Las 11 conclusiones de un experto de empresas ganadoras en ciberseguridad industrial (IIoT)

Mientras lee blogs y artículos sobre ciberseguridad e Internet industrial de las cosas ( IIoT ) ), es fácil concentrarse tanto en las complejidades (y hay muchas) que se pierde de vista el panorama general. Hay una gran oportunidad en este espacio, sin aprovechar los jugadores de ciberseguridad de TI existentes.

Para decirlo en los términos más simples, cuando se protegen cuentas de consumidores gratuitas como cuentas de Gmail o Facebook, la motivación para invertir en seguridad se basa en ciertos objetivos:proteger la confianza del cliente, evitar un impacto desagradable en la reputación de la empresa, etc. Estos son, por supuesto, preocupaciones reales e importantes. Pero cuando una empresa industrial intenta proteger una turbina de $ 10 millones, la economía de invertir en seguridad se vuelve muy diferente y mucho más sencilla. Hay una razón por la que gran parte de las inversiones en seguridad actuales se dirigen hacia el espacio industrial:es un mercado enormemente prometedor y en el que las nuevas innovaciones pueden tener un impacto enorme.

GE Ventures, la subsidiaria de capital de riesgo de General Electric, es una de las organizaciones que reconoce las grandes oportunidades (e incluso una mayor responsabilidad) para reducir costos y eliminar el tiempo de inactividad no planificado para sus clientes. Han estado trabajando en estrecha colaboración con empresas industriales durante décadas. La compañía también ha establecido relaciones de confianza duraderas con los clientes y les ayuda a aprovechar la Internet industrial y protegerlos de sus riesgos inherentes. Están a la altura de ese desafío:su propia arquitectura Predix, una plataforma que ayuda a optimizar los procesos comerciales industriales, tiene una amplia estrategia de seguridad en profundidad.

Además de la estrategia de seguridad en profundidad en su plataforma, GE Ventures siempre está buscando nuevas empresas que avancen en el arte de la ciberseguridad industrial. Según ellos, hay algunos muy talentosos por ahí. Por supuesto, IIoT no es un mercado fácil de ingresar para las nuevas empresas. Las redes industriales son diferentes a la TI empresarial, lo que las convierte en un lugar terrible para el pluriempleo:tener una excelente hoja de ruta de productos en la TI tradicional no es un derecho innato para tener éxito en la ciberseguridad industrial. Pero hay algunos puntos en común entre las startups más exitosas y prometedoras en este espacio. Aquí hay algunos desde la perspectiva de GE Ventures:

1.) Ellos saben lo que hacen.

Hay muchas cosas que GE considera al evaluar una startup:Un equipo con las especialidades adecuadas. Tecnología diferenciada. Pero el factor más importante que separa a las empresas que flotan en el agua de las que ya están nadando es que están integradas de arriba abajo por personas que "obtienen" aplicaciones industriales.
Las startups más exitosas tienen una especie de conocimiento institucional del control industrial. sistemas (ICS), a menudo obtenidos de su trabajo en la industria en sus carreras anteriores. Han aprendido lecciones importantes (a veces por las malas):conocen el mercado. Entienden sus limitaciones. Entienden a través de la experiencia la superficie de ataque y la exposición. Y siempre, siempre vigilan la pelota:la continuidad comercial del cliente.

2.) Ellos hacen el juramento hipocrático del IIoT:Primero, no hagas daño.

No importa en qué estén trabajando, las startups de IIoT exitosas nunca pierden de vista el objetivo principal de sus clientes:esta máquina no puede fallar. Independientemente del trabajo que estén haciendo para proteger un sistema, saben que no puede ralentizar ni destruir activos industriales en absoluto. Crean una capa de seguridad que es al menos tan ágil, si no más, que los dispositivos y sistemas que protege.

3.) No le dificultan las cosas al cliente.

Las startups de IIoT exitosas saben que su cliente objetivo ha estado haciendo las cosas de cierta manera durante años. Saben que no deben suponer que estos clientes tienen las mismas capacidades internas y el mismo conocimiento institucional que tendría una empresa no industrial o, cuando se trata de software, que incluso hablan el mismo idioma. Y no asumen que el cliente estará dispuesto a llenar los vacíos que se pierden en la traducción. Las nuevas empresas de IIoT más prometedoras están listas para ofrecer soluciones de TI a la industria y no temen dejar en claro que ahí es donde reside su experiencia. Pero salen por la puerta hablando OT.

4.) Integran la seguridad.

Las empresas emergentes de IIoT exitosas saben que tratar la seguridad como una característica adicional o una venta superior nunca funcionará. Sus clientes esperan que la seguridad se incorpore al producto y se integre completamente en el proceso industrial existente.

5.) No intentan comerse todo el pastel a la vez.

