産業用自動化セキュリティが新たな焦点となるべき理由

産業組織がCOVID-19フォールアウトに取り組むにつれて、自動化はさらにホットなトピックになりました。ただし、専門家は、自動化の加速が、セキュリティに重点を置いていない組織に予期しない結果をもたらす可能性があることを恐れています。

アナリストシンジケートのアナリストであるダンミクロビッチは、次のように述べています。 「それは潜在的に壊滅的または致命的な結果につながります。」

ONETechのソリューションエンジニアリングディレクターであるChrisCattertonは、感覚が「通常、最適な稼働時間を確保するための最も効果的な方法」であったため、産業施設のミッションクリティカルなシステムは、従来、人間の労働者の綿密な監視に依存してきました。それは変わりつつあります。自動化されたシステムは、多くの場合、機械の問題を発見するために人間の能力を超えています。自動化されたシステムは、ボルトのトルク値がたとえば数ポンド軽いときを検出したり、人間の耳には検出できない高周波ベアリングの鳴き声を聞いたりすることができます。

しかし、産業用自動化のセキュリティに関して怠惰になることは危険な場合があります。たとえば、趣味の電子機器は産業機械の自動化を簡単にするかもしれませんが、そのような製品はサイバー攻撃者に身近な標的を提供することもできるとミクロビッチ氏は述べています。 「セキュリティを最前線に置いて構築されていないプラグアンドプレイ自動化ソリューションも、膨大な量の脆弱性への扉を開く可能性があります」とCatterton氏は述べています。

AIの導入にも注意してください

また、組織が自動化イニシアチブの一環として人工知能（AI）を急いで展開するリスクもあります。データサイエンスの専門家が不足しており、COVID-19検疫の結果として多くの経験豊富な産業オペレーターが傍観されているため、AIアルゴリズムにエラーが忍び寄る危険性が高まっています。 「システムを訓練しようとしている人が重要な安全情報を欠いている」というリスクがあります。

理想的な条件でも、ソフトウェアやAIアルゴリズムを開発すると、必然的にエラーが発生します。 「TheFifthDomain」という本が観察しているように、経験則によれば、ソフトウェアの1,000行あたり1〜10の間違いがあります。ミッションクリティカルな宇宙システム用のソフトウェアでさえ、1,000行のコードあたり1〜5個のエラーが発生する可能性があります。

ソフトウェアには数百万または数十億行のコードが含まれていることが多いため、バグを防止して修正する必要があります。歴史は、産業用自動化セキュリティの手抜きのリスクを強調する例を提供します。 1996年のアリアン5ロケット災害はその一例です。欧州宇宙機関のソフトウェア開発者が前任のロケットから借りたコードを適切に更新できなかった後、ロケットは爆発しました。打ち上げ中の航空機の速度がソフトウェアで指定された範囲を超えたため、ロケットは自己破壊しました。 「このソフトウェアエラーのコストは約3億ドルでした」と、ULの主任セキュリティアドバイザーであるJohannesBauer博士は述べています。

コストのかかるソフトウェアショートカットのもう1つの例は、2019年のボーイング737 Maxの接地です。ソフトウェア開発タスクを1時間9ドルのエンジニアにアウトソーシングした後、飛行機は2つの事故で346人を殺しました。 New York Timesによると、唯一のセンサーからの情報に依存する自動化されたシステムがクラッシュの役割を果たしました。ボーイングの見積もりによると、2回の事故後の737の接地費用は180億ドルです。

D リモートアクセスを許可する場合は区別する

ソフトウェア主導の自動化やAIワークロードで手抜きをするリスクに加えて、産業環境でのリモートアクセスの拡大も別の危険です。 「Zoom [ビデオ会議アプリケーション]を使用して、製造現場の担当者が共有の専門家リソースと通信して問題を診断することを検討してください」とMiklovic氏は述べています。そのような場合、サイバー犯罪者は企業秘密や製品製造情報を盗む可能性があると彼は述べた。リモート操作を可能にするための急いで、組織は適切なセキュリティ制御なしでパブリックインターネットを介して制御システムにアクセスできるようにすることもできます。 PASGlobalの最高執行責任者であるMarkCarriganは、そうすることの脅威は「安全計装システムに対する懸念」であると述べています。 「このようなシステムは、境界条件を超えて動作するプロセスの最後の防衛線であり、悪意のある攻撃者の既知の攻撃対象です。」

