11 Hal Menarik dari Perusahaan yang Memenangkan Keamanan Siber Industri (IIoT)

Saat Anda membaca blog dan artikel tentang keamanan siber dan Industrial Internet of Things (IIoT ), sangat mudah untuk fokus pada kompleksitas (dan ada banyak), sehingga Anda kehilangan gambaran besarnya. Ada peluang besar di bidang ini—yang belum dimanfaatkan oleh pemain keamanan siber TI yang ada.

Untuk menyatakannya dalam istilah yang paling sederhana, ketika melindungi akun konsumen gratis seperti, akun Gmail atau Facebook, motivasi untuk berinvestasi dalam keamanan didorong oleh tujuan tertentu—melindungi kepercayaan pelanggan, menghindari pukulan yang tidak menyenangkan terhadap reputasi perusahaan, dll. Ini adalah, tentu saja, keprihatinan nyata dan penting. Tetapi ketika sebuah perusahaan industri mencoba untuk melindungi turbin senilai $10 juta, ekonomi investasi dalam keamanan menjadi sangat berbeda—dan jauh lebih mudah. Ada alasan mengapa banyak dari investasi keamanan saat ini diarahkan ke ruang industri:ini adalah pasar yang sangat menjanjikan—dan di mana inovasi baru dapat memberikan dampak yang sangat besar.

GE Ventures, anak perusahaan modal ventura General Electric, adalah salah satu organisasi yang mengakui peluang besar (dan bahkan tanggung jawab yang lebih besar) untuk menurunkan biaya dan menghilangkan waktu henti yang tidak direncanakan bagi pelanggan mereka. Mereka telah bekerja sama dengan perusahaan industri selama beberapa dekade. Perusahaan juga telah membangun hubungan kepercayaan jangka panjang dengan pelanggan dan membantu mereka memanfaatkan Internet industri dan melindungi mereka dari risiko bawaannya. Mereka menghadapi tantangan itu—arsitektur Predix mereka sendiri, sebuah platform yang membantu mengoptimalkan proses bisnis industri, memiliki strategi keamanan mendalam yang ekstensif.

Selain strategi keamanan yang mendalam di platform mereka, GE Ventures selalu mencari startup yang memajukan seni keamanan siber industri. Menurut mereka, ada beberapa yang sangat berbakat di luar sana. Tentu saja, IIoT bukanlah pasar yang mudah untuk dimasuki oleh para pemula. Jaringan industri berbeda dari TI perusahaan yang menjadikannya tempat yang buruk untuk bekerja sambilan—memiliki peta jalan produk yang hebat dalam TI tradisional bukanlah hak lahir untuk berhasil dalam keamanan siber industri. Tetapi ada beberapa kesamaan di antara startup paling sukses dan menjanjikan di bidang ini. Berikut adalah beberapa dari perspektif GE Ventures:

1.) Mereka tahu barang-barang mereka.

Ada banyak hal yang dilihat GE saat mengevaluasi sebuah startup:Sebuah tim dengan spesialisasi yang tepat. Teknologi yang dibedakan. Tetapi faktor terpenting yang memisahkan perusahaan yang sedang menapaki air dari perusahaan yang sudah berenang adalah bahwa mereka dikelola dari atas ke bawah oleh orang-orang yang “mendapatkan” aplikasi industri.
Startup yang paling sukses memiliki semacam pengetahuan institusional tentang kontrol industri sistem (ICS)—sering diperoleh dari bekerja di industri dalam karir mereka sebelumnya. Mereka telah belajar pelajaran penting (terkadang dengan cara yang sulit):Mereka tahu pasar. Mereka memahami kendalanya. Mereka memahami melalui pengalaman permukaan serangan dan eksposur. Dan mereka selalu, selalu mengawasi bola:kelangsungan bisnis pelanggan.

2.) Mereka mengambil Sumpah Hipokrates IIoT:Pertama, jangan membahayakan.

