IT i połączenie w sieć różnorodnych systemów – Internet Rzeczy – to jeden z centralnych tematów naszych czasów – nie tylko z punktu widzenia dewelopera, ale także w odniesieniu do bezpieczeństwa IT lub cyberbezpieczeństwa zakładów produkcyjnych. Jednak oprócz wielu pozytywnych skutków nowych osiągnięć w dziedzinie cyfryzacji, coraz wyraźniejsze stają się również negatywne zjawiska: ataki hakerów na systemy sieciowe powtarzają się coraz częściej, tak że prawodawca włączył obecnie bezpieczeństwo cybernetyczne do niektórych przepisów dotyczących operatorów i producentów.
Przegląd podstaw prawnych analizy
Jako podstawę prawną do analizy cyberbezpieczeństwa obiektu produkcyjnego, maszyny lub zakładu produkcyjnego można sięgnąć do różnych wytycznych i zaleceń. Poniżej przedstawiamy te podejścia, które często wykorzystujemy w naszej pracy.
Dla obszarów operacyjnych, które podlegają rozporządzeniu o niebezpiecznych zdarzeniach, § 3 (Ogólne obowiązki operatora) 12 BImSchV wymaga również uwzględnienia bezpieczeństwa IT. Nacisk kładziony jest tu na sterowanie procesami oraz oprzyrządowanie i urządzenia kontrolne. Za realizację odpowiedzialne są administracje ochrony środowiska poszczególnych krajów związkowych. W przypadku NRW LANUVw dokumencie informacyjnym określił wymagania dotyczące prezentacji bezpieczeństwa IT w raporcie bezpieczeństwa oraz w dokumentach licencyjnych dotyczących bezpieczeństwa instalacji.
Można założyć, że władze w NRW będą odtąd stosować dokument orientacyjny jako wzór przy ocenie raportów bezpieczeństwa i dokumentów licencyjnych. W dokumencie instruktażowym wyraźnie wymieniono następujące tematy, które muszą zostać przedstawione w raporcie bezpieczeństwa:
- Architektura sieci i modele stref
- Wykazy aktywów
- Analiza ryzyka informatycznego / ocena ryzyka informatycznego
Ustawa o bezpieczeństwie IT, za którą odpowiedzialne jest Federalne Ministerstwo Spraw Wewnętrznych, koncentruje się przede wszystkim na ochronie bezpieczeństwa dostaw i tzw. infrastruktury krytycznej. Prawo dotyczy tylko „obiektów”, które obsługują co najmniej 500 tys. osób. BSI-KritisV jest holistycznym podejściem dla przedsiębiorstw i dlatego obejmuje wszystkie działy firmy.
Komisja ds. bezpieczeństwa instalacji (KAS) jest niezależnym organem doradzającym rządowi federalnemu lub właściwemu ministerstwu federalnemu w kwestiach związanych z bezpieczeństwem instalacji w rozumieniu federalnej ustawy o kontroli emisji (BImSchG). Wytyczna KAS-51 „Środki zabezpieczające przed manipulacją przez osoby nieupoważnione” określa między innymi podstawowe środki. Obejmuje to na przykład określenie zakresu odpowiedzialności, a także zarządzanie dostępem i monitorowanie dostępu. Wymagana przez wytyczne KAS-51 analiza bezpieczeństwa składa się z analizy zagrożeń, analizy ryzyka oraz oceny ryzyka informatycznego. Te ostatnie mogą być realizowane m.in. zgodnie z normami IEC 62443, DIN ISO/IEC 27001 czy NA 163. Załącznik 2 do przewodnika KAS-51 dotyczy ochrony przed atakami cyberfizycznymi i obejmuje takie tematy jak bezpieczeństwo IT jako zadanie zarządzania oraz reagowanie na nowe podatności i zagrożenia. Wszystkie tematy wymienione w Załączniku 2 są realizowane poprzez pytania kontrolne. Przegląd dokonywany przez organ koncentruje się ostatecznie na analizie bezpieczeństwa i jakości wdrożenia. Jeżeli zostanie stwierdzona wystarczająca ochrona, nie jest wymagana oddzielna kontrola bezpieczeństwa zgodnie z § 10a rozporządzenia w sprawie kontroli bezpieczeństwa (Sicherheitsüberprüfungsfeststellungsverordnung, SÜFV). Raport bezpieczeństwa służy jako dowód pewności prawnej dla użytkownika instalacji.