リモート操作は、ソーシャルエンジニアリングを使用したフィッシング詐欺のリスクも高めます。このような攻撃は、「特権アクセスを持っている可能性が高い従業員を特定し、その資格情報を悪用して、ますますアクセスしやすいリモートゲートウェイを介して制御システム環境にアクセスできるようにする可能性があります」とCarrigan氏は述べています。

セクター別の脅威の評価

自動化とリモートアクセスを導入するための急いでいることは、産業部門全体で均一ではありません。アナリストシンジケートの共同創設者であるFrenchCaldwellは、「最も重要な重要なインフラストラクチャシステム」は、プロトコルを確立している傾向があり、コアプロセスを再定義する可能性は低いと述べています。原子力発電所、石油精製所、化学プラントなどの重要なインフラストラクチャは、そのような機関の免除が与えられた場合、社会的に遠い労働制限の影響を受ける可能性が低くなります。

重要なインフラストラクチャ組織には、サイバーセキュリティに関する規制要件もある傾向があります。たとえば、エネルギーユーティリティは、連邦エネルギー規制委員会と北米電力信頼度協議会によって概説されたサイバーセキュリティ基準に準拠する必要があります。

スペクトルの反対側には、暖房、換気、空調（HVAC）、照明、プラントシステムなどの産業インフラストラクチャがあります。このようなシステムは、「何十年もの間、リモートで操作および監視されてきました」とコールドウェル氏は述べています。

Caldwell氏によると、これら2つの極の真ん中にある組織は、自動化とリモート作業インフラストラクチャを強化する可能性が高くなります。 「これは非常に大規模なシステムの中間グループにあり、間違いなく、リモートICSアクセスがパンデミック主導で増加しています」と彼は言いました。

最後の言葉

最終的に、各組織はデジタル化と自動化のリスクと見返りを評価する必要があります。移動が遅すぎるリスクは、展開を急ぐのと同じくらい、産業会社の寿命を脅かす可能性があります。 Appnomicの最高経営責任者であるNitinKumarは、次のように述べています。 「物理的資産はますますデジタル化しています。適切なデジタルプロセスでこれらの周りに自動化が織り込まれていないと、非常に非効率的なデジタル運用モデルが作成されます。」

1つは普遍的です。組織は、これらの問題を解決するために協力する必要があります。特にパンデミックの間、エンジニアとITリーダーは、「信頼性とセキュリティがシステムの重要性とセキュリティリスクの両方に一致することを保証するためにチームを組む必要があります」とCaldwell氏は述べています。パンデミックが収まった後、組織は、ICSシステムの自動化とリモートアクセスを拡張して、「予期しない不測の事態に対応し、日常業務の有効性と効率を向上させる」方法を検討する時間が増えます。

>

ビジネスの観点から、組織は、不確実性に直面した場合の回復力を強化するために自動化を展開する戦略を検討する必要があります。 「経済が半開放的な姿勢に移行したとしても、操業停止の期間と労働力にもたらされるリスクについては明確になっていない」とクマール氏は述べた。しかし、より確実なのは、株主が「回復が進むにつれて要求し続ける」可能性であると彼は付け加えた。

自動化、AI、リモートアクセスなどのテクノロジーにより、産業組織はより少ないコストでより多くのことを実行できます。それらを展開することを目指す人は、慎重にそうする必要があります。設計によるセキュリティの格言にもかかわらず、多くの組織はそれらを一種の継続的な修復モードに置いています。デロイトのパートナーであるSeanPeasleyは、次のように述べています。「セキュリティは最初から機能要件である必要があります。