← Назад к категории ИТ, систем управления и программного обеспечения

Могут ли новые директивы ЕС повысить промышленную кибербезопасность?

Кибербезопасность - это не новая тема, но она все чаще становится центральным фактором современного управления рисками в промышленном секторе. Тем не менее, речь идет не только об управлении рисками, но и о личной ответственности.

Связанные с производством угрозы, такие как производственные потери, ухудшение качества или задержки доставки, больше не являются единственными рисками. Управление и конфиденциальность данных одинаково важны в любой ответственной и современной производственной среде. Это должно поддерживаться хорошо организованными стандартами управления и структурами, которые могут иметь дело с постоянно развивающейся угрозой кибер-угроз.

В настоящем документе обсуждается, как современная индустрия находится под угрозой кибер-угроз, а также излагаются новые директивы ЕС и руководящие стандарты, которые будут стимулировать и помогать компаниям адаптироваться.

Том Линд, вице-президент по технологиям и новым решениям, отраслевая бизнес-группа, ФИНЛЯНДИЯ (корреспондент) и Джонни Талси, главный инженер, Cyber ​​Security, Energy Business Group, ШВЕЙЦАРИЯ

Том Линд

Том Линд

jonni talsi

Джонни Талси

Текущее состояние кибер-угроз в промышленном секторе

Рассматривая кибербезопасность в промышленном секторе, проблемы традиционно связаны с персональными ИТ, автоматизацией делопроизводства, управлением бизнесом и ERP (Enterprise Resource Planning).

Наибольшая доля инцидентов является непреднамеренной, вызванной нехваткой знаний у человека. Этот очевидный недостаток может быть изменен путем повышения осведомленности кибер-сотрудников вашей рабочей силы с достаточной учебной программой, которая охватывает основы фишинга электронной почты, вредоносных приложений и электронного мошенничества.

Преимущества расширенной цифровой обработки или автоматизации в промышленном секторе хорошо известны. Что менее известно, так это то, как промышленные системы управления (ICS) могут стать целью для кибератак. Недавние кибератаки используют malwares для разрушения или контроля над критической инфраструктурой, как электрические подстанции.

Это также не просто инфраструктура; есть также сообщения о том, что хакеры также атакуют системы безопасности (1). Тезисы растущего числа инцидентов подчеркивают тот факт, что ICS все чаще нацелены на кибератаки.

Промышленный сектор, особенно технологические заводы (продукты питания, химикаты, лесная продукция и т. Д.), Уязвимы для кибератак из известных и неизвестных источников. Успешные кибератаки могут привести к потере производства, незапланированному простоям (отходам качества продукции), нарушениям процессов наличных расчетов и цепочке поставок.

Влияние не ограничивается производственными процессами. Технологии строительства, такие как системы климат-контроля, дистанционно контролируемые системы контроля доступа и сети наблюдения, могут быть неожиданно уязвимыми.

Повреждение этих технологий может также косвенно повлиять на производство или даже оказать катастрофическое воздействие на местную среду или сообщество. Например, нападение на системы отопления, вентиляции и кондиционирования воздуха (HVAC) в больнице или лаборатории может напрямую повлиять на здоровье людей.

Понимание того, как цифровизация может повлиять на благосостояние людей, необходимо понимать, контролировать и защищать соответственно. Путешествие начинается с оценки важнейших компонентов инфраструктуры и технологий строительства.

При оценке производственных процессов жизненно важно:

- Имейте в виду и понимайте потенциальные кибер-инциденты -

Оцените и определите «мои риски и то, как они обрабатываются» -

Понять время и силы, необходимые для восстановления после производства после кибератаки

- Создайте и увеличьте свою устойчивость

Слишком часто нет четких планов. Резервные копии не тестируются, и даже меньшие помехи могут вызвать хаотические ситуации восстановления. Это подчеркивает, почему кибер-угрозы должны быть стандартным элементом вашей общей стратегии управления рисками в промышленном секторе.

