Method for information and process modelling towards the automation of security risk assessments

Abstract

The importance of security for manufacturing systems is currently surging by the cause of two main aspects. Firstly, the increased modularity and flexibility of components, modules, and machines create a higher frequency of the required security risk assessments. Secondly, the highly dynamic threat landscape, the amount of available security-related information, and the growing degree of digitalisation emphasize the need for automated security risk assessments to support human experts with their currently mainly manual tasks. Therefore, this dissertation presents a method for information and process modelling towards the automation of security risk assessments for modular manufacturing systems. The first step of this method includes the information collection which uses swimlanes to specify a practical security risk assessment process based on the theoretical concepts from the available standardisation landscape. Afterwards, the second method step involves the information formalisation covering the integration of already established and acknowledged frameworks into the security risk assessment process in a technology- and implementation-agnostic way. Moreover, the third step of the method regarding information usage includes the elicitation of the human expert knowledge into rules based on predicate logic. Finally, the fourth method step includes the information access which describes the translation of the developed information model into a submodel of an asset administration shell, serving as the industrial implementation of a digital twin. By following these four method steps, the four main identified deficits of insufficient process coverage, missing standardised metrics, low approach maturity, and high abstraction levels within the state of the art are addressed. The results of this dissertation are the conceptual development and prototypical implementation of an expert system for automated security risk assessments regarding modular manufacturing systems. The overall evaluation shows a comparable result quality and process coverage between automated and manual performances of security risk assessments. Furthermore, the necessary level of knowledge for security risk assessments is decreased and the overall degree of automation is increased.

Die Bedeutung der Security für Fertigungssysteme nimmt derzeit aufgrund von zwei Hauptaspekten stark zu. Erstens steigt durch die zunehmende Modularität und Flexibilität von Komponenten, Modulen und Maschinen die Häufigkeit der erforder- lichen Security Risikobewertungen. Zweitens unterstreichen die hochdynamische Bedrohungslandschaft, die Menge an verfügbaren sicherheitsrelevanten Informationen und der zunehmende Grad der Digitalisierung den Bedarf an automatisierten Security Risikobewertungen zur Unterstützung der menschlichen Experten bei ihren derzeit hauptsächlich manuellen Aufgaben. In dieser Dissertation wird daher eine Meth- ode der Informations- und Prozessmodellierung zur Automatisierung von Security Risikobewertungen für modulare Fertigungssysteme vorgestellt. Der erste Schritt dieser Methode umfasst die Informationssammlung, die mit Hilfe von Swimlanes einen praktischen Prozess für Security Risikobewertungen auf der Grundlage der theoretischen Konzepte aus der verfügbaren Standardisierungslandschaft spezifiziert. Der zweite Methodenschritt beinhaltet die Informationsformalisierung, die bereits etablierte und anerkannte Rahmenwerke in den Prozess der Security Risikobewertung in einer technologie- und implementierungsunabhängigen Weise integriert. Darüber hinaus beinhaltet der dritte Schritt der Methode zur Informationsnutzung die Erhe- bung des menschlichen Expertenwissens in Form von Regeln, die auf Prädikatenlogik basieren. Der vierte Methodenschritt umfasst schließlich den Informationszugang, der die Übersetzung des entwickelten Informationsmodells in ein Teilmodell der Verwaltungsschale beschreibt, die als industrielle Umsetzung eines digitalen Zwillings genutzt wird. Mit diesen vier Methodenschritten werden die vier identifizierten Hauptdefizite des Standes der Technik - unzureichende Prozessabdeckung, fehlende standardisierte Metriken, geringe Reife der Ansätze und hohe Abstraktionsgrade - adressiert. Das Ergebnis dieser Dissertation ist die konzeptionelle Entwicklung und prototypische Implementierung eines Expertensystems zur automatisierten Security Risikobewertung von modularen Fertigungssystemen. Die Evaluierung zeigt eine vergleichbare Ergebnisqualität und Prozessabdeckung zwischen automatisierter und manueller Durchführung von Security Risikobewertungen. Darüber hinaus wird der notwendige Kenntnisstand möglicher Nutzer gesenkt und der Automatisierungsgrad mit Bezug auf Security Risikobewertungen insgesamt erhöht.