{{ title }}
{{ errorMessage }}


{{ errorMessage }}





{{ registerSuccessMessage }}
当前位置: 首页> 访谈> 正文 
收藏
点赞
投稿
受监管制造业的实际情况
  2022-09-20      36

Nolan Johnson

Nolan Johnson采访了DEFCERT公司首席执行官Ryan Bonner,就政府对数据和网络安全的监管进行了探讨。转型到数字工厂的关键要素是确保运营数字工厂所需数据的安全,最重要的是,客户设计数据的安全。

Nolan Johnson:Ryan,DEFCERT的主要业务是什么?

Ryan Bonner:我们是一家合规咨询机构,主要面向受监管的制造领域工作。

Johnson:能详细解释一下吗?

Bonner:受监管制造领域是指政府对其数据有专门法规的企业。当制造商在更大的供应链中生产商品或完成服务或流程时,有时与该工作相关的数据会受到监管。对于与我们合作的企业,主要由联邦政府监管,但对于另外一些企业,这些数据看似无害,这些企业多年来一直以类似的方式为其他客户提供一些数据,但现在政府对这些数据附加了额外的监管条件,我们正是与这样的企业合作。这些数据将以不同的方式出现,而且我们必须为制造商确定更新或更好的策略,不仅要使用和消费这些数据,还要保护它们。

Johnson:太好了。你们的业务主要在电子制造业,还是范围更广?

Bonner:范围更广。有些行业现在很热门。半导体和PCB行业当然很重要,因为国家对这些行业生产能力的回归非常关注。我们还与其他生产更传统成品的制造商合作,如车辆系统和航空航天应用。

Johnson:你能从DEFCERT的角度出发,对比PCB制造业的状况与半导体及更一般制造业的状况吗?

Bonner:作为一个局外人,我看到PCB制造业把它的专业知识和能力转移到了国外,因为有这样的动机。你可以在这里做强大的设计工作,而把制造工作交给别人。但在美国制造业垂直领域的其他部分,总有一些产品能在国内完成装配、涂层或整机生产。也许是组装或样品生产、测试及试用,或者其他生产。美国本土PCB行业缺乏制造专业知识和可扩展的批量生产能力,现在需要恢复这类专业知识和生产能力,这一点同样重要,是一个比我们在美国制造基地的其他部分看到的更大的转变。

 Johnson:这是有趣的要点。我们所说的成品实际上是子组件。比如说,一家生产洗衣机的美国消费电子或电器公司将PCB视为子组件,而我们将其视为成品,对于OEM来说,它只是转移到离岸采购的产品组件。

Bonner:绝对是这样。随着网络物理系统和集成系统进入整个消费、商业和政府领域的几乎所有传统产品领域,我们意识到,芯片组现在已经进入了所有的东西。这不是一个局部的或集中的功能或能力。

绘制轨迹线很有趣。当我们想要获得能力时,我们不会通过更平滑的表面、更好的弹性负荷或速率实现;而是通过计算能力和实时信息来实现。如果想保持生产能力和随后的竞争优势,我们必须在几乎所有应用中包括计算能力。对芯片组,尤其是分布式芯片组、嵌入式系统和网络物理系统的依赖性增加是显而易见的。

Johnson:我们知道,传感器正在以批量形式进入汽车,无论是防撞系统、雷达,还是激光雷达等。5G有望在车与车之间提供更好的数据通信,例如从我们前方半英里的车辆上进行汽车遥测,可供我的车辆针对视线之外的交通状况提前发出警告。这种数据通信正在汇集在一起,形成汽车数据中心。毫不奇怪,人们在讨论如何保护这些数据、通信通道的安全性和防黑客。

而且正在讨论基于物联网之类的类似传感器技术,以捕获性能特征,将制造过程数字化,以进行分析和优化。但我们是否将生产车间置于了同样的风险和暴露中?

Bonner:当然。当我们想到传统的制造业时,工厂在很大程度上起着黑匣子的作用。输入技术规格和设计要求,输出有认证和证书的成品。我们发现,在复杂的供应链中,企业希望在这些制造环境中获得更多的遥测、可测量性和实时能力,无论是在他们自己的业务范围内,还是在各方之间,我们开始在数字双孪生工厂等平台中看到这一点。为了减少反馈回路并减少纠正问题所需的时间,需要在车间安装更多传感器和形成更多连接性。

我们可能不再在工厂角落的CMM实验室进行所有质量控制。而可能会在CNC机床上安装探针和采取测量措施。任何时候我们增加连接,都会改善网络效果,这对企业是有好处的,但同时也会增加风险。只是需要有必要的风险管理措施。当审视工厂的数字化实现过程时,我看到的是与实现工厂电气化时所经历的完全相同的模式。

