Cyberbezpieczeństwo w praktyce – Siemens udostępnia kompendium wiedzy

756

Siemens udostępnia kompendium wiedzy na temat cyberbezpieczeństwa w przemyśle. Publikacja obejmuje między innymi opisy zagrożeń od strony IT oraz w obszarze procesów przemysłowych (OT).Dokument zawiera także wskazówki, w jaki sposób chronić przedsiębiorstwo zarówno od strony procedur i spełnienia norm, jak i w aspektach technologicznych – narzędzi i usług. Publikacja ma za zadanie poszerzyć wiedzę inżynierów i managerów na temat cyberbezpieczeństwa i stanowić poradnik o kompleksowym podejściu do ochrony informacji i ciągłości działania obejmującym procesy, ludzi i technologie. Patronat nad projektem objęło Ministerstwo Cyfryzacji.

–  Pracownicy i menedżerowie muszą być przygotowani na nieprzewidywalne incydenty związane z szeroko rozumianym bezpieczeństwem. Wydarzenia z ostatnich miesięcy stawiają bezpieczeństwo z powrotem tam, gdzie jego miejsce – w centrum uwagi. Także Siemens z najwyższą uwagą podchodzi do zagadnień związanych z ochroną informacji, zabezpieczeniem firmy przed różnymi rodzajami ataków i zagrożeń, propagując koncepcję „Defense in Depth”, która oznacza kompleksowe podejście do bezpieczeństwa – mówi Dominika Bettman, Prezes Zarządu Siemens Polska.

Publikacja zwraca uwagę na specyfikę firm przemysłowych w obszarze bezpieczeństwa oraz rozwiązania dedykowane dla przemysłu pod kątem infrastruktury krytycznej oraz elementów aktywnych infrastruktur. Sama świadomość istnienia zagrożeń nie wystarcza i konieczne jest metodyczne, oparte na systemowym podejściu działanie. Praktyczne elementy, mogące relatywnie szybko poprawić bezpieczeństwo w wielu przedsiębiorstwach, to zapanowanie nad bazą zainstalowanych urządzeń i ich oprogramowania oraz nieustanne podnoszenie świadomości pracowników i managerów w zakresie cyberbezpieczeństwa.

–Współczesna infrastruktura przemysłowa staje się coraz bardziej skomplikowana, obsługiwana przez wiele podmiotów, połączona wzajemnie i zewnętrznie. Dlatego zarządzający zakładem przemysłowym powinni pozbyć się przekonania, że granica między strefą bezpieczną i niebezpieczną przebiega na fizycznym ogrodzeniu oddzielającym zakład od świata zewnętrznego,czy też firewallu na brzegu sieci zakładowej. Ta granica biegnie teraz często poprzez urządzenia i aplikacje. Praktyczne rozwiązania, mogące relatywnie szybko poprawić bezpieczeństwo w wielu przedsiębiorstwach, to zapanowanie nad bazą zainstalowanych urządzeń i ich oprogramowania oraz nieustanne podnoszenie świadomości pracowników i managerów w zakresie cyberbezpieczeństwa – mówi Waldemar Chlebik z Siemens Polska.

Przed przystąpieniem do działań zwiększających bezpieczeństwo, zarówno informatyczne jak i proceduralne, konieczne jest wykonanie audytu lub oceny bezpieczeństwa. Audyt implikuje formalną procedurę, często przeprowadzaną przez niezależną trzecią stronę, która ocenia polityki i procesy pod kątem zgodności z wymaganiami, specyfikacjami,standardami i procesami. Często przeprowadzenie właściwego audytu poprzedza ocena bezpieczeństwa. Obejmuje ona takie aspekty, jak:architektura sieci, przepływy danych, weryfikacja systemów i procesów produkcyjnych, a także wiedzy i podejścia do ochrony informacji przez pracowników.

Wykonanie oceny bezpieczeństwa i audytu wskazuje, jakie środki bezpieczeństwa powinno podjąć przedsiębiorstwo. Przemysł wytwórczy w szczególny sposób musi dbać o zachowanie ciągłości procesów. Skrócenie do minimum potencjalnych czasów przestojów linii produkcyjnych jest dla przemysłu warunkiem koniecznym.

–Zachowanie ciągłości procesu niejako odsuwa na dalszy plan migrację i upgrade systemów wymagające od zakładu zatrzymania produkcji i przestoju parku maszynowego. Stosowana w przypadku klasycznych systemów IT metodyka polega na zatrzymaniu działania systemu i szybkiej aktualizacji oprogramowania, stąd też systemy IT wykazują większą odporność na potencjalne ataki w porównaniu do sieci produkcyjnych OT.Zgodnie z „Defense in Depth” wspieramy użytkownika w zakresie audytu samej infrastruktury, oceny ryzyka zagrożeń i bezpieczeństwa, gdzie efektem jest raport końcowy i koncepcja wdrożenia zasad związanych z cyberbezpieczeństwem.Taka procedura w myśl „Defense in Depth” dotyczy każdego aspektu przedsiębiorstwa, linii produkcyjnej, infrastruktury IT/OT, standardów komunikacji do poziomu poszczególnych stacji PLC” – mówi Rafał Bień z Siemens Polska.

W dokumencie wiele miejsca poświęcono praktycznym aspektom wdrożenia zasad bezpieczeństwa i technologii podnoszących poziom ochrony. Na przykładzie studiów przypadków firm Constellation Brands i Sapa w Rackwitz zaprezentowano, jak przedsiębiorstwa te przeciwdziałały zagrożeniom i jak zwiększyły bezpieczeństwo zakładu przed atakami oraz nieautoryzowanym dostępem.

Dokument można bezpłatnie pobrać na stronie https://www.siemens.pl/raport-cyberbezpieczenstwo