← Zurück zu IT, Managementsysteme und Software

Könnten neue EU-Richtlinien die industrielle Cyber-Sicherheit erhöhen?

Cyber-Sicherheit ist kein neues Thema, aber zunehmend ein zentraler Faktor für modernes Risikomanagement in der Industrie. Es geht jedoch nicht nur um das Management von Risiken, sondern auch um die persönliche Verantwortung.

Produktionsbedingte Bedrohungen wie Produktionsausfälle, Qualitätsmängel oder Lieferverzögerungen sind nicht mehr die einzigen Risiken. Die Verwaltung und der Schutz der Daten sind in jeder verantwortungsvollen und modernen Produktionsumgebung gleichermaßen wichtig. Dies muss durch gut organisierte Managementstandards und -rahmen unterstützt werden, die mit der sich ständig weiterentwickelnden Bedrohung durch Cyberbedrohungen umgehen können.

Dieser Beitrag diskutiert, wie die moderne Industrie durch Cyber-Bedrohungen bedroht ist, und umreißt neue EU-Richtlinien und Leitstandards, die Anreize für Unternehmen schaffen und ihnen helfen, sich anzupassen.

Von Tom Lind, Vizepräsident für Technologie und neue Lösungen, Industry Business Group, FINNLAND (Korrespondierender Autor) und Jonni Talsi, Chefingenieur, Cyber ​​Security, Energy Business Group, SCHWEIZ

Tom Lind

Tom Lind

jonni talsi

Jonni Talsi

Der aktuelle Stand der Cyberbedrohungen im industriellen Sektor

Bei der Berücksichtigung von Cyber-Sicherheit im industriellen Bereich sind die Herausforderungen traditionell mit persönlicher IT, Büroautomatisierung, Unternehmensmanagement und ERP (Enterprise Resource Planning) verbunden.

Der größte Teil der Vorfälle ist unbeabsichtigt, verursacht durch mangelnde Kenntnisse des Einzelnen. Dieser offensichtliche Fehler kann dadurch behoben werden, dass das Cyber-Bewusstsein Ihrer Mitarbeiter durch ein ausreichendes Schulungsprogramm erweitert wird, das die Grundlagen von E-Mail-Phishing, bösartigen Anhängen und elektronischem Betrug umfasst.

Die Vorteile einer verstärkten Digitalisierung oder Automatisierung in der Industrie sind bekannt. Weniger bekannt ist, wie Industrial Control Systems (ICS) zum Ziel von Cyber-Angriffen werden kann. Die jüngsten Cyberangriffe verwenden Malware, um kritische Infrastrukturen wie elektrische Umspannwerke zu stören oder zu kontrollieren.

Es ist auch nicht nur Infrastruktur; Es gibt auch Berichte, dass Hacker auch Sicherheitssysteme angreifen (1). Diese wachsende Anzahl von Vorfällen unterstreicht die Tatsache, dass ICS zunehmend für Cyberangriffe ins Visier genommen werden.

Der industrielle Sektor, insbesondere verfahrenstechnische Anlagen (Lebensmittel, Chemikalien, Forstprodukte usw.) sind anfällig für Cyber-Angriffe aus bekannten und unbekannten Quellen. Erfolgreiche Cyber-Attacken können zu Produktionsausfällen, ungeplanten Ausfallzeiten (Produktionsqualitätsmüll), Störungen von Cash-to-Order-Prozessen und der Lieferkette führen.

Die Auswirkungen beschränken sich nicht nur auf Produktionsprozesse. Gebäudetechnologien wie Klimaregelungssysteme, ferngesteuerte Zugangskontrollsysteme und Überwachungsnetze können überraschend anfällig sein.

Schäden an diesen Technologien können auch die Produktion indirekt beeinträchtigen oder sogar katastrophale Auswirkungen auf die lokale Umwelt oder Gemeinschaft haben. Zum Beispiel könnte ein Angriff auf Heizungs-, Lüftungs- und Klimaanlagen (HVAC) in einem Krankenhaus oder Labor direkte Auswirkungen auf die Gesundheit der Menschen haben.