La seguridad informática empresarial y la ciberseguridad IIoT son dos animales totalmente diferentes. No puedes simplemente transferir algo de un mundo al otro. Sin embargo, hay lecciones que aprender de la evolución de la seguridad empresarial. Entre los más importantes a los que se adhieren las empresas emergentes de IIoT exitosas:no intentan resolver el problema de seguridad de una sola vez.

En el mundo empresarial, comenzamos con un gran problema (protección de activos y datos digitales), y finalmente lo dividimos en una gran cantidad de problemas más pequeños:seguridad perimetral, identidad / autenticación, prevención de pérdida de datos, cumplimiento, etc. aplicar el mismo pensamiento a la ciberseguridad IIoT. No buscan "resolver" la ciberseguridad industrial. Están atacando problemas más pequeños y discretos y desarrollando soluciones útiles.

6.) Empiezan con la suposición de que lo harán ser objetivo.

Incluso las mejores y más grandes empresas digitales del mundo encuentran código malicioso o inexplicable en sus entornos, a veces amenazas que han estado inactivas durante años. Las nuevas empresas inteligentes de IIoT esperan que sus soluciones también estén sujetas a los mismos tipos de amenazas maliciosas y / o de recopilación de inteligencia. Eso no significa que no inviertan una gran cantidad de tiempo y esfuerzo tratando de prevenir infracciones. Pero dedican la misma cantidad de tiempo y esfuerzo a asegurarse de que, si alguien ingresa, puedan aislar esa brecha y evitar que se infiltre en el resto del sistema. Y reconocen que la superficie de ataque de ICS se extiende más allá de los propios dispositivos y redes industriales, a todas las partes de la organización y la cadena de suministro.

7.) Están listos para escalar.

Las startups exitosas de IIoT nunca olvidan que para los clientes industriales, el tiempo de inactividad cero es aceptable. Saben que no es suficiente tener una gran tecnología; deben estar preparados para utilizar esa tecnología en una escala de miles de implementaciones, a veces en varios países, a veces de la noche a la mañana.

8.) Saben que la seguridad comienza mucho antes de conectar un solo dispositivo industrial.

Las empresas emergentes de IIoT exitosas reconocen que algunas de las vulnerabilidades más peligrosas no son solo fallas en su código, sino debilidades en su cadena de suministro. Saben que cualquier OEM que incorpore subconjuntos hechos por otros puede potencialmente introducir firmware alterado en su sistema por accidente. Y han aprendido la lección de los proveedores que tenían una tecnología excelente, pero vieron que las ofertas se evaporaban porque el cliente se dio cuenta de que estaba utilizando un proveedor que no era de confianza para un componente de la cadena de suministro. Las startups sólidas de IIoT toman medidas para proteger sus productos durante cada paso desde la construcción hasta el envío, cuando pueden ser más vulnerables a errores o actores maliciosos.

Una de las áreas más interesantes que se están explorando ahora:libros de contabilidad públicos. Un número creciente de empresas está buscando tecnologías de contabilidad pública Blockchain para ayudar a autenticar activos y proporcionar una pista de auditoría con una cadena de custodia de extremo a extremo. (Los grupos de la industria también se están involucrando; Trusted IoT Alliance anunció recientemente una nueva iniciativa para promover libros de contabilidad estándar para autenticar dispositivos de IoT). Aún es muy pronto, pero un trabajo como este podría resultar increíblemente valioso para ICS, donde muchas categorías de Los activos de TI (motores, piezas, subpartes) se están conectando de nuevo a la red troncal de TI.

9.) No se distraen con las palabras de moda.

El espacio de inicio, o al menos los medios que lo cubren, tiende a ser demasiado sensible al ciclo de publicidad. Cualquiera que sea el concepto más reciente (actualmente, inteligencia artificial y aprendizaje automático), las empresas se apresuran a asegurarse de poder afirmar que marcan esas casillas. Las startups exitosas de IIoT no pierden su tiempo preocupándose por la última versión del mes. Están enfocados en brindar respuestas concretas a problemas industriales específicos.

10.) Entienden la necesidad de proteger los datos en reposo y en movimiento.

Los clientes industriales necesitan soluciones no solo para proteger los datos en el borde, donde se recopilan y procesan más datos que nunca, sino también para proteger los datos en movimiento mientras viajan a la nube.

Los datos en movimiento representan un desafío particularmente engorroso para los sistemas industriales. Algunas empresas en este espacio están desarrollando soluciones para simplificar el traspaso de datos cifrados, eliminando la necesidad de descifrar datos en cualquier punto en tránsito y sus riesgos asociados.

11.) Entienden que el trabajo nunca se termina.

Las buenas nuevas empresas de ciberseguridad reconocen que nunca "terminarán" con su solución y no se sienten demasiado cómodas con su diseño actual. Entienden que la ciberseguridad del mundo real significa iteración continua e indefinida.