного внимания к настройке системы надежно или применения обычных патчей (Зеттер, 2013). В этом случае намерение не злокачественные: исследователи просто оценка и выделение рисков для бизнеса с помощью небезопасных систем управления зданием. И хотя нет никаких доказательств в общественном достоянии, что такие нападения происходят, то, что они возможно означает, что материальное-если не обширны – существует риск. Предположим, например, что хакеры удалось переопределить системы доступа к безопасности, которые регулируют внутренние- и внешние – дверные замки. Или удаленно выключить системы видеонаблюдения и камер, наблюдая физического периметра здания. При таких обстоятельствах злоумышленники могут получить доступ к любой части здания, с безнаказанностью.

И что предприятия делают об этом? Не хватает, на наш взгляд. Такие системы рассматриваются как «низкого риска»-как SCADA системы, до Stuxnet, конечно.

Тем временем важно подчеркнуть необходимость изменить по умолчанию логины и пароли для таких систем и проводить регулярные проверки безопасности систем управления зданиями в таким же образом, что безопасность других бизнес-систем регулярно проверяется. Казалось бы, также будет хорошей практикой, чтобы принять меры к тому, что цифровое «имя» используется в Интернете для данного здания система управления не предоставляет подсказки относительно физического местонахождения здания и собственность-Google hack, например, был вдохновлен хакеров, открывая что уязвимые здания системы управления, открыто видимым в Интернете , было слово «Google» в его имени, что побудило их зонд дальше (Зеттер, 2013).

Обеспечение безопасности поставщика порталы

В конце 2013 года американский розничный Целевая узнал, что хакеры удалось украсть личные данные и данные кредитной карты до 110 миллионов клиентов, впервые использовав скомпрометированных логин от поставщика системы для того, чтобы затем мост через собственные цели его систем и центров данных (Файнберг, 2014; Ян & Джаякумара, 2014). Репутационный ущерб был огромен, с нервной клиентов, беспокоясь, что будущие поездки за покупками в цель может привести в них быть обмануты. Как главный исполнительный секретарь и главный сотрудник по вопросам информации потерял свою работу. И компании смущения усугубляются известие, что хакеры были замечены с помощью сложного обнаружения системы что компания установил-которые были выданные предупреждения, которые были проигнорированы (Райли и др, 2014). Тем не менее поставщик доступа для планирования ресурсов предприятия и других систем является очень распространенным. Для более десяти лет, была достаточно обычной для компаний в определенных отраслях – среди них автомобильной, аэрокосмической и потребительских товаров отрасли – для предоставления поставщикам права доступа к их корпоративных приложений с целью загрузки заказов, Загрузка счетов-фактур и отчет о состоянии доставки.

Но если целевой эпизод вызывает второй мысли об этой практике, возникающих Интернет вещей парадигмы выглядит набор только усиливают эти озабоченности. Проще говоря, Интернет вещей позволяет компьютер устройство и устройство для подключения между торговыми партнерами. Оборудование клиентов помещений могут «позвонить домой» когда он требует расходных материалов пополняемый, или когда она нуждается в обслуживании. Инновационные «плата за использование» бизнес-модели также появляются.

Итак что можно сделать для защиты таких соединений? Как на цель, электронная бдительность один ответ – при условии, что слушали все сигналы тревоги, не отключается. Но некоторые эксперты ИТ идти дальше, вызывая для соединений между торговыми партнерами, чтобы быть «dumbed вниз», с помощью электронной почты на основе текста, вместо того, чтобы полностью цифровой «ERP системы ERP-системы» соединения (Уитли, 2014). На основе правил анализатора на получателя бизнес затем принимает прибывающих текст и кодирует его. Такой подход не хватает эффективности, но предпочтительно, чтобы быть взломан и представляется разумным, если оценки риска предложить материальный риск.

Обеспечение безопасности систем, содержащих связанные с продуктом интеллектуальной собственности

2011 года докладе по ИТ-консультантов Detica – дочерней обороны подрядчика BAE Systems – в сочетании с правительства Великобритании управление кибернетической безопасности и обеспечения информации в кабинете, положить стоимость «киберпреступность» экономики Великобритании в 27 млрд фунтов стерлингов в год. От что £27 миллиардов ($50 млрд CAD), чуть более трети – £9,2 млрд ($17,2 млрд CAD) – состоит из потери интеллектуальной собственности Великобритании предприятиями, с высокотехнологичных производителей, начиная от аэрокосмической до электроники и фармацевтических производителей, считаются наиболее риску (Detica, 2011).

Следовательно Министерство обороны Великобритании выдвинула инициативу кибербезопасности в феврале 2013 года, в частности стремится защититься от потери военной техники – не от своих основных подрядчиков, а от его главных подрядчиков поставщиков (Уитли, 2013). Начато в свете нарушений безопасности ИТ на американский производитель аэрокосмической Lockheed Martin, сообщение было бескомпромиссно: это очень реальная угроза промышленного шпионажа и государственного промышленного шпионажа. И в сегодняшнем взаимосвязанном мире, так же важно, как производителей собственных систем безопасности поставщиков систем. Не то, что безопасность производителей собственных систем могут быть приняты должное: в 2014 году, Министерство юстиции Соединенных Штатов взимается пять офицеров китайской армии с краже коммерческой тайны и внутренних документов от пяти компаний, в том числе Westinghouse Electric, нас стали, Alcoa и Allegheny технологии (Сигал, 2014).

Но, что именно предприятия сделать, чтобы защитить себя, особенно в мире, где все более короткий продукт жизненных циклов и R&D программы выступают предприятия как оцифровать их продукта данных в системах управления (PLM) жизненным циклом продукта, а затем связать эти PLM-система их ERP-систем?

