home Teknologi Manufaktur Peralatan Manufaktur
Manufaktur industri
Industri Internet of Things | bahan industri | Pemeliharaan dan Perbaikan Peralatan | Pemrograman industri |
home  MfgRobots >> Manufaktur industri >  >> Manufacturing Technology >> Teknologi Industri

Yang Perlu Diketahui Produsen Tentang Keamanan Siber Saat Ini — Wawancara dengan Pat Toth

Jumlah serangan dunia maya terus meningkat, dan penjahat dunia maya semakin bertekad. Perusahaan dibiarkan mencoba menavigasi panduan teknis yang membingungkan dalam lanskap digital yang berubah dengan cepat. Pabrikan kecil sering kali tidak menganggap perusahaan mereka berisiko. Lagi pula, mengapa seseorang ingin menargetkan produsen kecil pedesaan ketika ada bisnis yang lebih besar untuk ditargetkan?

Untuk memahami apa yang terjadi dan untuk mengetahui apa yang benar-benar perlu diketahui produsen tentang keamanan siber, saya duduk bersama Pat Toth. Pat adalah Ilmuwan Komputer di NIST Manufacturing Extension Partnership yang memiliki lebih dari 30 tahun pengalaman keamanan siber dan telah mengerjakan banyak dokumen panduan keamanan siber NIST.

Pertanyaan:Apakah produsen benar-benar berisiko terhadap serangan dunia maya jika dibandingkan dengan industri lain? Jika demikian, mengapa?

Tepuk: Menurut Departemen Keamanan Dalam Negeri AS, industri manufaktur adalah industri yang paling ditargetkan kedua berdasarkan jumlah serangan dunia maya yang dilaporkan.

Saya pikir produsen kecil sangat rentan karena mereka dipandang sebagai titik masuk yang mudah ke dalam rantai pasokan yang lebih besar. Pikirkan seperti ini:Jika Anda seorang penjahat dan berencana untuk membobol sebuah gedung dan merampoknya, apakah Anda akan mencoba membobol gedung dengan peralatan pengawasan, sistem alarm dan penjaga, atau apakah Anda lebih cenderung menargetkan sebuah bangunan yang tidak memiliki fitur keamanan ini? Biasanya yang terakhir, itulah sebabnya penjahat dunia maya secara khusus menargetkan produsen. Sayangnya, banyak usaha kecil tidak memiliki langkah-langkah keamanan yang tepat karena perusahaan-perusahaan ini tidak menganggap mereka sebagai target.

Penjahat dunia maya mungkin tertarik dengan kekayaan intelektual (IP) Anda atau mereka mungkin ingin mengakses informasi tentang dengan siapa Anda bekerja atau siapa yang Anda pekerjakan. Pelanggaran data pelanggan Target 2013 adalah salah satu contoh paling terkenal dari hal ini. Penyedia sistem HVAC mereka sengaja ditargetkan oleh penjahat cyber karena peretas tahu bahwa mereka dapat memperoleh akses ke sistem Target melalui penyedia HVAC ini. Pelanggaran data mengakibatkan jutaan informasi kartu kredit orang dicuri.

Pertanyaan:Mengingat bahwa produsen kecil dan menengah (UKM) sering menjadi target utama, namun juga sering memiliki sumber daya yang terbatas, apa yang dapat dilakukan oleh UKM ini?

Tepuk: Ini mungkin tampak rumit dan mungkin sedikit berlebihan, tetapi ada hal-hal yang dapat dilakukan oleh SMM yang murah hingga tanpa biaya dan mudah diterapkan.

Apa yang sebenarnya terjadi adalah menerapkan kebijakan dan mendidik karyawan. Berbagai penelitian menemukan bahwa karyawan adalah salah satu titik paling rentan dalam keamanan setiap perusahaan. Sebagian besar karyawan tidak menyadari apa yang perlu mereka waspadai dan bagaimana mengidentifikasi potensi atau kejadian nyata di dunia maya sampai semuanya terlambat. Perusahaan perlu berkomunikasi secara teratur untuk membantu karyawan memahami taktik penjahat dunia maya dan peran penting yang mereka mainkan dalam mencegah insiden dunia maya.

Misalnya, perusahaan Anda harus memiliki kebijakan untuk penggunaan media sosial di tempat kerja. Beberapa karyawan akan  mengharapkan untuk mengakses media sosial selama hari kerja. Ada tindakan penyeimbangan yang dihadapi perusahaan – memungkinkan karyawan mengakses media sosial dan melindungi sistem mereka. Jadi bagaimana Anda melakukannya? Anda menerapkan kebijakan. Kebijakannya mungkin Anda tidak mengizinkan penggunaan media sosial di sistem perusahaan. Mungkin Anda menyediakan jaringan semi-publik terpisah bagi orang-orang untuk mengakses media sosial sepanjang hari yang tidak membuat perusahaan Anda berisiko. Apa pun kebijakan Anda, pastikan karyawan Anda mengetahuinya, memahami mengapa kebijakan itu ada, dan kemungkinan konsekuensinya jika kebijakan tersebut dilanggar.