W wyniku konkretyzacji norm IEC 61508 i IEC 61511, VDI/VDE 2180, wytyczne dotyczące bezpieczeństwa funkcjonalnego w przemyśle procesowym, zostały odnowione w kwietniu 2019 roku. Cyberbezpieczeństwo stanowi nowy punkt zainteresowania: „W zarządzaniu bezpieczeństwem funkcjonalnym aspekty bezpieczeństwa informatycznego muszą być uwzględnione w planowaniu, zamówieniach, walidacji, eksploatacji, modyfikacjach i wycofaniu z eksploatacji.” Nowa wersja mówi dalej: „Dzięki zastosowaniu technologii informatycznych i coraz większemu połączeniu systemów w sieć, systemy automatyki, w tym powiązane z nimi urządzenia programujące i konfigurujące, mogą stać się celem cyberzagrożeń. […] należy przeprowadzić ocenę ryzyka informatycznego w celu oszacowania potencjału ryzyka i określenia odpowiednich środków zaradczych.” (Arkusz 1, str. 38 i nast.) Ocena bezpieczeństwa IT dla urządzeń zabezpieczających PLT może być przeprowadzona niezależnie lub razem z ogólną oceną ryzyka IT. Dotyczy to sprzętu, oprogramowania, danych, połączeń, procesów i ludzi. VDI/VDE 2180 stwierdza również na kolejnych stronach, że NA 163 zawiera metody przeprowadzania analizy ryzyka IT, jak również katalog środków, które wraz z VDI/VDE 2180 mogą prowadzić do stworzenia odpowiedniej koncepcji bezpieczeństwa IT.
Ponieważ wyżej wymienione podejścia do analizy ryzyka IT są często bardzo czasochłonne i wymagają zaangażowania personelu, arkusz 163 NAMUR ma na celu pomóc w zapewnieniu zgodności z przepisami prawa i regulacjami, nawet jeśli analiza bezpieczeństwa jest przeprowadzana przez osoby niebędące specjalistami IT (np. inżyniera PCT). Wymagany czas powinien być ograniczony przez arkusz do maksymalnie jednego dnia na system. W NA 163 zalecane jest napisanie oceny ryzyka IT zgodnie z IEC 62443. Podstawowe parametry są ogólnie obowiązujące: SIL 1 do 3, niski wskaźnik wymagań i strefowa struktura sieci. Ocena ryzyka IT dla instalacji bezpieczeństwa PLT zgodnie z NA 163 jest ostatecznie przeprowadzana w pięciu krokach:
- Identyfikacja rozpatrywanego systemu
- Ocena ryzyka informatycznego wysokiego poziomu
- Podział rozpatrywanego systemu na strefy i połączenia
- Szczegółowa ocena ryzyka informatycznego
- Dokumentacja
Skorzystaj z naszej bezpłatnej konsultacji wstępnej. Umów się na spotkanie już teraz:
[borlabs-cookie id=”recaptcha” type=”content-blocker”]…zablokuj to…[/borlabs-cookie]
Usługi
Dzięki wieloletniemu doświadczeniu weyer gruppe w zakresie inżynierii procesowej i bezpieczeństwa funkcjonalnego, jak również wszechstronnej wiedzy branżowej mgr inż. Thomasa Käfera (zaprzysiężonego eksperta ds. systemów przetwarzania informacji i aplikacji), możemy zaoferować Państwu interdyscyplinarny zespół jako wsparcie w zakresie cyberbezpieczeństwa zakładów produkcyjnych dla obszarów operacyjnych zakładów istotnych z punktu widzenia incydentów.
- Rejestrowanie i podział obszarów roboczych / obiektów na łatwe do zarządzania jednostki (sectioning) w celu analizy niezbędnych działań
- Ocena ryzyka IT(np. zgodnie z NA 163 / IEC 62443 / DIN ISO 27001)
- Określenie środków i ustalenie ich priorytetów
- Wsparcie przy wdrażaniuśrodków
- Włączenie do ogólnej koncepcji bezpieczeństwa obiektu: powiązanie z klasycznym bezpieczeństwem procesowym lub funkcjonalnym z wymaganiami i środkami wynikającymi z oceny IT
- Porady dla producentów sprzętu w zakresie cyberbezpieczeństwa
- Test penetracyjny, w skrócie pentest(ing): Przeprowadzamy kompleksową kontrolę bezpieczeństwa wszystkich komponentów systemu i aplikacji sieciowych (komputerów, maszyn, urządzeń produkcyjnych, itp.) przy użyciu metod, które napastnik lub haker wykorzystałby do penetracji systemu. Więcej informacji można znaleźć tutaj.
- Digital forensics lub IT forensics: Według BSI, IT forensics to „ściśle metodyczna analiza danych na nośnikach danych i w sieciach komputerowych w celu [gerichtlichen] wyjaśnienia incydentów, w tym możliwości strategicznego przygotowania, zwłaszcza z perspektywy operatora systemu informatycznego”. Ponieważ dane i stany systemu nie mogą być bezpośrednio przeglądane w postępowaniu sądowym, sąd zazwyczaj opiera się na opinii biegłego lub raporcie biegłego sądowego. W tym zakresie ściśle współpracujemy z Thomas Käfer.