← Terug naar IT, Management Systems & Software categorie

Kunnen nieuwe EU-richtlijnen de industriële cyberbeveiliging vergroten?

Cyberbeveiliging is geen nieuw onderwerp, maar het wordt in toenemende mate een centrale factor in modern risicobeheer in de industriële sector. Toch gaat het niet alleen om risicobeheer, maar ook om persoonlijke verantwoordelijkheid.

Productiegebonden bedreigingen, zoals productieverliezen, verminderde kwaliteit of vertragingen bij levering, zijn niet langer het enige risico. Beheer en privacy van gegevens is even belangrijk in elke verantwoordelijke en moderne productieomgeving. Dit moet worden ondersteund door goed georganiseerde managementnormen en -kaders die de steeds evoluerende dreiging van cyberdreigingen aankunnen.

Dit artikel bespreekt hoe de moderne industrie wordt bedreigd door cyberdreigingen en schetst nieuwe EU-richtlijnen en leidende normen die bedrijven zullen stimuleren om bedrijven te helpen zich aan te passen.

Door Tom Lind, Vice President, Technologie en Nieuwe Oplossingen, Industry Business Group, FINLAND (Corresponderende auteur) en Jonni Talsi, Hoofdingenieur, Cyber ​​Security, Energy Business Group, ZWITSERLAND

Tom Lind

Tom Lind

jonni talsi

Jonni Talsi

De huidige stand van cyberbedreigingen in de industriële sector

Bij het overwegen van cyberbeveiliging in de industriële sector, worden de uitdagingen traditioneel geassocieerd met persoonlijke IT, kantoorautomatisering, bedrijfsbeheer en ERP (Enterprise Resource Planning).

Het grootste deel van de incidenten is onbedoeld, veroorzaakt door het gebrek aan kennis van een persoon. Deze voor de hand liggende fout kan worden aangepast door het cyberbewustzijn van uw personeel te vergroten met een voldoende trainingsprogramma, dat de basis omvat van e-mailphishing, kwaadwillende bijlagen en e-fraude.

De voordelen van toegenomen digitalisering of automatisering in de industriële sector zijn bekend. Minder bekend is hoe Industrial Control Systems (ICS) een doelwit kan worden voor cyberaanvallen. Recente cyberaanvallen gebruiken malwares om kritieke infrastructuur zoals elektrische onderstations te verstoren of te beheersen.

Het is ook niet alleen infrastructuur; er zijn ook rapporten dat hackers ook beveiligingssystemen aanvallen (1). Deze groeiende aantallen incidenten onderstrepen het feit dat ICS steeds meer het doelwit wordt voor cyberaanvallen.

De industriële sector, met name procesinstallaties (voedsel, chemicaliën, bosproducten, enz.) Zijn kwetsbaar voor cyberaanvallen van bekende en onbekende bronnen. Succesvolle cyberaanvallen kunnen leiden tot productieverlies, ongeplande downtime (afval van de productiekwaliteit), storingen in de processen van cash-to-order en de supply chain.

De impact is niet alleen beperkt tot productieprocessen. Gebouwentechnologie, zoals klimaatbeheersingssystemen, op afstand bestuurde toegangscontrolesystemen en surveillancenetwerken kunnen verrassend kwetsbaar zijn.

Schade aan deze technologieën kan indirect de productie schaden of zelfs catastrofale gevolgen hebben voor de lokale omgeving of gemeenschap. Een aanval op verwarmings-, ventilatie- en airconditioningsystemen (HVAC) in een ziekenhuis of laboratorium kan bijvoorbeeld rechtstreeks van invloed zijn op de gezondheid van mensen.

Inzicht in hoe digitalisering van invloed kan zijn op het welzijn van mensen, moet dienovereenkomstig worden begrepen, beheerd en beschermd. De reis begint met het beoordelen van kritieke onderdelen van infrastructuur en bouwtechnologie.

Bij het beoordelen van industriële processen is het van vitaal belang om:

- Wees bewust en begrijp potentiële cyberincidenten-

Beoordeel en identificeer "mijn risico's en hoe ze worden behandeld" -

Begrijp de tijd en moeite die vereist is om na een cyberaanval terug te gaan naar productie

- Bouw en vergroot je veerkracht

Te vaak zijn er geen duidelijke plannen. Back-ups worden niet getest en zelfs kleinere storingen kunnen gemakkelijk tot chaotische herstelsituaties leiden. Dit benadrukt waarom cyberdreigingen een standaardelement moeten zijn van uw algemene risicobeheerstrategie in de industriële sector.

Over aankomende wijzigingen in richtlijnen voor cyberbeveiliging - "wat levert het mij op?"