Zu verstehen, wie die Digitalisierung das Wohlergehen der Menschen beeinflussen kann, muss entsprechend verstanden, verwaltet und geschützt werden. Die Reise beginnt mit der Bewertung kritischer Teile der Infrastruktur und Gebäudetechnik.

Bei der Beurteilung industrieller Prozesse ist es entscheidend:

- Beachten und verstehen Sie potenzielle Cyber-Zwischenfälle

Beurteile und identifiziere "meine Risiken und wie sie gehandhabt werden" -

Verstehen Sie die Zeit und den Aufwand, die erforderlich sind, um nach einer Cyberattacke in die Produktion zurückzukehren

- Bauen und erhöhen Sie Ihre Belastbarkeit

Zu oft gibt es keine klaren Pläne. Backups werden nicht getestet und selbst kleinere Störungen können leicht zu chaotischen Wiederherstellungssituationen führen. Dies zeigt, warum Cyber-Bedrohungen ein Standardelement Ihrer allgemeinen Risikomanagementstrategie im industriellen Sektor sein müssen.

Über bevorstehende Änderungen der Richtlinien zur Cybersicherheit - "Was ist für mich drin?"

In 1995 hat die Europäische Union die "Datenschutzrichtlinie" (Richtlinie 95 / 46 / EC) eingeführt, um die Verarbeitung personenbezogener Daten zu regeln, um die Datenschutz- und Menschenrechtsgesetze zu erfüllen. Ab Mai 25th 2018 werden neue Richtlinien in Kraft treten.

Die "Allgemeine Datenschutzverordnung" (DSGVO) wird frühere Richtlinien ersetzen. Das Ziel der Datenschutz-Grundverordnung besteht darin, die EU-Bürger vor Privatsphäre und Datenschutzverletzungen zu schützen, einschließlich schwerer Strafen für Verstöße. Innerhalb dieser neuen Richtlinie gibt es Maßnahmen, die den industriellen Betrieb schützen sollen (2). Diese beinhalten:

  • Die Behörden müssen innerhalb von 72hrs davon in Kenntnis gesetzt werden, dass sie sich einer Cyber-Sicherheitsverletzung bewusst werden. Dies gilt nicht nur für die Produktionseinheit, sondern auch für Kunden, Lieferanten und andere Stakeholder.
  • Jeder, dessen Daten von einem Datenverwalter verwaltet werden (zB registrierte Kundendaten), kann jederzeit kostenlos eine Bestätigung über die Datennutzung erhalten.
  • Datenschutzbeauftragte müssen personenbezogene Daten löschen, wenn sie ihren ursprünglichen Zweck verloren haben, nicht mehr relevant sind oder eine betroffene Person ihre Zustimmung widerruft.
  • Der Datenschutz muss zu Beginn der Entwurfssysteme und nicht als Zusatz eingefügt werden. Es muss höchsten Ansprüchen genügen und die Privatsphäre aller betroffenen Personen schützen
  • Einrichtung und Bestellung eines Datenschutzbeauftragten (Data Protection Officer, DPO) Was bei diesen neuen Maßnahmen offensichtlich ist, ist die erhöhte Transparenz bei der Datenverarbeitung, versuchten Cyberangriffen oder Sicherheitsverletzungen. Es wird kein Versteck geben, wenn Fehler auftreten, die den Ruf eines Unternehmens schädigen können. Daher reicht es nicht mehr aus, nur eine traditionelle IT-Manager-Rolle zu haben. Aufgrund dieser neuen Herausforderungen muss ein Chief Information Security Officer (CISO) ernannt werden.

Vertrauenswürdigkeit

Zunehmende Digitalisierung in der Produktion bedeutet eine stärkere Interaktion zwischen verschiedenen Systemen, die durch computergestützte Algorithmen gesteuert oder überwacht werden. Drahtlose Sensornetzwerke, die etwas in einer gegebenen Umgebung messen und diese an eine zentrale Einheit (z. B. Autopilot-Avioniksysteme) übertragen, sind typische Anwendungen in diesem Bereich.

