Jak zlepšit kybernetickou bezpečnost

Vzestup Průmyslu 4.0 znamená pro výrobce a odvětví strojírenství větší rizika kybernetické bezpečnosti.

Revoluce v digitalizaci propojuje výrobu s obchodními procesy a zavádí na pracoviště umělou inteligenci (AI), cloud computing a rozšířenou realitu (AR). Díky datům shromažďovaným v reálném čase napříč podnikem a dodavatelským řetězcem mohou podniky lépe porozumět svému provozu a analyzovat a zlepšovat výkonnost a údržbu. Tato větší propojenost vystavuje výrobní a strojírenské podniky novým hrozbám v oblasti kybernetické bezpečnosti.

Výrobci a technici jsou zranitelnější vůči malwaru, útokům typu odepření služby, hackování zařízení a zneužití. To by mohlo vést ke ztrátě dat duševního vlastnictví, prostojům, sabotáži výrobků a ohrožení zdraví a bezpečnosti, pokud by došlo ke ztrátě kontroly nad zařízením.

Tyto hrozby se v souvislosti s Průmyslem 4.0 zvýšily. S novým důrazem na transparentní tok dat již výrobní provozy a zařízení nemohou pracovat izolovaně, odříznuty od hlavní sítě. Vše je propojeno. K síti má přístup více lidí a systémů, což otevírá více bran pro kybernetické zločince. Stále běžnější používání mobilních zařízení, přičemž jejich ochrana a zajištění bezpečnostních aktualizací může být obtížné.

Digitální transformace může probíhat po částech. Staré systémy existují vedle nových s různou úrovní zabezpečení a zranitelnosti. Pomalá instalace aktualizací nebo záplat v síti představuje pro podniky další problém a příležitost pro zločince.

Jak se mohou výrobci zlepšit

Výrobní a strojírenské odvětví musí přijmout holistický přístup a integrovat kybernetickou bezpečnost do všech aspektů podnikání v rámci kultury bezpečnosti. Mezi klíčové aspekty kybernetické bezpečnosti pro Průmysl 4.0 patří zajištění integrity systémů a informací, ochrana citlivých informací v průběhu životního cyklu dat, proces obnovy kritických systémů a minimalizace dopadů incidentů.

Výrobci musí nejprve vyhodnotit riziko. Chcete-li chránit chytrou síť před kybernetickými zločinci, nejprve identifikujte možná rizika a pravděpodobnost jejich výskytu. Mělo by být provedeno komplexní posouzení rizik s ohledem na organizaci, dodavatele a technologie. Posuďte, jak bezpečné jsou průmyslové řídicí systémy (ICS), jak a kde jsou uchovávána citlivá data, zranitelnost dodavatelského řetězce a kdo má do systému přístup. Pečlivě se podívejte, které systémy řídí fyzické procesy nebo jsou s nimi propojeny, a co se může stát, pokud dojde k jejich narušení. Po zjištění rizik začněte vyvíjet způsoby, jak rizika zmírnit nebo odstranit.

Zvýšení odolnosti systémů může pomoci snížit riziko kybernetických hrozeb. Patří sem instalace firewallu, procesy instalace záplat, instalace detekce narušení v reálném čase nebo zpravodajství o hrozbách, šifrování, správa přístupu a identit (fyzických i digitálních), pravidelné zálohování a segmentace systémů.

Vytvoření plánu obnovy po havárii nebo plánu kontinuity provozu může pomoci zvýšit odolnost organizace tím, že zajistí její připravenost na řešení incidentu a podrobně popíše kroky potřebné k obnovení normálního provozu.

Pracovníci a technologie by měli být neustále ostražití. Monitorování sítí, personálu a prostředí by mělo probíhat nepřetržitě, aby bylo možné co nejrychleji odhalit hrozby. Pro podporu ostražitosti je třeba pracovníky vyškolit. Školení o kybernetické bezpečnosti by se měla provádět pravidelně, zejména pokud se zavádějí nové technologie nebo se objevují nové hrozby. Zajistěte, aby se dodavatelé nebo jiné organizace připojené k systémům zavázali k pravidelným auditům a instalaci softwarových záplat, jakmile budou k dispozici.

Rozvíjejte kulturu bezpečnosti

Pro přístup zaměřený na bezpečnost, který integruje zabezpečení informací v celé organizaci, zaveďte komplexní systém řízení bezpečnosti informací, například ISO 27001, který zahrnuje procesy pro fyzická, digitální a právní rizika.

Bylo vyvinuto 114 kontrolních mechanismů normy ISO 27001 s cílem pomoci zavést osvědčené postupy, pokud jde o integraci bezpečnosti do chování personálu, vedení a digitálních a fyzických aktiv. Tyto procesy zahrnují řízení přístupu, bezpečnost provozu, pořízení a údržbu systému, vztahy s dodavateli a řízení incidentů.

Pravidla vycházející z normy lze rozšířit o další zásady osvědčené praxe a přizpůsobit ji tak potřebám organizace. Norma ISO 27017 poskytuje další kontrolní mechanismy, které se týkají zabezpečení informací pro cloudové služby. Norma ISO 27018 řeší ochranu osobních údajů uchovávaných v cloudu. Bez ohledu na to, zda se použije systém řízení, či nikoli, je i nadále důležité vytvořit integrovanou obrannou strategii, aby bylo zabezpečení co nejdůslednější.

Claire Price je manažerkou pro marketingový obsah ve společnosti QMS International. Tento článek byl původně publikován na webové stránce Control Engineering Europe. Upravil Chris Vavra, ředitel pro webový obsah časopisu Control Engineering, CFE Media and Technology, Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript..

Control Engineering Česko

Control Engineering Česko je přední časopis o průmyslové automatizaci. Je vydáván v licenci amerického Control Engineering, které poskytuje novinky z této oblasti více než 60 let.

www.controlengcesko.com