• Zadzwoń do nas: +48 (0) 784 58 05 56 | Wyślij nam e-mail: info@weyer-gruppe.com

Cyberbezpieczeństwo zakładów produkcyjnych

Operatorzy i inwestorzy

IT i połączenie w sieć różnorodnych systemów – Internet Rzeczy – to jeden z centralnych tematów naszych czasów – nie tylko z punktu widzenia dewelopera, ale także w odniesieniu do bezpieczeństwa IT lub cyberbezpieczeństwa zakładów produkcyjnych. Jednak oprócz wielu pozytywnych skutków nowych osiągnięć w dziedzinie cyfryzacji, coraz wyraźniejsze stają się również negatywne zjawiska: ataki hakerów na systemy sieciowe powtarzają się coraz częściej, tak że prawodawca włączył obecnie bezpieczeństwo cybernetyczne do niektórych przepisów dotyczących operatorów i producentów.

Przegląd podstaw prawnych analizy

Jako podstawę prawną do analizy cyberbezpieczeństwa obiektu produkcyjnego, maszyny lub zakładu produkcyjnego można sięgnąć do różnych wytycznych i zaleceń. Poniżej przedstawiamy te podejścia, które często wykorzystujemy w naszej pracy.

Dla obszarów operacyjnych, które podlegają rozporządzeniu o niebezpiecznych zdarzeniach, § 3 (Ogólne obowiązki operatora) 12 BImSchV wymaga również uwzględnienia bezpieczeństwa IT. Nacisk kładziony jest tu na sterowanie procesami oraz oprzyrządowanie i urządzenia kontrolne. Za realizację odpowiedzialne są administracje ochrony środowiska poszczególnych krajów związkowych. W przypadku NRW LANUVw dokumencie informacyjnym określił wymagania dotyczące prezentacji bezpieczeństwa IT w raporcie bezpieczeństwa oraz w dokumentach licencyjnych dotyczących bezpieczeństwa instalacji.

Można założyć, że władze w NRW będą odtąd stosować dokument orientacyjny jako wzór przy ocenie raportów bezpieczeństwa i dokumentów licencyjnych. W dokumencie instruktażowym wyraźnie wymieniono następujące tematy, które muszą zostać przedstawione w raporcie bezpieczeństwa:

  • Architektura sieci i modele stref
  • Wykazy aktywów
  • Analiza ryzyka informatycznego / ocena ryzyka informatycznego

Ustawa o bezpieczeństwie IT, za którą odpowiedzialne jest Federalne Ministerstwo Spraw Wewnętrznych, koncentruje się przede wszystkim na ochronie bezpieczeństwa dostaw i tzw. infrastruktury krytycznej. Prawo dotyczy tylko „obiektów”, które obsługują co najmniej 500 tys. osób. BSI-KritisV jest holistycznym podejściem dla przedsiębiorstw i dlatego obejmuje wszystkie działy firmy.

Komisja ds. bezpieczeństwa instalacji (KAS) jest niezależnym organem doradzającym rządowi federalnemu lub właściwemu ministerstwu federalnemu w kwestiach związanych z bezpieczeństwem instalacji w rozumieniu federalnej ustawy o kontroli emisji (BImSchG). Wytyczna KAS-51 „Środki zabezpieczające przed manipulacją przez osoby nieupoważnione” określa między innymi podstawowe środki. Obejmuje to na przykład określenie zakresu odpowiedzialności, a także zarządzanie dostępem i monitorowanie dostępu. Wymagana przez wytyczne KAS-51 analiza bezpieczeństwa składa się z analizy zagrożeń, analizy ryzyka oraz oceny ryzyka informatycznego. Te ostatnie mogą być realizowane m.in. zgodnie z normami IEC 62443, DIN ISO/IEC 27001 czy NA 163. Załącznik 2 do przewodnika KAS-51 dotyczy ochrony przed atakami cyberfizycznymi i obejmuje takie tematy jak bezpieczeństwo IT jako zadanie zarządzania oraz reagowanie na nowe podatności i zagrożenia. Wszystkie tematy wymienione w Załączniku 2 są realizowane poprzez pytania kontrolne. Przegląd dokonywany przez organ koncentruje się ostatecznie na analizie bezpieczeństwa i jakości wdrożenia. Jeżeli zostanie stwierdzona wystarczająca ochrona, nie jest wymagana oddzielna kontrola bezpieczeństwa zgodnie z § 10a rozporządzenia w sprawie kontroli bezpieczeństwa (Sicherheitsüberprüfungsfeststellungsverordnung, SÜFV). Raport bezpieczeństwa służy jako dowód pewności prawnej dla użytkownika instalacji.

W wyniku konkretyzacji norm IEC 61508 i IEC 61511, VDI/VDE 2180, wytyczne dotyczące bezpieczeństwa funkcjonalnego w przemyśle procesowym, zostały odnowione w kwietniu 2019 roku. Cyberbezpieczeństwo stanowi nowy punkt zainteresowania: „W zarządzaniu bezpieczeństwem funkcjonalnym aspekty bezpieczeństwa informatycznego muszą być uwzględnione w planowaniu, zamówieniach, walidacji, eksploatacji, modyfikacjach i wycofaniu z eksploatacji.” Nowa wersja mówi dalej: „Dzięki zastosowaniu technologii informatycznych i coraz większemu połączeniu systemów w sieć, systemy automatyki, w tym powiązane z nimi urządzenia programujące i konfigurujące, mogą stać się celem cyberzagrożeń. […] należy przeprowadzić ocenę ryzyka informatycznego w celu oszacowania potencjału ryzyka i określenia odpowiednich środków zaradczych.” (Arkusz 1, str. 38 i nast.) Ocena bezpieczeństwa IT dla urządzeń zabezpieczających PLT może być przeprowadzona niezależnie lub razem z ogólną oceną ryzyka IT. Dotyczy to sprzętu, oprogramowania, danych, połączeń, procesów i ludzi. VDI/VDE 2180 stwierdza również na kolejnych stronach, że NA 163 zawiera metody przeprowadzania analizy ryzyka IT, jak również katalog środków, które wraz z VDI/VDE 2180 mogą prowadzić do stworzenia odpowiedniej koncepcji bezpieczeństwa IT.