Harvard Business Review发表了一篇题为《无关紧要》的文章,这是一个奇怪的说法。文章提出的观点是,当电气化在20世纪初来到某人的家乡时,把工厂搬到有电的城镇,而不是没有电的城镇,是值得的,因为能够在太阳还没升起的时候工作,有自动化设备可以做任何需要他们做的事情。这类企业所具备的竞争优势是不争的事实。

但一旦每个企业都有电,竞争优势就不存在了。现在的重点是管控将电引入企业的风险。有裸露的电线吗?有火灾危险吗?既然有了电气化系统,那么我需要管控什么?如果我们探究数字化系统,对于制造商来说,早期数字化有着极大的优势,从风险与回报的角度来看,“这是值得的”。数字化企业也许能够发挥出人们还没有想到的能力。但随着这些案例变得越来越普遍,企业就不再具有竞争优势了。这就是新常态。

此时,可以开始考虑如何管控这类风险。我们在数字化、物联网设备和网络连接的操作技术方面给车间带来的风险是,现在车间拥有一些与以前办公室相同的功能,比如正常的计算环境、服务器、PC和笔记本电脑。这意味着现在拥有与这些设备相同的受攻击足迹,即这些设备已经成熟,存在可以被利用的风险。

Johnson:过去两年,北美一些PCB制造厂遭到勒索软件攻击,这就证明了这点。

Bonner:绝对是这样。如果你真的想打击一个制造商的痛处,甚至摧毁他们的生产能力。

Johnson:之前一篇讨论勒索软件攻击的文章中,最初的进入点是制造车间中一台未经保护的设备。

Bonner:这是一种常见的反模式。如果制造商愿意,他们会允许供应商引入连接新系统,因为系统提供了新的制造能力,他们不计算成本。他们不会查看供应商要求的系统连接本身是否安全、是否正确分段,或者是否有任何其他问题。他们只是让供应商做他们想做的事,会满足供应商的任何要求。通常很少或根本没有管控。最终,可以让供应商通过开放的互联网访问,以方便支持数百万美元的设备,但它也很容易被访问,看到可以从互联网上公开访问制造设备,而且几乎没有控制措施,很可怕。

Johnson:约翰逊。当然,这有一个意外的后果,就是暴露了生产车间里其他可能已经过时的计算机。这可能是一些由仍在使用XP系统的计算机控制的遗留设备,因为操作软件不能迁移到下一个更安全的操作系统版本。

Bonner:当然。不受支持的平台或操作系统是巨大的隐患领域。任何时候,当把这种不稳定的成分与互联网接入混为一谈时,都是在自找麻烦。必须有非常明确的策略来处理无法以正常方式升级或保护的系统。我们需要提升这类设备安全性的方法,以保护它不受外部甚至企业自己网络的影响,或者我们需要某种方法管控此类设备,这样它就不会对其他设备构成风险。

Johnson:数字化显然是第一步,但也有第零步——确保网络安全。在开始安装传感器和设备之前,全面考虑数据及安全性。

Bonner:计划引入新功能必然有好处。当采取这一步骤时,我们发现企业更愿意与新设备供应商进行沟通,或者以非常知情的方式更好地实施或部署新功能,而风险不仅是悄悄地向他们靠近,而是突然间他们的网络上就出现了新的风险。我们看到,企业正在做的一些事情是为其新连接的设备创建全新的网络,然后慢慢地将其与其他旧网络(如果存在)集成。这就像为连接设备提供了一个干净的环境,这样你就可以非常清楚地了解该设备的正常行为是什么样的,这样如果有什么奇怪的事情开始发生,你就会注意到它,因为你知道在该环境中正确的行为是什么。

Johnson:零信任?

Bonner零信任安全假定你的整个网络从一开始就不值得信任。零信任包含了这样一个想法:让这种新设备通过加密通道在网络中完全地以隧道方式传输,只传输给需要它的资源,而不可随意访问任何其他资源。这是更加可控的过程。在旧网络中很难做到这一点,但在新技术的全新实施中更容易实现。如果对新设备可以选择采用零信任方法,那总比什么都不做要好。

在我们匆忙创建新功能的过程中,有很多嵌入式系统和物联网设备,我们未充分考虑这些工具的本地安全性。现在我们有了联网的系统,但它们没有普通计算机的所有功能。通常,我们需要增加这种功能。有一些系统可以在刚刚接入网络的设备前面安装“第7层”防火墙。如果愿意的话,它允许把所有从防火墙出来的东西都当作网络上的普通一等公民对待,防火墙实际上是一个巨大的设备。所有治理和保护它的能力都已具备。

NIST已经发布了一些关于其认为物联网设备的基本安全特性的基本信息。当与制造设备领域的供应商合作时,这些信息可能会很有帮助,以确保这些特性存在于将要引入网络的产品中。如果这些特性都不存在,也不可怕,而且至少了解可能需要填补哪些空白。

Johnson:早些时候,我们谈到了政府的监管法规,行业中的知名制造商必须注意并遵守这些监管法规。你能简要介绍一下吗?