О предстоящих изменениях в директивах кибербезопасности - «что в этом для меня?»

В 1995 Европейский союз представил «Директиву по защите данных» (Директива 95 / 46 / EC), регулирующая обработку персональных данных для соблюдения законов о конфиденциальности и правах человека. Однако с мая 25th 2018 вступят в силу новые директивы.

«Общее правило защиты данных» (GDPR) заменит предыдущие директивы. Целью ВВП является защита граждан ЕС от неприкосновенности частной жизни и нарушений данных, в том числе тяжелых наказаний за нарушения. В рамках этой новой директивы существуют меры, которые направлены на защиту промышленных операций (2). К ним относятся:

  • Власти должны быть уведомлены в течение 72hrs о том, что они впервые узнали о нарушении кибербезопасности. Это касается не только производственного подразделения, но и его клиентов, поставщиков и других заинтересованных сторон.
  • Любой, чьи данные управляются контроллером данных (например, зарегистрированные данные клиента), может в любое время бесплатно получить подтверждение, связанное с использованием данных.
  • Контроллеры данных должны удалять персональные данные, как только они утратили свою первоначальную цель, больше не актуальны или субъект данных отказывается от согласия.
  • Защита данных должна быть включена в начале проектирования, а не в дополнение. Он должен быть самого высокого стандарта и защищать конфиденциальность любого объекта данных
  • Учреждение и назначение сотрудника по защите данных (DPO). Очевидным в этих новых мерах является уровень повышенной прозрачности для обработки данных, попытки кибератаки или нарушения. Если ошибки не возникнут, это может нанести ущерб репутации компании. Поэтому просто иметь традиционную роль ИТ-менеджера больше не будет. Эти новые вызовы означают, что необходимо назначить главного сотрудника по информационной безопасности (CISO).

кредитоспособность

Увеличенная цифровизация в производстве означает, что существует большее взаимодействие между различными системами, которые контролируются или контролируются с помощью компьютерных алгоритмов. Типичными приложениями в этой области являются беспроводные сенсорные сети, измеряющие что-то в данной среде и передающие их центральному блоку (например, автоматическим системам пилотной авионики).

Все это сочетается с человеческим взаимодействием. Все эти движущиеся части создают кибер-физические системы (CPS). CPS необходимо включить в практику управления рисками (3).

Достоверность является неотъемлемой частью концепции CPS с аспектами безопасности, конфиденциальности, безопасности, надежности и устойчивости. Надежность должна быть основным требованием любого современного промышленного объекта и предпосылкой для устойчивого, передового производства и цифровой бизнес-среды.

С точки зрения управления рисками, объединение ВВП и надежности может быть проведено следующим образом:

  • CPS может включать физические, аналоговые и кибер-компоненты. Инженеры должны определить, как оценивать влияние своего выбора с точки зрения многоуровневых компромиссных показателей
  • Безопасность, операционный и репутационный риск
  • Безопасность, частота ошибок (есть ли вероятность того, что данные могут быть использованы против процессора?)
  • Надежность, отказы
  • Конфиденциальность, нежелательные показатели раскрытия информации
  • Устойчивость, скорость восстановления

Планирование устойчивости выполняется для смягчения атаки и помощи при восстановлении. Восстановление данных после нарушения безопасности должно быть запланировано с четко определенным процессом. В идеале это тоже нужно практиковать. Во многих случаях четкие процедуры резервного копирования данных могут быть разницей между быстрым восстановлением и полной катастрофой. Ключ заключается в том, как быстро это можно сделать для уменьшения ущерба (например, производственных потерь).

Превращение теорий в практику

Стандарт ИСО 27001 является широко известным и широко применяемым стандартом для управления информационной безопасностью и определяет связанные с ним риски. Этот стандарт традиционно считается скорее стандартом управления ИТ, но в средах с растущей цифровкой, на современные средства производства он не может больше полагаться.