Ponieważ wyżej wymienione podejścia do analizy ryzyka IT są często bardzo czasochłonne i wymagają zaangażowania personelu, arkusz 163 NAMUR ma na celu pomóc w zapewnieniu zgodności z przepisami prawa i regulacjami, nawet jeśli analiza bezpieczeństwa jest przeprowadzana przez osoby niebędące specjalistami IT (np. inżyniera PCT). Wymagany czas powinien być ograniczony przez arkusz do maksymalnie jednego dnia na system. W NA 163 zalecane jest napisanie oceny ryzyka IT zgodnie z IEC 62443. Podstawowe parametry są ogólnie obowiązujące: SIL 1 do 3, niski wskaźnik wymagań i strefowa struktura sieci. Ocena ryzyka IT dla instalacji bezpieczeństwa PLT zgodnie z NA 163 jest ostatecznie przeprowadzana w pięciu krokach:

  1. Identyfikacja rozpatrywanego systemu
  2. Ocena ryzyka informatycznego wysokiego poziomu
  3. Podział rozpatrywanego systemu na strefy i połączenia
  4. Szczegółowa ocena ryzyka informatycznego
  5. Dokumentacja
Skorzystaj z naszej bezpłatnej konsultacji wstępnej. Umów się na spotkanie już teraz:






    Ich habe die Datenschutzerklärung gelesen und erkläre mich damit einverstanden.

    Ich möchte Informationen zu kommenden Veranstaltungen und Neuigkeiten in der Branche erhalten

    Usługi

    Dzięki wieloletniemu doświadczeniu weyer gruppe w zakresie inżynierii procesowej i bezpieczeństwa funkcjonalnego, jak również wszechstronnej wiedzy branżowej mgr inż. Thomasa Käfera (zaprzysiężonego eksperta ds. systemów przetwarzania informacji i aplikacji), możemy zaoferować Państwu interdyscyplinarny zespół jako wsparcie w zakresie cyberbezpieczeństwa zakładów produkcyjnych dla obszarów operacyjnych zakładów istotnych z punktu widzenia incydentów.

    • Rejestrowanie i podział obszarów roboczych / obiektów na łatwe do zarządzania jednostki (sectioning) w celu analizy niezbędnych działań
    • Ocena ryzyka IT(np. zgodnie z NA 163 / IEC 62443 / DIN ISO 27001)
    • Określenie środków i ustalenie ich priorytetów
    • Wsparcie przy wdrażaniuśrodków
    • Włączenie do ogólnej koncepcji bezpieczeństwa obiektu: powiązanie z klasycznym bezpieczeństwem procesowym lub funkcjonalnym z wymaganiami i środkami wynikającymi z oceny IT
    • Porady dla producentów sprzętu w zakresie cyberbezpieczeństwa
    • Test penetracyjny, w skrócie pentest(ing): Przeprowadzamy kompleksową kontrolę bezpieczeństwa wszystkich komponentów systemu i aplikacji sieciowych (komputerów, maszyn, urządzeń produkcyjnych, itp.) przy użyciu metod, które napastnik lub haker wykorzystałby do penetracji systemu. Więcej informacji można znaleźć tutaj.
    • Digital forensics lub IT forensics: Według BSI, IT forensics to „ściśle metodyczna analiza danych na nośnikach danych i w sieciach komputerowych w celu [gerichtlichen] wyjaśnienia incydentów, w tym możliwości strategicznego przygotowania, zwłaszcza z perspektywy operatora systemu informatycznego”. Ponieważ dane i stany systemu nie mogą być bezpośrednio przeglądane w postępowaniu sądowym, sąd zazwyczaj opiera się na opinii biegłego lub raporcie biegłego sądowego. W tym zakresie ściśle współpracujemy z Thomas Käfer.
    Kolokwium 2020 - Cyberbezpieczeństwo

    Tematem pierwszego cyfrowego kolokwium było „Cyberbezpieczeństwo dla zakładów produkcyjnych”. Eksperci poruszają ten temat z różnych punktów widzenia. Dowiesz się od przedsiębiorcy, co to znaczy być zhakowanym i jakie są tego konsekwencje dla jego biznesu. Haker pokaże Ci słabe punkty systemów i wspólnie wyjaśnimy, jak można temu zapobiec. Ponadto prelegenci wyjaśnią, jakie szkody są objęte ubezpieczeniem cyberbezpieczeństwa i co władze uważają za konieczne. Tutaj można obejrzeć nagrania z wykładów.

    Nasz zespół

    Dr. Florian Merkel

    horst weyer und partner
    Foto von Dipl.-Ing. Thomas Käfer, M. Sc.

    Thomas Käfer

    Käfer IT Systeme e.K.