CPhI制藥薈2020年第一期直播課程于2月27日順利開啟,以新加坡NSHC副總裁、工控系統(tǒng)網(wǎng)安負責人Benjamin Lee先生為主講嘉賓的國際專家團隊就“工業(yè)4.0下的制藥工控系統(tǒng)生產(chǎn)網(wǎng)絡(luò)安全”這一主題展開了全面的論述,專家通過多個制藥大企業(yè)的實際案例詳細解析了藥企可能存在的工控安全隱患,指導(dǎo)大家如何防范與評估。
掃描下方二維碼,回看直播視頻
展商觀看可聯(lián)系carina.zhang@imsinoexpo.com
更多回放視頻請點擊:https://appp8f3vfgx8452.pc.xiaoe-tech.com/index
在直播Q&A環(huán)節(jié),學(xué)員結(jié)合實際工作,提出了很多問題,在此我們精選了幾個比較有代表性的提問,邀請主講嘉賓給出了文字版的解答。
【生產(chǎn)網(wǎng)絡(luò)安全Q&A】
Q:如何做生產(chǎn)網(wǎng)絡(luò)安全評測,結(jié)果是什么樣的?
答:整個生產(chǎn)網(wǎng)絡(luò)安全解決是分成了幾個步驟。首先是風險評估,發(fā)現(xiàn)漏洞和缺陷,接著是提供解決方案;然后是按照解決方案進行整改。整改結(jié)束后再進行一次風險評估,一確保整改是按照方案來執(zhí)行的,以及對檢測出的漏洞和風險都得以解決。同時,整個過程也就是從評估到整改都不會影響正常的生產(chǎn)。
Q:做完測評后就可以了么?還有什么需要注意的么?
答:首先,也是重中之重,就是需要再整個機構(gòu)尤其是領(lǐng)導(dǎo)干部建立生產(chǎn)網(wǎng)絡(luò)安全意識,需要進行必要的分級的和定期培訓(xùn);第二,在公司內(nèi)部建立相關(guān)機制,由生產(chǎn)網(wǎng)絡(luò)安全的負責人和責任人(不需要專職,我們的經(jīng)驗是兼職就足夠了);第三,建立相關(guān)作業(yè)流程和規(guī)定,由負責人定期檢查,同時請第三方在必要德時候(如每2-3年)再做一次風險評估;第四,按照所提出的整改方案認真執(zhí)行。
Q:剛剛提到的由于供應(yīng)商影響,導(dǎo)致企業(yè)受到損失的案例,新加坡目前有工廠要求第三方供應(yīng)商購買網(wǎng)絡(luò)安全的責任保險嗎?
答:目前在歐洲已經(jīng)開始有這方面的保險。但沒有強制。據(jù)悉中國人壽已經(jīng)在國內(nèi)開展網(wǎng)絡(luò)安全保險業(yè)務(wù)。而且做更進一步了。除了給予責任險以外,還將業(yè)務(wù)前移。與技術(shù)公司(如覓賜科技)一起從評估、提供解決方案,以及最終改進執(zhí)行的一站式一條龍解決形式。
Q:目前數(shù)字化解決方案的費用是否會很高?
答:這個也是要看工廠的具體情況。根據(jù)我們的經(jīng)驗,通常整改的活動主要是針對漏洞,工控系統(tǒng)的接口和通訊,以及一些網(wǎng)絡(luò)安全的缺陷。這里要強調(diào)一下的是,整個生產(chǎn)網(wǎng)絡(luò)安全解決是分成了幾個步驟。首先是風險評估,發(fā)現(xiàn)漏洞和缺陷,接著是提供解決方案;然后是按照解決方案進行整改。整改結(jié)束后再進行一次風險評估,一確保整改是按照方案來執(zhí)行的,以及對檢測出的漏洞和風險都得以解決。同時,整個過程也就是從評估到整改都不會影響正常的生產(chǎn)。除非出現(xiàn)極端情況,如車間的網(wǎng)絡(luò)需要重做。所以費用是要看工廠的具體情況來定。但是比工控系統(tǒng)的投資要少很多。
Q:能否舉例說明一下對一個中型規(guī)模企業(yè)的典型漏洞檢測的大致費用?