ISA99 / IEC62443 подчеркивает промышленные системы управления на четырех разных уровнях (Общие, Политики и Процедуры, Система и Компонент). Кроме того, ISA99 / IEC62443 представляет собой более продвинутый подход к промышленной кибербезопасности, в частности, решение проблемы кибербезопасности для управления системами. (4)

С джунглями стандартов, руководящих принципов и рамок; выбор правильного для вашего бизнеса и промышленной настройки имеет решающее значение. Только после того, как вы выбрали наиболее релевантные, вы сможете создать основу своей кибербезопасности ICS. Не менее важна способность поддерживать и развивать свою кибербезопасность. Pöyry разработал простой подход для этого, как показано в блок-схеме ниже:

Подход непрерывного совершенствования промышленной кибербезопасности

Рисунок 1. Непрерывный подход к совершенствованию технологических установок (5).

Управление активами и кибербезопасность

Перерабатывающие или производственные предприятия, как правило, очень активны в бизнесе. С точки зрения владельца, существует огромная неопределенность и риск, которые рассматриваются в будущем производственном портфеле и бизнес-среде.

Они должны учитывать важные внешние факторы, такие как глобальная экономика, изменения спроса / предложения, ценообразование на сырье, ограничения для сотрудников, политика и т. Д. Современное управление активами включает в себя ряд сложных вопросов, таких как:

- Как сохранить активы и все еще выполнять все установленные операционные, устойчивые и бизнес-цели?

- Каков ежегодный инвестиционный спрос, необходимый для достижения каких-либо целей?

- Должны ли мы заменить или перестроить?

- Как мы можем смягчить любые связанные с активами риски, связанные с неясными будущими рыночными сценариями?

Как вы можете видеть, существует огромная сумма, которую владелец должен рассмотреть и управлять. Но жизненно важно, чтобы кибербезопасность учитывалась одинаково. Поэтому любой план управления активами должен включать CPS. Например, модернизация оборудования может включать не только модернизацию оборудования или модернизацию оборудования.

Он должен включать ICS в кибербезопасности (например, конфиденциальность данных). Обычно бизнес-менеджеры, как правило, сосредоточены на снижении затрат и эффективности времени. Между тем, практика закупок в обработке больше сосредоточена на расходах на прямые активы, при этом расходы на техническое обслуживание и эксплуатационные расходы являются второстепенными.

Слишком часто кибер-безопасность снижается. Однако, неспособность построить кибербезопасность на инвестиционной стадии означает, что ваш новый современный завод на самом деле будет старым и неэффективным с первого дня.

Вывод

Недостаточно просто повысить эффективность или повысить устойчивость. Интеграция оцифровки в промышленных операциях резко подвергает промышленные процессы неизвестным угрозам кибербезопасности. Традиционное управление активами не может обеспечить вашу безопасность.

Однако все эти проблемы можно решать, но для этого требуется систематический подход, постоянно совершенствующийся и обновляющийся. Необходимо выбрать подходящую инфраструктуру для собственного бизнеса каждого, но для того, чтобы планы не были включены, недостаточно хорошо спланировать. Это имеет значение. Можно было бы перефразировать этот факт следующим образом: «Кибер-безопасность - это путешествие, а не цель!»

Благодарности

Авторы хотели бы поблагодарить ценную поддержку г-на Петри Канккунен за ценные замечания к содержанию этой статьи.

дело

1 www.ics-cert.kaspersky.com/wp- content / uploads / sites / 6 / 2017 / 10 / KL-ICS-CERT-H1- 2017-report-ru.pdf

2. www.eugdpr.org/key-changes.html

3. www.nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.1500-201.pdf

4. www.en.wikipedia.org/wiki/Cyber_security_standards

5. www.poyry.com/cybersecurity

Индустрия технологической промышленности

новости по теме

Оставить комментарий

Ваш электронный адрес не будет опубликован. Обязательные поля помечены * *

Этот сайт использует Akismet для уменьшения количества спама. Узнайте, как обрабатываются ваши данные комментариев.