In 1995 introduceerde de Europese Unie de "Richtlijn gegevensbescherming" (Richtlijn 95 / 46 / EG) om de verwerking van persoonsgegevens te regelen om te voldoen aan privacy- en mensenrechtenwetten. Vanaf mei 25th 2018 zullen echter nieuwe richtlijnen van kracht worden.

De "Algemene Verordening Gegevensbescherming" (GDPR) vervangt eerdere richtlijnen. Het doel van GDPR is EU-burgers te beschermen tegen privacy- en datalekken, met inbegrip van zware straffen voor overtredingen. Binnen deze nieuwe richtlijn zijn er maatregelen die de industriële activiteiten beschermen (2). Deze omvatten:

  • De autoriteiten moeten binnen 72hrs op de hoogte worden gesteld van de eerste het zich bewust worden van een cyberveiligheidsinbreuk. Dit geldt niet alleen voor de productie-eenheid, maar ook voor haar klanten, leveranciers en andere belanghebbenden.
  • Iedereen wiens gegevens worden beheerd door een gegevensbeheerder (bijvoorbeeld geregistreerde klantgegevens), kan op elk gewenst moment kosteloos een bevestiging ontvangen met betrekking tot het gebruik van de gegevens.
  • Gegevenscontroleurs moeten persoonsgegevens wissen zodra ze hun oorspronkelijke doel hebben verloren, niet langer relevant zijn of een betrokkene de toestemming intrekt.
  • Gegevensbescherming moet worden opgenomen aan het begin van het ontwerpen van systemen, in plaats van een toevoeging. Het moet van de hoogste standaard zijn en de privacy van alle betrokkenen beschermen
  • Oprichting en benoeming van een functionaris voor gegevensbescherming (DPO) Het is duidelijk dat met deze nieuwe maatregelen de mate van verhoogde transparantie voor gegevensverwerking, poging tot cyberaanvallen of inbreuken wordt verhoogd. Er zal geen schuilplaats zijn als er fouten optreden die schadelijk kunnen zijn voor de reputatie van een bedrijf. Daarom volstaat het niet langer om gewoon een traditionele IT-managerrol te hebben. Deze nieuwe uitdagingen maken het noodzakelijk om een ​​Chief Information Security Officer (CISO) aan te stellen.

Betrouwbaarheid

Verhoogde digitalisering in productie betekent dat er meer interactie is tussen verschillende systemen die worden bestuurd of gemonitord via computer-gebaseerde algoritmen. Draadloze sensornetwerken, die iets meten in een bepaalde omgeving en dit naar een centrale verzenden (bijv. Automatische pilootelektronica), zijn typische toepassingen op dit gebied.

Dit alles wordt gecombineerd met menselijke interactie. Al deze bewegende delen creëren de cyber-fysieke systemen (CPS). De CPS moet worden opgenomen in de risicobeheerpraktijken (3).

Betrouwbaarheid is een integraal onderdeel van het CPS-concept, met aspecten als veiligheid, privacy, veiligheid, betrouwbaarheid en veerkracht. Betrouwbaarheid moet een basisvoorwaarde zijn voor elke moderne industriële site en een voorwaarde voor duurzame, geavanceerde productie en de digitale zakelijke omgeving.

Vanuit het oogpunt van risicobeheer kan het combineren van GDPR en betrouwbaarheid worden uitgevoerd door het volgende te doen:

  • CPS kan fysieke, analoge en cybercomponenten bevatten. Ingenieurs moeten bepalen hoe ze de impact van hun keuzes kunnen evalueren in termen van uitwisselingen op meerdere niveaus
  • Beveiliging, operationeel risico en reputatierisico
  • Veiligheid, foutenpercentages (bestaat de mogelijkheid dat gegevens tegen de processor kunnen worden gebruikt?)
  • Betrouwbaarheid, mislukkingspercentages
  • Privacy, ongewenste openbaarmakingspercentages
  • Veerkracht, herstelpercentages

Veerkrachtplanning wordt gedaan om een ​​aanval tegen te gaan en te helpen bij herstel. Gegevensherstel na een beveiligingsinbreuk moet worden gepland met een duidelijk omschreven proces. Idealiter zou dit ook moeten worden geoefend. In veel gevallen kunnen duidelijke back-up routines voor gegevens het verschil zijn tussen een snel herstel en een totale catastrofe. De sleutel is hoe snel dit kan worden gedaan om schade te beperken (bijv. Productieverliezen).

Theorieën omzetten in de praktijk

ISO-standaard 27001 is een algemeen bekende en veel gebruikte standaard voor het beheer van informatiebeveiliging en definieert de bijbehorende risico's. Deze standaard wordt traditioneel beschouwd als een standaard voor IT-beheer, maar in omgevingen met toenemende digitalisering kan er niet meer op worden vertrouwd in moderne productiefaciliteiten.

