网络黑客是整个制造业企业的安全、生产、利润和声誉面临的最重大威胁之一。尽管如此,由于成本高和数据泄露频繁,许多保险公司都不愿提供网络保险。
为什么网络安全对制造业如此重要
这一问题最困扰的是制造业公司,因为它们受制于占所有网络入侵的27%.仅在2016年,40%的制造业公司受到了某种类型的网络攻击。由于涉及的风险如此之高,制造商实施复杂的网络安全措施比以往任何时候都更加重要。华体会体育网页版
所有公司数据都需要保护
所有公司都有私人数据,这些数据的重要性从普通到关键不等。尽管如此,公司系统中包含的所有数据都有一定的价值。因此,数据保护在业务运营的各个方面都至关重要。无论您公司的规模或范围如何,系统中包含的数据可能包括以下内容:
- 账户信息
- 联系信息
- 工资文件
- 社会安全号码
- 银行账户信息
- 个人电子邮件
此外,系统中的信息还可能包含财务记录、产品设计和税务记录,所有这些都需要完全的安全性,以防止网络入侵。
一般改善建议
保护公司资料
当公司将数据从一台计算机或服务器传输到另一台计算机或服务器时,它就变得容易受到攻击。对于没有制定网络安全措施的公司来说,确保数据安全的唯一方法是将数据存储在一台没有互联网连接的计算机上,并随时保护这台计算机。然而,对于绝大多数企业来说,这并不是一个切实可行的解决方案。你很可能需要将公司数据上传到服务器上,以实现以下功能:
- 访问客户信息
- 与同事分享信息
- 备份重要的设计和文件
- 分析市场信息
这样的例子不胜枚举,但无论如何,公司数据每次从一方传递到另一方时,无论是在同事之间还是在合作伙伴之间,都面临着安全风险。
确定哪些方有权访问所选数据
在公司基础设施中,不同类型的数据适用于指挥链上的不同部门和层次。例如,销售人员没有理由访问公司的工资账户和州/联邦税务信息。因此,企业需要有选择地限制对数据的访问,以保护数据免受网络攻击。为此,重要的是盘点公司存储的数据类型,并列出被授权访问每种特定类型数据的人员名单。
制定隐私政策
任何业务的基石都是客户和合作伙伴的信任。为此,至关重要的是,与你互动的所有各方都对自己分享私人信息的能力有百分之百的信心,而不必担心数据是否会被滥用或泄露。因此,制定一项隐私政策,以可理解的语言概述相关条款,以获得相关各方的同意,这一点至关重要。
保单条款应包括以下内容:
- 客户的个人信息将如何使用
- 谁能接触到这些信息
如果您出于任何原因希望与合作实体共享所选信息,应仅在获得相关主体的明确许可后才可以这样做。
保护在线收集的数据
互联网使数据收集比以往任何时候都容易。然而,在互联网上收集的所有信息——无论是通过销售页面还是客户咨询——都必须存储在安全的服务器上。如果您操作自己的服务器,则必须制定安全措施,以确保未经授权的人员绝不会泄漏或访问信息。
如果您使用第三方服务器,请研究他们的隐私条款,以确保他们的服务器是防破坏和安全的,这样就没有黑客或流氓内部人员可以访问您存储在他们服务器上的数据。
实现数据安全层
数据保护是一个多层次的过程,因为您不能依赖于单一的协议来实现安全性。如果黑客和数据之间的唯一障碍是密码,那么在黑客成功破解账户的那一刻,数据就变得很脆弱。因此,实现一系列认识到每种数据类型重要性的安全协议是至关重要的。
制造业政策、培训和教育的最佳实践
数据清单
任何公司都有不同类别的数据。企业规模越大,如果手头没有最新的数据库存,就越难以跟踪公司系统中存储的所有数据。为了防止系统中的数据出现任何可能的混乱或疏忽,请对公司存储的所有层数据进行盘点。
识别高度敏感的数据
每个公司都在他们的服务器上存储了大量的数据。诚然,虽然所有数据都有一定的价值,但并非所有数据都同等重要。因此,您应该将数据分解为重要的层次结构,并将最敏感的数据给予最高优先级。
下面是一个可能的数据层次结构分解的例子:
- 保密-这类别包括客户的所有私人资料,例如社会安全号码、信用卡资料、银行路由号码及街道地址。
- 敏感的-这一层将包括公司的所有私人信息,例如税务和审计记录,只应由选定的人员访问。