Pertanyaan:Senang mendengar bahwa tidak ada solusi tanpa biaya dan berbiaya rendah yang dapat diterapkan oleh produsen. Jika sebuah perusahaan siap untuk meningkatkan keamanan sibernya, dari mana mereka harus memulai?

Tepuk: Mulailah dengan melihat NIST Cybersecurity Framework dan NISTIR 7621 Small Business Information Security:The Fundamentals. Kerangka Kerja Keamanan Siber terdiri dari standar, pedoman, dan praktik terbaik untuk mengelola risiko terkait keamanan siber. Ini memberikan pendekatan yang diprioritaskan, fleksibel, dan hemat biaya untuk melindungi sistem. Keamanan Informasi Bisnis Kecil:Dasar-dasar didasarkan pada Kerangka Kerja Keamanan Siber dan memberikan gambaran umum yang lebih mudah dikelola bagi pengambil keputusan perusahaan yang mungkin tidak memiliki latar belakang teknis. Ini juga berfokus pada bagaimana menilai dan memprioritaskan fungsi keamanan.

Untuk memulai, inilah ringkasan singkat tentang apa yang akan Anda temukan di Framework.

Langkah pertama adalah Identifikasi . Identifikasi informasi yang paling berharga bagi perusahaan Anda. Ini adalah informasi yang jika hilang atau diubah, akan menghentikan operasi Anda. Misalnya, katakanlah Anda adalah produsen makanan dan Anda membuat kue keping cokelat menggunakan resep nenek Anda. Resep itu sangat penting untuk bisnis Anda dan harus dilindungi dari pencurian atau modifikasi agar bisnis Anda dapat terus berlanjut.

Langkah kedua adalah Lindungi . Anda telah berbicara dengan manajer dan staf dan menggunakan umpan balik ini untuk mengidentifikasi informasi paling penting bagi perusahaan Anda. Sekarang saatnya untuk memutuskan apa yang perlu dilakukan untuk melindungi informasi itu dengan benar. Langkah ini sangat bergantung pada ancaman dan kerentanan yang spesifik untuk bisnis Anda. Perusahaan kecil yang hanya bekerja dengan pelanggan melalui interaksi tatap muka atau melalui telepon tidak akan memiliki banyak perlindungan seperti perusahaan yang melakukan bisnis melalui email dan portal web. Itu benar-benar tergantung pada lingkungan operasi Anda tentang perlindungan apa yang perlu Anda terapkan.

Langkah ketiga adalah Deteksi . Anda harus dapat mendeteksi ketika insiden cyber telah terjadi. Anda harus memiliki sistem anti-spyware, anti-virus, dan deteksi penyusupan terkini. Anda juga harus mempertimbangkan ruang fisik Anda. Pertimbangkan hal-hal seperti apakah Anda perlu diberi tahu saat orang mengakses area yang seharusnya tidak mereka akses. Baik insiden itu digital atau fisik, penting untuk mengetahui kapan insiden itu terjadi dan apa yang dapat diakses oleh orang tersebut.

Langkah keempat adalah Tanggapi . Ketika insiden cyber terjadi, perusahaan Anda perlu merespons dengan cepat untuk mengurangi potensi kerusakan. Anda harus memiliki rencana sebelum sesuatu terjadi. Rencana tersebut harus mencakup siapa yang bertanggung jawab dan siapa yang harus dihubungi jika terjadi sesuatu. Selain itu, karyawan harus mengetahui cara mengakses paket selama dan setelah jam kerja.

Ingat kembali ke sekolah dasar ketika kami berlatih latihan kebakaran beberapa kali dalam setahun? Sama seperti latihan kebakaran tersebut, perusahaan Anda harus secara teratur mempraktikkan respons insiden siber sehingga karyawan tahu persis apa yang harus dilakukan jika insiden siber terjadi.

Langkah kelima dan terakhir adalah Pulihkan . Anda harus melakukan pencadangan secara teratur sehingga Anda dapat memulihkan sistem Anda. Cadangan ini harus disimpan di lokasi terpisah atau di Cloud. Anda perlu menguji cadangan Anda. Jika Anda tidak menguji informasi cadangan Anda, Anda tidak dapat yakin bahwa Anda akan dapat sepenuhnya pulih dari suatu peristiwa. Seberapa sering Anda memutuskan untuk menguji cadangan Anda harus didasarkan pada seberapa penting informasi tersebut bagi operasi perusahaan.