Dies alles ist mit menschlicher Interaktion verbunden. Alle diese beweglichen Teile bilden die Cyber ​​Physical Systems (CPS). Das CPS muss in Risikomanagementpraktiken (3) integriert werden.

Vertrauenswürdigkeit ist ein integraler Bestandteil des CPS-Konzepts mit Aspekten der Sicherheit, Privatsphäre, Sicherheit, Zuverlässigkeit und Belastbarkeit. Vertrauenswürdigkeit muss eine Grundvoraussetzung für jeden modernen Industriestandort und eine Voraussetzung für eine nachhaltige, fortschrittliche Fertigung und das digitale Geschäftsumfeld sein.

Aus Sicht des Risikomanagements kann die Kombination von DSGVO und Vertrauenswürdigkeit folgendermaßen durchgeführt werden:

  • CPS kann physische, analoge und Cyber-Komponenten umfassen. Ingenieure müssen ermitteln, wie sie die Auswirkungen ihrer Entscheidungen im Hinblick auf mehrstufige Trade-Off-Metriken bewerten können
  • Sicherheits-, Betriebs- und Reputationsrisiko
  • Sicherheit, Fehlerraten (besteht die Möglichkeit, dass Daten gegen den Prozessor verwendet werden können?)
  • Zuverlässigkeit, Ausfallrate
  • Datenschutz, unerwünschte Offenlegungsraten
  • Belastbarkeit, Wiederherstellungsraten

Resilience-Planung wird durchgeführt, um einen Angriff zu mildern und bei der Wiederherstellung zu helfen. Datenwiederherstellung nach einer Sicherheitsverletzung sollte mit einem klar definierten Prozess geplant werden. Idealerweise sollte dies auch praktiziert werden. In vielen Fällen können klare Datensicherungsroutinen den Unterschied zwischen einer schnellen Wiederherstellung und einer totalen Katastrophe ausmachen. Der Schlüssel ist, wie schnell dies zur Minderung von Schäden (zB Produktionsausfälle) getan werden kann.

Theorien in die Praxis umsetzen

Der ISO-Standard 27001 ist ein allgemein bekannter und weit verbreiteter Standard für das Management der Informationssicherheit und definiert die damit verbundenen Risiken. Dieser Standard wird traditionell eher als IT-Management-Standard betrachtet, aber in Umgebungen mit zunehmender Digitalisierung kann man sich in modernen Produktionsanlagen nicht mehr darauf verlassen.

ISA99 / IEC62443 betont die industriellen Kontrollsysteme auf vier verschiedenen Ebenen (Allgemein, Richtlinien und Verfahren, System und Komponente). Darüber hinaus stellt der ISA99 / IEC62443 einen fortschrittlicheren Ansatz für die industrielle Cyber-Sicherheit dar und adressiert insbesondere die Cyber-Sicherheit, um die Systemperspektive zu steuern. (4)

Mit einem Dschungel von Standards, Richtlinien und Frameworks; Die Auswahl der richtigen für Ihr Unternehmen und Ihre industrielle Aufstellung ist entscheidend. Erst wenn Sie die relevantesten ausgewählt haben, können Sie die Grundlage für Ihre ICS-Cyber-Sicherheit schaffen. Genauso wichtig ist die Fähigkeit, Ihre Cyber-Sicherheit aufrechtzuerhalten und weiterzuentwickeln. Pöyry hat hierfür einen einfachen Ansatz entwickelt, wie im folgenden Flussdiagramm dargestellt:

Kontinuierlicher Verbesserungsansatz für industrielle Cyber-Sicherheit

Abbildung 1. Kontinuierlicher Verbesserungsansatz für verfahrenstechnische Anlagen (5).