- 内部-这种分组将包括所有员工之间共享的信息,但不包括与外部人员共享的信息,例如设计、食谱、配方和其他公司机密。
已建立的数据层次结构使您更容易随时跟踪公司如何保护机密数据。
控制数据访问
建立了数据层次结构之后,您需要确定哪一方可以访问哪些数据。对于敏感的公司数据,只向有权查看这些数据的部门提供访问权限。为了确保每个部门或一组员工了解他们的特权,请列出有权访问选定数据主体的人员。
数据安全
为了最大限度地降低数据泄露的风险,请创建至少10个字符的密码,其中包含小写字母和大写字母,以及数字和符号。定期修改密码。为了最大程度的安全性,请选择两层登录过程,这样的密码还需要PIN或指纹。
安全性的另一个关键方面是加密,它对密码进行打乱,使其具有防黑客性。加密代码需要“钥匙”来解锁数据。加密可以应用到整个硬盘驱动器,选择文件夹或选择文件。
保持数据备份
如果您只维护每个数据文件的一个副本,则数据文件随时可能丢失或被盗。为防止因火灾、硬盘故障或光盘被盗而导致数据丢失的可能性,请始终保持所有数据的备份。备份数据最安全的方法是在加密的云服务器上,数据存储在场外。这样,如果您的物理文件因火灾或自然灾害而被盗或损坏,您的公司数据仍然可以检索。
一旦建立了备份计划,就需要对如何处理数据制定相应的策略。需要指定的内容包括:
- 数据备份由谁负责
- 数据存储在哪里
- 谁有权访问备份数据
备份数据是一个简单而负担得起的过程,当您考虑到不这样做的潜在后果时,所需要的少量努力是非常值得的。
有数据丢失应急协议吗
对任何公司来说,最有害的事情之一就是数据泄露。当机密信息泄露或泄露时,可能会破坏成千上万客户的信任。每年,各种规模的公司都会遭遇安全漏洞。在许多情况下,当局从未查明肇事者,但受影响的企业仍然面临诉讼。因此,即使采取了所有保护数据的步骤,在数据丢失的情况下建立紧急程序仍然至关重要。
如果您的公司受到网络入侵,请立即向适当的安全方报告此事。所有公司人员都必须了解必要的步骤,以便在意识到有漏洞时立即采取行动,无论漏洞发生在白天还是凌晨。
即使是在公司员工丢失硬盘的内部泄露事件中,也必须立即报告问题。有了一套既定的应急方案,就更容易协调恢复工作,防止问题蔓延到无法控制的地步。
警惕社会工程
对企业安全最具欺骗性的威胁之一是社会工程(social engineering),它可以解释网络窃贼设计的任何诡计,以欺骗员工提供可能使公司变得脆弱的信息。小偷们已经成功地在包括脸书、推特和领英在内的一系列社交媒体平台上以各种形式实施了社交工程策略。
社会工程犯罪分子的常用策略是诱骗员工下载含有间谍软件的假杀毒软件。只要下载一个这样的软件程序,员工就可以使一台电脑——甚至可能是公司网络上的所有电脑——遭受网络入侵。因此,培训员工如何发现社会工程,不被这类骗局所骗是至关重要的。
保护联系人免受网络欺诈
在与客户打交道时,信息的安全是双向的。在一些网络盗窃案件中,作案者会伪装成合法公司来欺骗客户。即使你的公司之前没有与受害者有过交易,以你公司名义进行的欺诈行为也会损害你的品牌,无论是通过不良宣传还是负面口碑。
为所有的电话和电子邮件交流创建一个公司消息脚本,以确保你的公司有一个可识别的和一致的沟通风格。这一步可以让客户迅速熟悉你公司的“声音”,避免冒名顶替者。
防范网络钓鱼
网络窃贼通常通过一种被称为网络钓鱼的策略来获取机密数据,这种策略包括使用欺骗性的电子邮件,诱使读者点击恶意软件链接或放弃私人信息。网络钓鱼诈骗通常与新闻事件和季节性主题有关,听起来很合法。当网络窃贼从企业窃取客户信息时,他们的目标通常是伪装成公司代表,以公司的名义骗走客户的钱。
确保所有公司人员都知道如何发现网络钓鱼计划。最大的危险信号是直接要求个人信息的电子邮件,或者向收件人发送链接,指示他们填写个人信息。永远不要点击来自未知或未经验证来源的电子邮件中的链接。
拒绝虚假反病毒服务
网络窃贼在电脑上安装恶意软件的一种更具欺骗性的方法是使用伪装成合法电脑警告信息的“恐吓软件”广告。如果你的屏幕上突然弹出一个消息框,说你的内存已满或电脑即将崩溃,并声称你必须点击链接下载防病毒程序,那么这条消息就是欺诈。
