在制造装配线上修补操作技术产品？

Question

我最近转到制造业负责系统/产品的安全，特别是操作技术 (OT)产品的安全。根据最近的美国CISA咨询，我必须从一个特定的供应商为同一系列/产品的多个单元应用修补程序。这些产品被用于装配线以实现某些工作的自动化。

如何确保新的更新不会将安装在装配线上的产品砖砌成砖？

在这里，有什么最佳的做法来做修补这类产品，不会扰乱这条线？产品只能在换班期间进行修补(3班正在进行)。

“有些工业部门每年需要99.999%或更高的正常运行时间。这一要求涉及每年5分35秒或更短的停工时间，因此无法按计划进行修补。”

这在很大程度上是正确的，因为即使一天都无法使用是不可接受的。

此外，由于产品非常昂贵，我负担不起有一个独立的单元来检查新的软件更新是否没有砖块和完全兼容。

在这种情况下，我是否应该要求产品的供应商或产品的制造商提供证据，证明新的更新是安全的安装？

Answer 1

不是一个不同的世界。

首先是施罗德说的话。你想联系供应商并与他们讨论这个问题。

如果系统中有任何更改，您还需要与工厂管理部门检查任何认证、健康和安全检查以及其他可能变得无效的东西。

你也不能仅仅因为它们存在就应用补丁。我们在IT中这样做，因为通常被修补要比没有好。这在OT世界中不一定是正确的。事实上，你会发现很多过时的系统，风险分析得出的结论是，这样做更好，或者其他缓解措施充分覆盖了风险。

所以不，你不用贴补丁。根据供应商的建议、安全/风险分析和操作要求，您总是选择这样做。

因此，简而言之，下面是我的建议(我目前是一家制造厂的CISO )：

1. 明确为什么要应用该修补程序，如果存在其他替代方法(例如其他缓解措施)，以及为什么要丢弃这些修补程序。我强烈建议把它写成书面形式。
2. 与供应商联系，并通知他们，您认为需要应用修补程序，并安排与他们进行讨论。他们应该检查补丁在他们的系统上的工作，并指导您完成修补过程本身。
3. 联系工厂管理部门，通知他们你想申请补丁，而根据供应商的说法，这将导致X的停机时间。还列出了停机时间可能比预期更长的风险，并让他们签署该风险。
4. 一旦每一个参与其中的人都在船上，安排维护，做好所有的文书工作，让供应商来处理或至少协助实际的过程，并准备好回滚/恢复计划，以防万一。

Answer 2

在没有供应商提供直接监督，甚至更好的情况下，不要在线上碰任何东西。这项工作应根据支助/维护合同进行。

如果无法测试修补程序，则需要将责任转移给供应商，并受支持合同的保护。

Answer 3

我研究过的一个系统有一个简单的解决方案。为了保证五个九，使用了冗余硬件。出于修补的目的，可以手动启动故障转移。系统的一半被修补，另一个失败被启动，然后下半部分被修补。在出现故障时，可以恢复修补程序，并且临时非冗余系统故障的影响是可以接受的(<5分钟)。

当然，这可以推广到三重冗余系统，这样即使在修补过程中也可能出现故障。可靠性是有代价的。