Η ENISA διεξήγαγε μια έρευνα που εστιάζει στις καλές πρακτικές για την ασφάλεια του IoT όσον αφορά την Industry 4.0 και την έξυπνη βιομηχανία, η οποία τα τελευταία χρόνια έχει δεχθεί μια πληθώρα κυβερνοεπιθέσεων. Ο κόσμος της τεχνολογίας και της οικονομίας μεταβάλλεται διαρκώς, κάτι το οποίο οδηγεί σε μια παγκόσμια ανταλλαγή δεδομένων και σε μια διασυνδετικότητα του κόσμου, που έχει αντίκτυπο σε ολόκληρη την κοινωνία.

Τα νέα δεδομένα οδήγησαν στο Industry 4.0, ένα μοντέλο που αλλάζει τον παραδοσιακό τρόπο με τον οποίο λειτουργεί μια επιχείρηση/οργανισμός. Στην νέα αυτή οπτική εισάγονται νέες δυνατότητες, όπως η ψηφιοποίηση, η αποκέντρωση της λήψης αποφάσεων και η ενσωμάτωση ηλεκτρονικών και φυσικών τεχνολογιών, όπου λειτουργώντας συγχρόνως, παράγουν αυξημένη ποιότητα προϊόντων. Η λογική αυτή βασίζεται στο σκεπτικό ότι ένα προϊόν ή υπηρεσία, δεν είναι αποτέλεσμα απλών μηχανημάτων, αλλά οφείλει να αλληλεπιδρά με το περιβάλλον του. Τα πλεονεκτήματα της οπτικής αυτής είναι να υπάρχει μια διαρκής επικοινωνία με τον καταναλωτή, με αποτέλεσμα να υπάρξει μια αυξημένη παραγωγική ποιότητα, να υπάρχει περισσότερη ελαστικότητα και να χρειάζεται λιγότερος χρόνος για να βγει ένα προϊόν σε κυκλοφορία.

Επομένως συνειδητοποιεί κανείς ότι η νέα τεχνολογία, αναδύει νέες προκλήσεις ασφαλείας. Τα συστατικά μιας επιχείρησης μπορεί να είναι ευάλωτα σε κυβερνοεπιθέσεις, λόγω διασυνδετικότητας των συστημάτων και σε πολλές περιπτώσεις επειδή ακριβώς εμπεριέχονται πολλά και διαφορετικά στοιχεία, είναι δύσκολος ο τομέας της ασφάλειας. Ο ανθρώπινος παράγοντας και τα αβέβαια πρωτόκολλα μπορούν σε πολλές περιπτώσεις να δημιουργήσουν κενά ασφαλείας, τα οποία εάν κάποιος τα εκμεταλλευτεί μπορεί να δημιουργήσει πρόβλημα ασφαλείας στην επιχείρηση.

Η ENISA προτείνει ορισμένα μέτρα ασφαλείας και καλές πρακτικές που μπορούν οι επιχειρήσεις να ακολουθήσουν ώστε να περιορίσουν ζητήματα ασφαλείας. Χωρίζονται σε τρεις κατηγορίες: πολιτικές, οργανωτικές πρακτικές και τεχνικές πρακτικές.

Πολιτικές

  1. Ασφάλεια από τον σχεδιασμό: η ασφάλεια θα πρέπει να είναι κάτι που να συμπεριλαμβάνεται μέσα στη γραμμή παραγωγής
  2. Ιδιωτικότητα από τον σχεδιασμό: Τα προσωπικά δεδομένα είναι κεντρικό κομμάτι στην παραγωγική διαδικασία, και θα πρέπει να προστατεύονται με κάθε κόστος. Οφείλουν να υπόκεινται στον ΓΚΠΔ και να επεξεργάζονται αυστηρά για το σκοπό που δηλώνεται και για συγκεκριμένο χρόνο θα διατηρούνται.
  3. Διαχείριση αποκτημάτων
  4. Διαχείριση ρίσκου και κινδύνων

Οργανωτικές πρακτικές

  1. Ασφάλεια σε όλα τα στάδια παραγωγής: από το λογισμικό μέχρι τον εξοπλισμό και την αλυσίδα ζήτησης και προσφοράς. Η προσέγγιση της ασφάλειας να είναι ολιστική και το κάθε τμήμα παραγωγής να συμμετέχει με τον δικό του ρόλο σε αυτή
  2. Χειρισμός περιστατικών: Για να επιτευχθεί αυτό, θα πρέπει να υπάρχει μια αξιολόγηση του κινδύνου του οποίου μπορεί να αντιμετωπίσει κάθε τμήμα σε μια επιχείρηση, μέσα από την έρευνα. Για την καλύτερη λειτουργία του τμήματος της ασφάλειας, θα ήταν χρήσιμο να δημιουργηθεί ένα κέντρο ελέγχου τέτοιων περιστατικών.
  3. Διαχείριση αδυναμιών του συστήματος: Οι έλεγχοι των συστημάτων θα πρέπει να είναι διαρκείς και απαραίτητη να θεωρείται και η συνεργασία όλων των τμημάτων για την αποτελεσματικότητα
  4. Εκπαίδευση προσωπικού και επικοινωνία εταιρειών
  5. Διαχείριση της πρόσβασης τρίτων: Η πρόσβαση των τρίτων μερών να είναι όσο το δυνατόν περιορισμένη και η πρόσβαση σε δεδομένα να γίνεται συγκεκριμένα και με εξουσιοδοτημένο χειριστή

Τεχνικές πρακτικές

  1. Διαχείριση εμπιστοσύνης και ακεραιότητας των δεδομένων και των συσκευών: Για να τρέχει ένα πρόγραμμα θα πρέπει να εξασφαλιστεί η εγκυρότητα του, τα κανάλια επικοινωνίας θα πρέπει να είναι ασφαλή και να κρυπτογραφούνται
  2. Ασφάλεια του cloud
  3. Συνέχιση και ανάκαμψη της εταιρείας: Είναι ζωτικής σημασίας, καθώς μέσα από διαρκείς ελέγχους, η εταιρεία μπορεί να εξασφαλίσει την συνέχεια των εργασιών της. Η κάθε εταιρεία θα μπορούσε να έχει ένα ολιστικό πλάνο, ανάλογα με τα σενάρια που θα έδειχναν οι αξιολογήσεις κινδύνων και ανάπτυξης
  4. Ασφάλεια μηχανών: χρήση κρυπτογράφησης, προστασία επικοινωνιών, χώροι αποθήκευσης
  5. Προστασία δεδομένων
  6. Αναβαθμίσεις λογισμικών και εξοπλισμών
  7. Κρυπτογράφηση δικτύων και πρωτοκόλλων
  8. Επιτήρηση

 

Επιμέλεια: Φαίη Λαχανά

Αρχική πηγή: https://www.linkedin.com/feed/update/urn:li:activity:6470347997103292416/