Опять же может помочь двухфакторной аутентификации, требуя от пользователей цифровых данных для первого вставить физический маркер или два фактора кода для того, чтобы доказать, кто они. Еще одним вариантом является распространение цифровых данных: через «Сервер политики прав» и «LiveCycle Rights Management» технологии, Adobe, например, предлагает зашифрованные документы Adobe Acrobat PDF, специально предназначенные для безопасного распространения в производственно-сбытовые цепочки, которые не могут быть открыты неуполномоченными третьими лицами, и какой «время истекает» после заданного интервала. (Adobe, 2015)

Предприятиям следует также рассмотреть вопрос о строгих проверок своих поставщиков ИТ безопасности политики и практики и дает больший вес на ИТ-безопасности в рамках оценки общего поставщика. Покупатели покупают от дешевых поставщиков, или наиболее безопасным? Хотя в идеале бизнес хотите оба, будут моменты, когда выбор должен быть сделан.

 


Ссылки

Adobe. к 2015 году. Защита документов с помощью Adobe LiveCycle Rights Management ES. Adobe.com. Доступ к 1 марта,
2015:http://help.adobe.com/en_US/acrobat/X/pro/using/WS58a04a822e3e50102bd615...

BBC. 2014. Hack атака причины "значительный ущерб» на металлургический комбинат. 2014. BBC, 22 декабря 2014 года. Доступны с 1 марта
2015:http://www.bbc.com/news/technology-30575104

Кертис, котрі 2014. Sony спас тысячи паролей в папке с именем «Пароль». Телеграф, 5 декабря 2014 года. Доступ к 1 марта,
2015:http://www.telegraph.co.uk/technology/sony/11274727/Sony-saved-thousands...

Detica. 2011. Стоимость кибер-преступности: Отчет Detica в партнерстве с управлением кибер-безопасности и обеспечение информации кабинета. Суррей, Великобритания: ООО Detica https://www.gov.uk/government/uploads/system/uploads/attachment_data/fil...

Файнберг, а. 2014. В прошлом месяце массивные целевой рубить был Отопление парень вины. Gizmodo, 5 февраля 2014. Доступ к 1 марта,
2015:http://gizmodo.com/last-months-massive-target-hack-was-the-heating-guys-...

Гудвин, C. 2011. Червь, который угрожает миру. Sunday Times, 4 декабря 2011. Доступны с 1 марта
2015:http://www.thesundaytimes.co.uk/sto/Magazine/Features/article829818.ece

Richwine, л 2014. Кибер атака может стоимость Sony Studio 100 миллионов $. Reuters, 9 декабря 2014 года. Доступ к 1 марта,
2015:http://www.reuters.com/article/2014/12/09/us-sony-cybersecurity-costs-id...

Райли, м., Александрова, б., Лоуренс, д. & Мэтлэк, C. 2014. Пропущенные сигналы тревоги и номера 40 миллионов украденных кредитных карт: Как целевой взорвал его. Bloomberg Business Week, 13 марта 2014 г. Доступ к 1 марта,
2015:http://www.bloomberg.com/bw/articles/2014-03-13/target-missed-alarms-in-...

Сегал, а. 2014. Министерство юстиции обвиняет китайских хакеров: Что дальше? Форбс, 19 мая 2014 года. Доступ к 1 марта,
2015:http://www.forbes.com/sites/adamsegal/2014/05/19/department-of-justice-i...

Уоррен, C. 2014. Четыре безопасности вынос из эпоса Sony Hack. Mashable, 3 декабря 2014 г. Доступны с 1 марта
2015:http://mashable.com/2014/12/03/sony-hack-4-security-lessons/

Уитли, м. 2003. Rogue модемы: Задняя дверь вашей сети. ОГО, 1 сентября 2003 года. Доступны с 1 марта
2015:http://www.csoonline.com/article/2116678/

Уитли, м. 2007. Разгромом хакеры. Изготовитель, Май 2007.

Уитли, м. 2008. Беспроводные VPN: Защита беспроводной странник. ОГО, 15 декабря 2008. Доступны с 1 марта
2015:http://www.csoonline.com/article/2123488/

Уитли, м. 2011. Взломанные. Производитель, 25 ноября 2011. Доступны с 1 марта
2015:http://www.themanufacturer.com/articles/hacked-off/

Уитли, м. 2013. Скрытые глубины. Лидеры закупок, Июль/Август 2013: 26 – 29.

Уитли, м. 2014. Только подключение. Изготовитель, Ноябрь 2014 года.

Ян, ж. л & Джаякумара, а. 2014. Цель говорит до 70 миллионов больше клиентов были поражены к декабрю данных. Вашингтон пост, 10 января 2014 г. Доступ к 1 марта,
2015:http://www.washingtonpost.com/business/economy/2014/01/10/0ada1026-79fe-...

Зеттер, K. 2013. Исследователи взломать систему управления здания в офисе Google Австралии. Проводные, 6 мая 2013 г. Доступны с 1 марта
2015:http://www.wired.com/2013/05/googles-control-system-hacked/

Доля этой статьи:

Цитируете эту статью:

Оцените содержание: 
Нет голосов были поданы еще. Скажи свое слово!

Ключевые слова: кибер преступности, кибербезопасность, защита интеллектуальной собственности, Управление безопасностью ИТ, риск цепочки поставок, безопасности цепи поставок

Добавить новый комментарий

Обычный текст

  • Теги HTML не разрешены.
  • Адреса электронной почты и адреса страниц включите в ссылки автоматически.
  • Строки и параграфы переносятся автоматически.