Apa pun yang mereka kerjakan, startup IIoT yang sukses tidak pernah melupakan tujuan utama pelanggan mereka:mesin ini tidak boleh gagal. Apa pun pekerjaan yang mereka lakukan untuk mengamankan suatu sistem, mereka tahu bahwa itu sama sekali tidak dapat memperlambat atau melumpuhkan aset industri. Mereka menciptakan lapisan keamanan yang setidaknya gesit, jika tidak lebih, daripada perangkat dan sistem yang dilindunginya.

3.) Mereka tidak mempersulit pelanggan.

Startup IIoT yang sukses tahu bahwa pelanggan target mereka telah melakukan hal-hal dengan cara tertentu selama bertahun-tahun. Mereka tahu untuk tidak membuat asumsi bahwa pelanggan ini memiliki kemampuan internal dan pengetahuan institusional yang sama dengan yang akan dimiliki oleh perusahaan non-industri—atau, dalam hal perangkat lunak, bahwa mereka bahkan berbicara dalam bahasa yang sama. Dan mereka tidak berasumsi bahwa pelanggan akan bersedia mengisi kekosongan yang hilang dalam terjemahan. Startup IIoT yang paling menjanjikan siap memberikan solusi TI untuk industri, dan mereka tidak takut untuk menjelaskan bahwa di situlah letak keahlian mereka. Tapi mereka keluar dari gerbang sambil berbicara PL.

4.) Mereka membuat keamanan terintegrasi.

Startup IIoT yang sukses tahu bahwa memperlakukan keamanan sebagai fitur tambahan atau up-sell tidak akan pernah berhasil. Pelanggan mereka mengharapkan keamanan dimasukkan ke dalam produk dan diintegrasikan sepenuhnya ke dalam proses industri yang ada.

5.) Mereka tidak mencoba memakan seluruh kue sekaligus.

Keamanan TI perusahaan dan keamanan siber IIoT adalah dua hewan yang sama sekali berbeda. Anda tidak bisa begitu saja memindahkan sesuatu dari satu dunia ke dunia lain. Namun, ada pelajaran yang bisa dipetik dari evolusi keamanan perusahaan. Di antara yang terbesar yang dipatuhi oleh startup IIoT yang sukses:mereka tidak mencoba memecahkan masalah keamanan dalam satu gerakan.

Di dunia perusahaan, kami memulai dengan satu masalah besar (melindungi aset dan data digital), dan akhirnya memecahnya menjadi banyak masalah yang lebih kecil:keamanan perimeter, identitas/otentikasi, pencegahan kehilangan data, kepatuhan, dll. Startup Smart IIoT menerapkan pemikiran yang sama pada keamanan siber IIoT. Mereka tidak ingin "menyelesaikan" keamanan siber industri. Mereka menyerang masalah yang lebih kecil dan terpisah, serta mengembangkan solusi yang berguna.

6.) Mereka mulai dengan asumsi bahwa mereka akan menjadi sasaran.

Bahkan perusahaan digital terbesar dan terbaik di dunia menemukan kode berbahaya atau tidak dapat dijelaskan di lingkungan mereka—terkadang ancaman yang telah terbengkalai selama bertahun-tahun. Startup IIoT yang cerdas berharap bahwa solusi mereka akan tunduk pada jenis ancaman berbahaya dan/atau pengumpulan intelijen yang sama juga. Itu tidak berarti mereka tidak menghabiskan banyak waktu dan upaya untuk mencegah pelanggaran. Tetapi mereka menghabiskan banyak waktu dan upaya untuk memastikan bahwa, jika seseorang masuk, mereka dapat mengisolasi pelanggaran itu dan mencegahnya menyusup ke seluruh sistem. Dan mereka menyadari bahwa permukaan serangan ICS melampaui perangkat dan jaringan industri itu sendiri, ke semua bagian organisasi dan rantai pasokan.