Ini bukan situasi "satu ukuran cocok untuk semua", dan Anda harus memutuskan apa yang cocok untuk perusahaan Anda dan budayanya. Untuk satu perusahaan, pengujian setahun sekali mungkin cukup. Untuk perusahaan lain, mungkin perlu menguji seminggu sekali. Ini bukan jawaban yang mudah untuk didengar, tetapi itu benar-benar membutuhkan melihat sistem Anda untuk melihat di mana Anda rentan, mengetahui ancaman yang Anda hadapi dan bagaimana Anda akan melawannya.

Pertanyaan:Katakanlah perusahaan saya telah menerapkan langkah-langkah keamanan yang tepat dan kami telah membuat rencana tanggapan:Apa yang terjadi selanjutnya?

Tepuk: Ini bukan aktivitas "satu dan selesai". Anda tidak dapat menulis rencana tanggapan dan meletakkannya di rak. Ini harus menjadi dokumen hidup. Setiap orang perlu mengetahui postur keamanan siber Anda dan bagaimana Anda dapat terus meningkatkannya.

Setiap kali Anda membeli peralatan baru atau mempekerjakan karyawan baru, Anda perlu memikirkan bagaimana aktivitas ini memengaruhi keamanan Anda. Untuk perusahaan kecil, ini bisa sulit. Terlalu sering, saya melihat contoh di mana sebuah perusahaan tumbuh dengan cepat dan lupa bahwa tidak semua orang membutuhkan akses ke setiap bit informasi. Ini dapat memakan waktu, tetapi manajemen perlu memeriksa daftar karyawan dan melihat apa yang harus dan tidak boleh mereka akses. Seseorang di lantai toko tidak memerlukan akses ke informasi penggajian. Mendefinisikan peran dan menerapkan pemisahan peran tersebut bisa jadi sulit, tetapi diperlukan saat ingin melindungi perusahaan Anda dari ancaman dunia maya.

Saya pikir keamanan siber dan kualitas memiliki banyak kesamaan dalam hal adopsi. Banyak perusahaan lambat dalam mengadopsi sistem kualitas seperti ISO 9000. Komponen utama kualitas adalah pola pikir dalam perusahaan. Keamanan siber tidak diturunkan hanya kepada orang TI atau orang yang bertanggung jawab atas siber — setiap karyawan di setiap tingkat perusahaan memiliki beberapa bentuk tanggung jawab. Keamanan siber perlu menjadi bagian dari budaya perusahaan – sama seperti kualitas – agar efektif.

Pertanyaan:Di mana saya dapat menemukan informasi untuk mendidik pekerja saya tentang hal-hal yang dapat mereka lakukan untuk mengurangi risiko dunia maya perusahaan?

Tepuk: Buka halaman web Sumber Daya Keamanan Siber MEP NIST. Di halaman ini Anda akan menemukan sejumlah sumber daya termasuk alat penilaian mandiri sederhana yang dapat Anda gunakan (berdasarkan Kerangka Keamanan Siber NIST) untuk mengevaluasi sendiri tingkat risiko dunia maya perusahaan Anda. Penilaian diri dapat membantu Anda menentukan di mana kelemahan perusahaan Anda dan di mana memfokuskan sumber daya untuk memperbaikinya. Kami tidak melacak informasi Anda atau menyimpan hasilnya. Setelah mengikuti penilaian, Anda akan menerima skor sehingga Anda tahu di mana kelemahan Anda terkait dengan upaya keamanan siber Anda. Anda juga dapat menjangkau salah satu dari 51 Pusat MEP, yang terletak di seluruh 50 negara bagian dan Puerto Riko, yang merupakan bagian dari Jaringan Nasional MEP TM untuk pertanyaan atau bantuan.


Teknologi Industri

  • Proses manufaktur
  • pencetakan 3D
  • Sistem Kontrol Otomatisasi
  • Teknologi Industri
    1. Apa yang perlu Anda ketahui tentang IoT dan keamanan dunia maya
    2. CBD Marketing 101:Yang Harus Diketahui Produsen Tentang Kepatuhan
    3. Yang Perlu Diketahui Produsen Tentang Chatbot
    4. Membeli Rumah Dengan Tungku Berbahan Bakar Minyak? Yang Perlu Anda Ketahui Tentang Pengiriman Minyak
    5. Yang Perlu Diketahui UKM Tentang USMCA pada bulan Juli
    6. Yang Perlu Anda Ketahui Tentang Sertifikasi CMMC
    7. Yang Perlu Anda Ketahui Tentang Perakitan PCB
    8. Metrologi Dasar:Yang Perlu Anda Ketahui Tentang Pengukuran Presisi
    9. Yang Perlu Anda Ketahui Tentang Pembiayaan Peralatan
    10. Bagian Pajak 179:Yang Perlu Diketahui Produsen