Asset-Management und Cyber-Sicherheit

Verarbeitungs- oder Produktionsindustrien sind typischerweise sehr anlagenintensive Unternehmen. Aus der Sicht des Eigentümers besteht eine große Menge an Unsicherheit und Risiken, die im zukünftigen Produktionsportfolio und Geschäftsumfeld berücksichtigt werden.

Sie müssen wichtige externe Faktoren berücksichtigen, wie etwa die globale Wirtschaft, Veränderungen bei Angebot und Nachfrage, Preisgestaltung bei Rohstoffen, Mitarbeiterbeschränkungen, Politik usw. Das moderne Asset Management umfasst eine Reihe herausfordernder Fragen wie:

- Wie kann man Vermögenswerte erhalten und trotzdem alle gesetzten operativen, nachhaltigen und geschäftlichen Ziele erreichen?

- Wie hoch ist der jährliche Investitionsbedarf, um eines der Ziele zu erreichen?

- Sollten wir ersetzen oder umbauen?

- Wie können wir Asset-Risiken minimieren, die mit unklaren zukünftigen Marktszenarien verbunden sind?

Wie Sie sehen können, gibt es eine riesige Menge, die der Besitzer betrachten und verwalten muss. Es ist jedoch von entscheidender Bedeutung, dass Cyber-Sicherheit in gleicher Weise berücksichtigt wird. Daher muss jeder Asset-Management-Plan CPS enthalten. Zum Beispiel können Upgrades der Gerätegenerierung nicht nur eine Hardware-Modernisierung oder Modernisierung umfassen.

Es muss Cyber-Security-ICS (z. B. Datenschutz) enthalten. In der Regel konzentrieren sich Unternehmensmanager auf die Reduzierung von Kosten und Zeitersparnis. In der Zwischenzeit konzentrieren sich die Beschaffungspraktiken bei der Verarbeitung mehr auf direkte Vermögenskosten, wobei Wartungs- und Betriebskosten eher zweitrangig sind.

Allzu oft fällt die Cyber-Sicherheit auf die Tagesordnung. Wenn Sie jedoch in der Investitionsphase keine Cyber-Sicherheit einbauen, bedeutet dies, dass Ihre neue moderne Anlage vom ersten Tag an alt und ineffizient sein wird.

Zusammenfassung

Es reicht nicht mehr aus, nur Effizienz oder fortschrittliche Nachhaltigkeit zu liefern. Die Integration der Digitalisierung in den industriellen Betrieb setzt industrielle Prozesse dramatischen Risiken für unbekannte Cyber-Sicherheit aus. Herkömmliches Asset Management allein kann Ihre Sicherheit nicht gewährleisten.

All diese Herausforderungen können jedoch gemanagt werden, erfordern jedoch einen systematischen Ansatz, der kontinuierlich verbessert und aktualisiert wird. Ein geeigneter Rahmen für das eigene Unternehmen muss gewählt werden, aber eine gute Planung reicht nicht aus, wenn die Pläne nicht aktiviert sind. Das macht den Unterschied. Man könnte diese Tatsache folgendermaßen umschreiben: "Cyber-Sicherheit ist eine Reise, kein Ziel!"

Danksagung

Die Autoren danken der wertvollen Unterstützung von Herrn Petri Kankkunen für wertvolle Kommentare zum Inhalt dieses Artikels.

Referenzen

1 www.ics-cert.kaspersky.com/wp-inhalt/uploads/sites/6/2017/10/KL-ICS-CERT-H1-2017-report-en.pdf

2. www.euddpr.org/key-changes.html

3. www.nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.1500-201.pdf

4. www.en.wikipedia.org/wiki/Cyber_security_standards

5. www.poyry.com/cybersecurity

Prozessindustrie Informer

Weitere Nachrichten

Hinterlasse einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. erforderliche Felder sind markiert *

Diese Seite verwendet Akismet, um Spam zu reduzieren. Erfahren Sie, wie Ihre Kommentardaten verarbeitet werden.