7.) Mereka siap untuk diskalakan.

Startup IIoT yang sukses tidak pernah lupa bahwa untuk pelanggan industri, waktu henti nol dapat diterima. Mereka tahu bahwa memiliki teknologi yang hebat saja tidak cukup—mereka harus siap untuk menggunakan teknologi tersebut dalam skala ribuan penerapan, terkadang di beberapa negara—terkadang dalam semalam.

8.) Mereka tahu bahwa keamanan dimulai dengan baik sebelum menghubungkan satu perangkat industri.

Startup IIoT yang sukses menyadari bahwa beberapa kerentanan paling berbahaya bukan hanya kekurangan dalam kode mereka, tetapi juga kelemahan dalam rantai pasokan mereka. Mereka tahu bahwa setiap OEM yang menggabungkan subassemblies yang dibuat oleh orang lain berpotensi memasukkan firmware yang rusak ke dalam sistem mereka secara tidak sengaja. Dan mereka telah belajar dari vendor yang memiliki teknologi luar biasa tetapi melihat kesepakatan menguap karena pelanggan menyadari bahwa mereka menggunakan vendor yang tidak tepercaya untuk satu komponen rantai pasokan. Perusahaan rintisan IIoT yang solid mengambil langkah-langkah untuk mengamankan produk mereka di setiap langkah mulai dari pembuatan hingga pengiriman, saat produk tersebut paling rentan terhadap kesalahan atau pelaku kejahatan.

Salah satu bidang yang lebih menarik sekarang sedang dieksplorasi:buku besar publik. Semakin banyak perusahaan yang mencari teknologi buku besar publik Blockchain untuk membantu mengotentikasi aset dan memberikan jejak audit dengan rantai pengawasan ujung ke ujung. (Kelompok industri juga terlibat—Aliansi IoT Tepercaya baru-baru ini mengumumkan inisiatif baru untuk mempromosikan buku besar standar untuk mengotentikasi perangkat IoT.) Ini masih sangat awal, tetapi pekerjaan seperti ini terbukti sangat berharga bagi ICS, di mana banyak kategori non- Aset TI (mesin, suku cadang, sub suku cadang) terhubung kembali ke tulang punggung TI.

9.) Mereka tidak terganggu oleh kata-kata buzz.

Ruang startup, atau setidaknya media yang meliputnya, cenderung terlalu sensitif terhadap siklus hype. Apa pun konsep panas terbaru (saat ini, AI dan pembelajaran mesin), perusahaan bergegas untuk memastikan bahwa mereka dapat mengklaim untuk mencentang kotak tersebut. Startup IIoT yang sukses tidak menghabiskan waktu mereka untuk mengkhawatirkan cita rasa terbaru bulan ini. Mereka berfokus pada laser dalam memberikan jawaban konkret untuk masalah industri tertentu.

10.) Mereka memahami kebutuhan untuk mengamankan data saat diam dan bergerak.

Pelanggan industri membutuhkan solusi tidak hanya untuk mengamankan data di edge—di mana lebih banyak data daripada sebelumnya dikumpulkan dan diproses—tetapi juga untuk mengamankan data yang bergerak saat dikirimkan ke cloud.

Data dalam gerakan menimbulkan tantangan yang sangat rumit untuk sistem industri. Beberapa perusahaan di bidang ini sedang mengembangkan solusi untuk menyederhanakan passthrough data terenkripsi, menghilangkan kebutuhan untuk mendekripsi data di titik mana pun dalam perjalanan, dan risiko terkait.

11.) Mereka memahami bahwa pekerjaan tidak pernah selesai.

Startup keamanan siber yang baik menyadari bahwa mereka tidak akan pernah "selesai" dengan solusi mereka, dan mereka tidak terlalu nyaman dengan desain mereka saat ini. Mereka memahami bahwa keamanan siber dunia nyata berarti pengulangan yang berkelanjutan dan tidak terbatas.