Lutz Jnicke博士在菲尼克斯电气负责安全产品和解决方案,是菲尼克斯电气接触系统性网络安全保护的第一人,目前已经成为国际知名的数据安全专家。我们在一座古堡就网络安全问题对他进行了专访。
当数据安全的时候,就是它最好的时刻。
Q:您好,Lutz博士,我们今天的采访是在古堡进行的,在这里安全吗?
A:这座古堡现在应该是安全的。但在过去古堡往往也很容易被攻破。攻城者在放火后发起猛攻,甚至会挖掘地道推倒城墙。换句话说,人们通过寻找古堡的弱点来攻城掠地。在这一点上,今天和一千年前并没有什么不同。
Q:一旦创建了安全防御,就能确保永远安全了吗?
A:不,这是一个持续的过程。必须事先考虑如何组织防御,以便为多种可能性做好准备,并且,防御措施要走在攻城措施的前面。在中世纪,我们可以花很多年来做这件事,但现在我们必须快速行动。
错误通常发生在传统的分工合作中。在项目协同时,成功往往依靠所有同事的完美合作。一个同事的错误可能会引起一系列的连锁反应。“四眼原则”则可以帮助我们有效规避这方面的问题。与传统的城堡建筑一样,防御概念从一开始就要传达到位。这就是所谓的设计安全性。
Q:网络安全遭受的威胁是否在增加?
A:这是肯定的。我们这个行业的统计数据很难获得,但向FBI报告的美国网络安全事件造成的损失在过去十年中增长了十倍。从2008年到2018年,损失从2亿美元增长到20亿美元。这些都是绝对真实的数据。
Q:是什么让菲尼克斯电气开始考虑安全问题?
A:2002年,在柏林有一家名为Innominate的公司,创立之初是从事移动防火墙业务,但很快就进入了工业自动化领域。菲尼克斯电气于2008年接管了In-nominate公司。
然而,菲尼克斯电气不能仅仅依靠防火墙,我们还需要在考虑如何确保所有过程数据的安全性。我们制定培训计划指导人们操作并开发相关工具。每个软件开发人员都必须面对安全问题,并遵循一定的指导原则,人人都要有安全意识。
Q:网络安全如何实现传统产业和传统信息技术的协调统一?
A:传统产业和信息技术确实需要协调统一,但在不同领域又不完全相同。在生产领域通常没有人负责安全,设备启用后,没有人考虑如何将其安全集成到网络中,生产人员往往在意的是设备有没有连接到控制器。因此,要实现生产网络的安全,还有很多额外的“幕后工作”要做。但在财务控制中,我们通常仅将网络安全问题视为成本因素。这样考虑也不无道理,我们偶尔会因安全问题遭受非常大的经济损失。
Q:在网络安全方面,菲尼克斯电气在哪些领域积极活跃?
A:菲尼克斯电气正积极改善自己公司和客户公司的网络安全性。这对我们业务的发展很有帮助,加深了我们对生产领域问题的理解。而且我们新通过的TüV认证表明,我们可以胜任规划和提供包括盘点、安装、调试和培训在内的所有流程的工作。
Q:在你看来,安全问题会对公司管理产生很大影响吗?
A:原则上,可以认为大规模增长的网络安全威胁会给公司管理带来压力。在供应链中,由于安全性日益成为供应商评估中的一个重要方面,客户给供应链带来了更大的压力。在立法上,制定新的规则也是不可避免的。
菲尼克斯电气在日常的不断防御中进行自我提升,为我们的客户和我们自己积累经验。遭遇网络攻击并不意味着做得不好,但是没有有效阻挡威胁则意味着工作做得不到位。