答:這里要說明一下的是漏洞檢測和風險評估是整個生產(chǎn)網(wǎng)絡(luò)安全的一部分。其目的是是發(fā)現(xiàn)在生產(chǎn)過程中的的漏洞和風險,并提出整改方案。所以漏洞檢測和風險評估是整個活動的第一步,也是基礎(chǔ)。因此這個就是要看工廠的具體情況。根據(jù)我們的經(jīng)驗,通常整改的活動主要是針對漏洞,工控系統(tǒng)的接口和通訊,以及一些網(wǎng)絡(luò)安全的缺陷。這里要強調(diào)一下的是,整個生產(chǎn)網(wǎng)絡(luò)安全解決是分成了幾個步驟。首先是風險評估,發(fā)現(xiàn)漏洞和缺陷,接著是提供解決方案;然后是按照解決方案進行整改。整改結(jié)束后再進行一次風險評估,以確保整改是按照方案來執(zhí)行的,以及對檢測出的漏洞和風險都得以解決。同時,整個過程也就是從評估到整改都不會影響正常的生產(chǎn)。除非出現(xiàn)極端情況,如車間的網(wǎng)絡(luò)需要重做。所以費用是要看工廠的具體情況來定。但是比工控系統(tǒng)的投資要少很多。
生產(chǎn)網(wǎng)絡(luò)安全案例
普遍錯誤的觀點認為只有大型的跨國企業(yè)才面臨網(wǎng)絡(luò)安全的威脅。但統(tǒng)計顯示中小企業(yè)已經(jīng)成為攻擊的主要目標因為他們是很容易被攻擊的。
根據(jù)保險公司Chubb所作的一項研究顯示,全球超過一半的網(wǎng)絡(luò)攻擊是針對中小企業(yè)。在新加坡,由Carbon Black Singapore2019年3月的威脅報告顯示,在2018年期間96%的本地企業(yè)成為網(wǎng)絡(luò)安全的受害者。
中小企業(yè)只有持續(xù)保持網(wǎng)絡(luò)防范,便可使企業(yè)達到基本的網(wǎng)絡(luò)安全以防范網(wǎng)絡(luò)攻擊,而不必去花費大量的錢財去投資最先進的技術(shù)。通過投資人員培訓(xùn),更新技能,以及扎實的數(shù)據(jù)安全程序就可以達到其目的。
在P&G內(nèi)有這樣一個簡單而行之有效的概念即”跟蹤數(shù)據(jù)“(FOLLOW THE DATA)。就是在數(shù)據(jù)流動的每一階段都采取保護措施,數(shù)據(jù)都是加密的,并只在保密的渠道內(nèi)分享數(shù)據(jù)。也就是說數(shù)據(jù)的分享是在控制下進行的,同時數(shù)據(jù)流動的整個過程都是可追溯的。
網(wǎng)絡(luò)安全可以成為供應(yīng)鏈的一部分或者網(wǎng)絡(luò)安全本身可以成為一個供應(yīng)鏈。比如說,我們不再把網(wǎng)絡(luò)安全作為成本或者是作為備用,而是作為一個持續(xù)的長期投資。
網(wǎng)絡(luò)安全是奢侈品的說法已經(jīng)過時。現(xiàn)在,網(wǎng)絡(luò)安全不僅已經(jīng)成為運行業(yè)務(wù)和保護業(yè)務(wù)的先決條件,也是保護合作伙伴業(yè)務(wù)的先決條件。
生產(chǎn)網(wǎng)絡(luò)安全PPT精選
合作咨詢
肖女士 021-33392297 Kelly.Xiao@imsinoexpo.com