Bonner:当我们考虑到制造商的监管融合时,有一些要点需要注意。首先,当我们从客户那里引入受监管的数据时,更多的数据将流经这些日益互联的系统。这些系统不只是简单的轴线数据被绘制到铣切机上进行数控切割;这些都是完整的三维模型,包含其中的仿真信息和测试数据。当我们开始在制造环境中移动这些复杂的数据模型时,企业的更多系统对成品的外观以及它们对市场的价值有了更完整的了解。当有相关法规时,我们需要意识到,当连接工业4.0类型的车间时,正在急剧增加保护的负担。

当我们看到政府方面的行为,尤其是在国防部,以及NIST 800-171或CMMC等被更重视时,我们在制造过程中添加的连接性和真正丰富的数据集越多,这些法规跟踪这些过程的可能性就越大。我们需要意识到这一点,并考虑在这一过程中扩大监管范围。

还应该意识到,企业的业务是否会在美国被指定为关键业务。我不清楚PCB行业的各个部分是否会被视为关键基础设施,但一些新通过的事件报告立法将约束许多企业在事件发生时快速报告。

这样的法律需要额外的责任。如果将来我们从事任何形式的政府合同,甚至是由联邦资金资助的工作,那么报告企业环境中所发生事件的负担可能会增加,这是我们过去可能没有报告过的事情。重大违规或勒索软件支付等情况必须在满足某些标准后72小时内报告。这是大的转变,所以我们应该意识到作为一个行业,这些事情正在向我们靠近。。

Johnson:对于小批量制造商或样品制造商来说,在任何一天都有大量工作,因此会产生大量数据需要管理。

Bonner:在PCB行业,可以注意到企业所做工作的一些模式。当观察PCB制造商的传统操作顺序时,设计工作、工作成本计算以及一些设计准备和生产工程都是非常重要的。当在特定作业的时间线上查看人工分布时,更好地降低风险的机会都是预先准备好的,因为作为制造商,我们可以在早期做出一些选择将多少客户数据流入生产的决定。总是有机会针对有限的数据集进行生产,甚至修改数据集,这些数据集不会影响数据的完整性,但会混淆或掩盖生产作业所针对的终端客户。

有很多机会可以考虑在生产中使用合成数据或使用有限的数据集,因此可以降低数据在生产环境中被破坏的风险,并真正实践我们称之为非持久性的东西,我们从客户那里收到的数据就是完整的信息,不会在我们的环境中停留超过必须的时间。

Johnson:刚才,你是在暗示制造业的参与者可以帮助影响政府提出的法规吗?

Bonner:企业有机会影响监管的内容。然而,制造业通常会在法律已经提出或通过之后,等待与监管机构接洽,然后开始执行。我们现在在国防合同方面做了很多工作,看到许多行业团体团结起来,控制国防承包商现在需要的某些网络安全措施的合规成本。重点是:它们已经成为法律。行政命令和合同条款已经就绪。船已经开航了。此时已不可能修改已制定的法律。最好的选择是影响上游的立法者和监管者。

信用卡行业就是很好的案例。如果曾经在企业中使用过信用卡,你就知道一个叫做PCI合规性或PCI DSS的行业标准。政府没有参与标准的制定。信用卡公司自己制定了这项标准,并通过银行强制执行,以避免监管。当讨论我们如何防止信用卡盗窃和欺诈时,该行业决定加强并建立自己的标准,这比目前任何可用的标准都要好。它消除了监管者制定综合政策和立法的需要。

这是一个行业在看到一个模式出现时走在前面的例子。如果印制电路板行业的制造商想要避免下一轮的监管,他们需要创造更好的以制造为导向的标准,然后利用这些标准来影响监管领域。这是一个多年的过程,需要远见。

Johnson:如果银行业能找到交换数据的合作方法,那么PCB行业到底在等什么?

Bonner:我看到像IPC这样的组织努力为他们所做的一些事情建立一些新的附加标准。可以轻松地将其中一些努力转化为最佳实践,以便在车间中调整和采用互联技术,以实现将生产中使用数据的影响程度降至最低的特定方法。有各种各样的东西可以创建,但你是对的,需要尽早开始,而不是晚些时候,这样当监管机构开始对整个行业做出反应性的下意识指控时,该行业就有东西可以展示出来,说明他们一直在研究这些主题,已经在实施最佳方法,而且行业正在超越对监管的被动回应。

分享到:
  点赞
  收藏
  打印

中国电子制造专业人士刊物

创于2003年

全国"一步步新技术研讨会"官媒

SbSTC服务号
actSMTC订阅号
扫一扫,掌握最新资讯
评论(0
已输入0
相关推荐
 131  2022-01-18
 560  2020-11-17
 513  2019-10-10
 468  2019-10-10
热门标签