• Zadzwoń do nas: +48 (0) 784 58 05 56 | Wyślij nam e-mail: info@weyer-gruppe.com

Cyberbezpieczeństwo zakładów produkcyjnych

Operatorzy i inwestorzy

IT i połączenie w sieć różnorodnych systemów – Internet Rzeczy – to jeden z centralnych tematów naszych czasów – nie tylko z punktu widzenia dewelopera, ale także w odniesieniu do bezpieczeństwa IT lub cyberbezpieczeństwa zakładów produkcyjnych. Jednak oprócz wielu pozytywnych skutków nowych osiągnięć w dziedzinie cyfryzacji, coraz wyraźniejsze stają się również negatywne zjawiska: ataki hakerów na systemy sieciowe powtarzają się coraz częściej, tak że prawodawca włączył obecnie bezpieczeństwo cybernetyczne do niektórych przepisów dotyczących operatorów i producentów.

Przegląd podstaw prawnych analizy

Jako podstawę prawną do analizy cyberbezpieczeństwa obiektu produkcyjnego, maszyny lub zakładu produkcyjnego można sięgnąć do różnych wytycznych i zaleceń. Poniżej przedstawiamy te podejścia, które często wykorzystujemy w naszej pracy.

Dla obszarów operacyjnych, które podlegają rozporządzeniu o niebezpiecznych zdarzeniach, § 3 (Ogólne obowiązki operatora) 12 BImSchV wymaga również uwzględnienia bezpieczeństwa IT. Nacisk kładziony jest tu na sterowanie procesami oraz oprzyrządowanie i urządzenia kontrolne. Za realizację odpowiedzialne są administracje ochrony środowiska poszczególnych krajów związkowych. W przypadku NRW LANUVw dokumencie informacyjnym określił wymagania dotyczące prezentacji bezpieczeństwa IT w raporcie bezpieczeństwa oraz w dokumentach licencyjnych dotyczących bezpieczeństwa instalacji.

Można założyć, że władze w NRW będą odtąd stosować dokument orientacyjny jako wzór przy ocenie raportów bezpieczeństwa i dokumentów licencyjnych. W dokumencie instruktażowym wyraźnie wymieniono następujące tematy, które muszą zostać przedstawione w raporcie bezpieczeństwa:

  • Architektura sieci i modele stref
  • Wykazy aktywów
  • Analiza ryzyka informatycznego / ocena ryzyka informatycznego

Ustawa o bezpieczeństwie IT, za którą odpowiedzialne jest Federalne Ministerstwo Spraw Wewnętrznych, koncentruje się przede wszystkim na ochronie bezpieczeństwa dostaw i tzw. infrastruktury krytycznej. Prawo dotyczy tylko „obiektów”, które obsługują co najmniej 500 tys. osób. BSI-KritisV jest holistycznym podejściem dla przedsiębiorstw i dlatego obejmuje wszystkie działy firmy.

Komisja ds. bezpieczeństwa instalacji (KAS) jest niezależnym organem doradzającym rządowi federalnemu lub właściwemu ministerstwu federalnemu w kwestiach związanych z bezpieczeństwem instalacji w rozumieniu federalnej ustawy o kontroli emisji (BImSchG). Wytyczna KAS-51 „Środki zabezpieczające przed manipulacją przez osoby nieupoważnione” określa między innymi podstawowe środki. Obejmuje to na przykład określenie zakresu odpowiedzialności, a także zarządzanie dostępem i monitorowanie dostępu. Wymagana przez wytyczne KAS-51 analiza bezpieczeństwa składa się z analizy zagrożeń, analizy ryzyka oraz oceny ryzyka informatycznego. Te ostatnie mogą być realizowane m.in. zgodnie z normami IEC 62443, DIN ISO/IEC 27001 czy NA 163. Załącznik 2 do przewodnika KAS-51 dotyczy ochrony przed atakami cyberfizycznymi i obejmuje takie tematy jak bezpieczeństwo IT jako zadanie zarządzania oraz reagowanie na nowe podatności i zagrożenia. Wszystkie tematy wymienione w Załączniku 2 są realizowane poprzez pytania kontrolne. Przegląd dokonywany przez organ koncentruje się ostatecznie na analizie bezpieczeństwa i jakości wdrożenia. Jeżeli zostanie stwierdzona wystarczająca ochrona, nie jest wymagana oddzielna kontrola bezpieczeństwa zgodnie z § 10a rozporządzenia w sprawie kontroli bezpieczeństwa (Sicherheitsüberprüfungsfeststellungsverordnung, SÜFV). Raport bezpieczeństwa służy jako dowód pewności prawnej dla użytkownika instalacji.

W wyniku konkretyzacji norm IEC 61508 i IEC 61511, VDI/VDE 2180, wytyczne dotyczące bezpieczeństwa funkcjonalnego w przemyśle procesowym, zostały odnowione w kwietniu 2019 roku. Cyberbezpieczeństwo stanowi nowy punkt zainteresowania: „W zarządzaniu bezpieczeństwem funkcjonalnym aspekty bezpieczeństwa informatycznego muszą być uwzględnione w planowaniu, zamówieniach, walidacji, eksploatacji, modyfikacjach i wycofaniu z eksploatacji.” Nowa wersja mówi dalej: „Dzięki zastosowaniu technologii informatycznych i coraz większemu połączeniu systemów w sieć, systemy automatyki, w tym powiązane z nimi urządzenia programujące i konfigurujące, mogą stać się celem cyberzagrożeń. […] należy przeprowadzić ocenę ryzyka informatycznego w celu oszacowania potencjału ryzyka i określenia odpowiednich środków zaradczych.” (Arkusz 1, str. 38 i nast.) Ocena bezpieczeństwa IT dla urządzeń zabezpieczających PLT może być przeprowadzona niezależnie lub razem z ogólną oceną ryzyka IT. Dotyczy to sprzętu, oprogramowania, danych, połączeń, procesów i ludzi. VDI/VDE 2180 stwierdza również na kolejnych stronach, że NA 163 zawiera metody przeprowadzania analizy ryzyka IT, jak również katalog środków, które wraz z VDI/VDE 2180 mogą prowadzić do stworzenia odpowiedniej koncepcji bezpieczeństwa IT.