指导所有员工如何区分假冒的反病毒服务,并立即报告任何情况。培训员工如何识别来自计算机操作系统的合法弹出警告,而不是黑客和恶意软件创造者的恶意弹出警告,也是一个很好的经验法则。
核实电话询问方的身份
除了互联网,社会工程师的主要运作渠道是电话。一种常见的策略是冒充客户给企业打电话,骗取公司代表的敏感或机密数据。
指示所有公司人员不要向来电者透露任何形式的私人或专有信息。为了验证来电是来自真正的客户而不是冒名顶替的客户,员工应该记下来电者的联系信息,然后在继续交换之前向该客户拨打电话。
定期更新防病毒软件和系统程序
为确保网络安全,请定期更新电脑。每次可信的防病毒或数据库软件程序的更新可用时,请通过网络下载并安装更新。为使功能统一,请同时更换网络中的所有计算机,以确保每台计算机都与最新更新兼容。
建立安全浏览政策
为了保护你的内部网络不受病毒和恶意软件的侵害,请限制员工只能访问与公司业务相关的网站。
不要把未知的u盘插入公司电脑
来自第三方来源的外部存储设备可能包含危险的恶意软件。为了保护您的内部网络不受感染,只接受已知来源的u盘和外部硬盘驱动器。指示员工只使用公司的u盘,并且只在有指示的情况下使用。
明确公司网站上的内容
信不信由你,网络窃贼通常可以直接从公司网站上获取公司的私人数据。在某些情况下,信息来自一个存储库页面,任何人都可以访问具有网络侦察技能。在其他情况下,这些信息直接来自公司简介页面。
建立一个关于在你的网站上放置什么是安全的政策。不要在你的网站上放置以下类型的信息:
- 公司安全
- 公司信息系统的详细信息
- 建筑布局和安装的建筑图纸
- 暗示安全漏洞的信息
- 受当地、国家或国际隐私法约束的信息
为了确保此类关键信息不会以常规字体或小字字体出现在你的公司网站或任何封底页上,确认所有管理网站的员工都了解他们可以和不可以在网上发布的内容的政策。
物联网设置的数据保护
随着制造企业采用物联网(IoT),移动和静止的机械设备与计算机系统连接,现在确保连接到公司系统的每个设备的安全性至关重要。仅在2016年,全球34%的组织将四分之一的安全预算用于物联网开发,这反过来又导致物联网安全扫描和分析激增458%。
在公司基础设施中实施物联网时,在将每个新设备连接到公司系统之前,请检查其安全功能。为每个接受的设备配备可更新的软件或固件和复位机制。此外,任何实施物联网的公司都应该为通过此类设备存储和传输数据的最坏情况建立应急措施。
制造业网络安全的未来
随着物联网接管制造业,黑客可能会找到新的方法来劫持公司的生产流程。例如,试图破坏生产线的外部方可以远程访问机器人生产机器。入侵很容易不被发现,因为有问题的一方可能会下载、修改和重新上传配置文件。
这种变化可能会导致机械臂放置的组件稍微偏离测量值。尽管生产线上的员工可能不会注意到这种变化,但这种差异最终可能会损害产品,导致代价高昂的召回。
在制造中电动机械,黑客可以改变生产线上焊接设备的热定值,使零件不能足够紧密地结合。同样,这种差异最初可能不会被发现,但最终的成品可能是不安全的。一家公司可能会面临难以估量的经济损失和品牌损害,这取决于从入侵到被发现的时间间隔。
对物联网安全采取防御性方法
考虑到不断增加的安全威胁和物联网带来的新漏洞的双重问题,制造业必须实施一套先进的网络协议。消除风险的基本步骤应该从以下开始:
- 确定潜在的切入点-随着您的物联网基础设施的发展,检查每个新的计算机化设备如何可能被网络入侵者入侵。提交每个新设备进行渗透测试。检查每个设备和整个系统之间的所有内部和外部连接。
- 进行常规漏洞扫描-为了让您的系统遥遥领先于那些试图在连续几代补丁中发现和利用漏洞的黑客,始终执行最新的补丁和更新。
- 建立访问控制-采取措施确保通过一个易受攻击的设备或入口点进行的入侵不会导致整个系统的黑客攻击。
作为工业电子领域的全球领导者,全球电子服务华体会app体育连接登录总是关注那些影响制造业的问题。订阅我们的博客或在社交媒体上关注我们,了解制造业的最新情况。