ISA99 / IEC62443 benadrukt de industriële controlesystemen op vier verschillende niveaus (Algemeen, Beleid en Procedures, Systeem en Component). Verder vertegenwoordigt de ISA99 / IEC62443 een geavanceerdere benadering van industriële cyberveiligheid, met name gericht op cybersecurity naar besturingssystemen. (4)

Met een oerwoud van normen, richtlijnen en kaders; het selecteren van de juiste voor uw bedrijf en industriële opstelling is van cruciaal belang. Pas nadat u de meest relevante hebt geselecteerd, kunt u de basis leggen voor uw ICS-cyberbeveiliging. Even belangrijk is het vermogen om uw cyberbeveiliging te behouden en te evolueren. Pöyry heeft hiervoor een eenvoudige aanpak ontwikkeld, zoals geïllustreerd in het stroomschema hieronder:

Continue verbetering van de aanpak van industriële cyberbeveiliging

Figuur 1. Continue verbeteringsaanpak van industriële procesinstallaties (5).

Vermogensbeheer en cyberbeveiliging

Verwerkings- of productiesectoren zijn doorgaans zeer activabele bedrijven. Vanuit het perspectief van de eigenaar bestaat er een enorme hoeveelheid onzekerheid en risico's die worden overwogen in de toekomstige productieportfolio en bedrijfsomgeving.

Ze moeten rekening houden met belangrijke externe factoren zoals de wereldeconomie, veranderingen in vraag / aanbod, grondstofprijzen, beperkingen voor werknemers, politiek enz. Modern vermogensbeheer omvat een aantal uitdagende vragen, zoals:

- Hoe activa te behouden en nog steeds aan alle gestelde operationele, duurzaamheids- en bedrijfsdoelen te voldoen?

- Wat is de jaarlijkse investeringsvraag die nodig is om aan een van de doelstellingen te voldoen?

- Moeten we dit vervangen of opnieuw opbouwen?

- Hoe kunnen we eventuele met activa verband houdende risico's in verband met onduidelijke toekomstige marktscenario's verkleinen?

Zoals je kunt zien, is er een enorm bedrag dat de eigenaar moet overwegen en beheren. Maar het is van vitaal belang dat cybersecurity evenveel aandacht krijgt. Daarom moet elk vermogensbeheerplan CPS bevatten. Zo kunnen upgrades voor het genereren van apparatuur niet alleen hardware-opfrissing of modernisering omvatten.

Het moet cyber security ICS bevatten (bijv. Dataprivacy). Typisch zakelijke managers hebben de neiging zich te concentreren op het verminderen van kosten en tijdwinst. Ondertussen zijn inkooppraktijken bij de verwerking meer gericht op directe activakosten, waarbij onderhouds- en operationele kosten secundair zijn.

Te vaak valt cyberbeveiliging buiten de agenda. Het niet inbouwen van cyberbeveiliging tijdens de investeringsfase betekent echter dat uw nieuwe moderne fabriek vanaf dag één oud en inefficiënt zal zijn.

Samenvatting

Het is niet langer voldoende om alleen efficiëntie of geavanceerde duurzaamheid te leveren. De integratie van digitalisering in industriële operaties brengt op dramatische wijze industriële processen bloot aan onbekende cyberveiligheidsrisico's. Traditioneel asset management alleen kan uw veiligheid niet garanderen.

Al deze uitdagingen kunnen echter worden beheerd, maar het vereist een systematische aanpak, terwijl het voortdurend verbetert en bijwerkt. Er moet een geschikt raamwerk voor ieders eigen bedrijf worden gekozen, maar goed gepland zijn is niet voldoende als de plannen niet worden ingeschakeld. Dat maakt het verschil. Je zou dit feit op de volgende manier kunnen herformuleren: "Cybersecurity is een reis, geen bestemming!"

Dankwoord

De auteurs willen de waardevolle steun van de heer Petri Kankkunen danken voor waardevolle opmerkingen over de inhoud van dit artikel.

Referenties

1 www.ics-cert.kaspersky.com/wp- content / uploads / sites / 6 / 2017 / 10 / KL-ICS- CERT-H1- 2017-report-nl.pdf

2. www.eugdpr.org/key-changes.html

3. www.nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.1500-201.pdf

4. www.en.wikipedia.org/wiki/Cyber_security_standards

5. www.poyry.com/cybersecurity

Procesindustrie Informer

Gerelateerd nieuws

Laat een reactie achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *

Deze site gebruikt Akismet om spam te verminderen. Ontdek hoe uw reactiegegevens worden verwerkt.