Ponieważ wyżej wymienione podejścia do analizy ryzyka IT są często bardzo czasochłonne i wymagają zaangażowania personelu, arkusz 163 NAMUR ma na celu pomóc w zapewnieniu zgodności z przepisami prawa i regulacjami, nawet jeśli analiza bezpieczeństwa jest przeprowadzana przez osoby niebędące specjalistami IT (np. inżyniera PCT). Wymagany czas powinien być ograniczony przez arkusz do maksymalnie jednego dnia na system. W NA 163 zalecane jest napisanie oceny ryzyka IT zgodnie z IEC 62443. Podstawowe parametry są ogólnie obowiązujące: SIL 1 do 3, niski wskaźnik wymagań i strefowa struktura sieci. Ocena ryzyka IT dla instalacji bezpieczeństwa PLT zgodnie z NA 163 jest ostatecznie przeprowadzana w pięciu krokach:

  1. Identyfikacja rozpatrywanego systemu
  2. Ocena ryzyka informatycznego wysokiego poziomu
  3. Podział rozpatrywanego systemu na strefy i połączenia
  4. Szczegółowa ocena ryzyka informatycznego
  5. Dokumentacja
Skorzystaj z naszej bezpłatnej konsultacji wstępnej. Umów się na spotkanie już teraz:







    Ich habe die Datenschutzerklärung gelesen und erkläre mich damit einverstanden.
    Ich möchte Informationen zu kommenden Veranstaltungen und Neuigkeiten in der Branche erhalten

    Google reCAPTCHA musi być załadowany, aby przesłać formularz.
    Polityka prywatności Google reCAPTCHA

    Google reCAPTCHA obciążone

    Usługi

    Dzięki wieloletniemu doświadczeniu weyer gruppe w zakresie inżynierii procesowej i bezpieczeństwa funkcjonalnego, jak również wszechstronnej wiedzy branżowej mgr inż. Thomasa Käfera (zaprzysiężonego eksperta ds. systemów przetwarzania informacji i aplikacji), możemy zaoferować Państwu interdyscyplinarny zespół jako wsparcie w zakresie cyberbezpieczeństwa zakładów produkcyjnych dla obszarów operacyjnych zakładów istotnych z punktu widzenia incydentów.

    • Rejestrowanie i podział obszarów roboczych / obiektów na łatwe do zarządzania jednostki (sectioning) w celu analizy niezbędnych działań
    • Ocena ryzyka IT(np. zgodnie z NA 163 / IEC 62443 / DIN ISO 27001)
    • Określenie środków i ustalenie ich priorytetów
    • Wsparcie przy wdrażaniuśrodków
    • Włączenie do ogólnej koncepcji bezpieczeństwa obiektu: powiązanie z klasycznym bezpieczeństwem procesowym lub funkcjonalnym z wymaganiami i środkami wynikającymi z oceny IT
    • Porady dla producentów sprzętu w zakresie cyberbezpieczeństwa
    • Test penetracyjny, w skrócie pentest(ing): Przeprowadzamy kompleksową kontrolę bezpieczeństwa wszystkich komponentów systemu i aplikacji sieciowych (komputerów, maszyn, urządzeń produkcyjnych, itp.) przy użyciu metod, które napastnik lub haker wykorzystałby do penetracji systemu. Więcej informacji można znaleźć tutaj.
    • Digital forensics lub IT forensics: Według BSI, IT forensics to „ściśle metodyczna analiza danych na nośnikach danych i w sieciach komputerowych w celu [gerichtlichen] wyjaśnienia incydentów, w tym możliwości strategicznego przygotowania, zwłaszcza z perspektywy operatora systemu informatycznego”. Ponieważ dane i stany systemu nie mogą być bezpośrednio przeglądane w postępowaniu sądowym, sąd zazwyczaj opiera się na opinii biegłego lub raporcie biegłego sądowego. W tym zakresie ściśle współpracujemy z Thomas Käfer.
    Kolokwium 2020 - Cyberbezpieczeństwo

    Tematem pierwszego cyfrowego kolokwium było „Cyberbezpieczeństwo dla zakładów produkcyjnych”. Eksperci poruszają ten temat z różnych punktów widzenia. Dowiesz się od przedsiębiorcy, co to znaczy być zhakowanym i jakie są tego konsekwencje dla jego biznesu. Haker pokaże Ci słabe punkty systemów i wspólnie wyjaśnimy, jak można temu zapobiec. Ponadto prelegenci wyjaśnią, jakie szkody są objęte ubezpieczeniem cyberbezpieczeństwa i co władze uważają za konieczne. Tutaj można obejrzeć nagrania z wykładów.

    Nasz zespół

    Dr. Florian Merkel

    horst weyer und partner
    Foto von Dipl.-Ing. Thomas Käfer, M. Sc.

    Thomas Käfer

    Käfer IT Systeme e.K.