Рекомендации Pilz по организации информационной безопасности предприятия

Введение

Промышленная информационная безопасность — это защита производственных и промышленных предприятий от намеренных или случайных атак. Ранее, промышленная информационная безопасность входила в сферу задач информационных технологий (ИТ) и представлялась в форме безопасности информационных технологий. В наши дни производственные и промышленные предприятия обладают чрезвычайно развитыми ИТ-системами, чем пользуются злоумышленники, вторгаясь в системы автоматизации и управления, получая при этом возможность манипулировать ими и даже негативно влиять на безопасность оборудования. Поэтому, сотрудники, не являющиеся экспертами в сфере ИТ, могут столкнуться с потенциальными угрозами. Промышленная информационная безопасность охватывает ИТ-безопасность производственных и промышленных предприятий в части заводской автоматики и управления производственными процессами.

Задачи промышленной информационной безопасности

Задача промышленной информационной безопасности состоит в том, чтобы гарантировать работоспособность предприятия и оборудования, целостность и конфиденциальность данных и процессов. Кибер-преступники часто используют имеющиеся слабые места для проникновения в системы контроля производством и используют их с целью нарушения нормального хода технологических процессов. Для предотвращения доступа злоумышленников к основным информационным узлам предприятия, необходимо выявить и надлежащим образом устранить бреши в системах безопасности. Если злоумышленникам удается воспользоваться такой лазейкой, итог для компании закономерен — неблагоприятные вмешательства извне не позволят должным образом организовать нормальный производственный процесс и приведут к снижению общей работоспособности всего предприятия.

Несанкционированные проникновения могут также преследовать цель, заключающуюся в полной остановке производственного цикла, угрозу человеческой жизни и здоровью, если системы безопасности подвергаются направленным манипуляциям.Сетевое устройство защиты SecurityBridge может это предотвратить. Оно защищает соединения между инструментами диагностики или настройки и контроллерами от несанкционированных манипуляций, устанавливая защищенные соединения с внешней средой. Передача данных при этом осуществляется почти без задержек. Для предотвращения несанкционированного доступа в системы предприятия можно использовать систему управления доступом PITreader. С ней и соответствующими ключами расшифровки радиочастотной идентификации (RFID) появляется возможность надежно контролировать индивидуальный доступ, в соответствии с чётко обозначенными корпоративными требованиями и нуждами.

Брошюра по Industrie 4.0 — краткий обзор всех наиболее важных аспектов. Мы обобщили для вас основные аспекты современной технологии автоматизации в среде Industrie 4.0. Здесь будут даны ответы на следующие вопросы:
- Что означает Industrie 4.0 конкретно для вашей компании?
- Какие области деятельности откроются для вас?
- Что необходимо принять во внимание в части функциональной безопасности и защиты?
- Как вы реализуете наши интеллектуальные и гибкие решения по автоматизации?
Брошюра поможет стать экспертом по промышленной информационной безопасности и узнать больше об основных аспектах безопасности и возможных вариантах решения возникающих проблем.

Группа реагирования на происшествия в области безопасности продукции компании Pilz (PSIRT)

Продукция и услуги Pilz отвечают высочайшим требованиям качества. Поэтому даже в ходе разработки учитываются вопросы информационной безопасности. Тем не менее, наличие слабых звеньев в безопасности ПО невозможно предотвратить на 100 %. Компания крайне серьезно относится к любым сообщениям о вероятных недостатках собственных изделий. Это единственный способ поддержания качества продукции на высочайшем уровне. Группа PSIRT компании Pilz предоставляет советы по мероприятиям, нацеленным на устранение слабых звеньев систем безопасности в форме рекомендаций по безопасности.

Специалисты по информационной безопасности в группе PSIRT контролируют и анализируют все сообщения о возможных недостатках безопасности собственной продукции.

Как связаться с группой PSIRT компании Pilz:

Специалисты по информационной безопасности в группе PSIRT компании Pilz контролируют и анализируют все сообщения о возможных недостатках безопасности продукции. Если у вас имеются вопросы в отношении безопасности изделий Pilz или инфраструктуры компании, или, если вы хотите сообщить о бреши в системе безопасности, пожалуйста, свяжитесь с нашими специалистами из группы PSIRT. Оставляйте ваши сообщения для PSIRT на немецком или английском языках. Как правило, первое ответное сообщение приходит в течение двух рабочих дней (среднеевропейское время). Пожалуйста, примите меры для кодировки важной информации при помощи открытого шифровального кода PGP.

Свяжитесь с группой PSIRT!

Шесть советов по улучшению информационной безопасности

Так как информационная безопасность представляет собой не физический параметр, а, скорее, «движущуюся цель», меры по противодействию кибер-угрозам должны непрерывно актуализироваться. В первую очередь, за это несут ответственность владельцы предприятий, для которых безопасность данных означает защиту их инвестиций. В целом, все устройства с Ethernet-соединением входят в группу риска. Следующие стратегии помогут внедрить надежную систему безопасности на предприятии:

Глубоко эшелонированная защита

• Этот принцип основан на размещении новых и разнообразных препятствий на пути возможных злоумышленников. При этом задача кибер-преступников значительно усложняется. Суть в том, чтобы создать как можно больше препятствий на всех возможных уровнях защиты.

Организационные мероприятия

• Важно, чтобы все сотрудники компании серьезно относились к информационной безопасности. Для этого необходимо разработать внутренние правила, обязательные для всех работников и партнеров компании, таких как производители устройств или поставщики услуг. Любой, ответственный за информационную безопасность сотрудник, должен поддерживать и проверять соблюдение этих правил.

Обучение

• Не все являются специалистами в сфере ИТ, поэтому необходимо проводить регулярное обучение по вопросам информационной безопасности для сотрудников. Семинары Pilz проходят в штаб-квартире компании в городе Остфильдерн недалеко от Штутгарта или на объектах заказчиков или (в сокращенной форме) проводятся в качестве веб-семинаров для организаций, занимающихся проектированием предприятий и оборудования.

Разделение на «зоны и линии сообщения»

• Участки на предприятии, имеющие схожие требования по безопасности, должны разграничиваться при помощи сетевых устройств защиты или безопасных маршрутизаторов. Следует использовать линии сообщения между участками таким образом, чтобы только устройства, наделенные необходимыми полномочиями, могли отправлять и принимать информацию.

Сетевые устройства защиты

• Хотя маршрутизаторы и коммутаторы могут поддерживать средства обеспечения безопасности, вам также требуются сетевые устройства защиты. Приложение «Сетевое устройство защиты SecurityBridge» защищает средства управления предприятием и оборудованием от манипуляций с данными технологического процесса и прочих угроз.

Управление исправлениями

• Процесс управления исправлениями поможет вам определить обязанности для каждой роли. Кроме того, процесс должен включать в себя управление не только исправлениями и обновлениями, выпускаемыми производителем оборудования, но и обновлениями ПО третьих сторон (например, приложениями для офисной работы, такими как программа чтения документов в формате PDF).

Обучение в сфере промышленной информационной безопасности, проводимое компанией Pilz

Внешние атаки на системы информационной безопасности постоянно фигурируют в заголовках новостей СМИ. Внутренние атаки (при которых источник находится внутри самой компании) часто недооцениваются. Однако у них могут быть настолько же серьезные последствия, например, приводящие к сбою сети или утечке важной информации. Большая часть внутренних атак происходит непреднамеренно. Как правило, причины кроются в неверно настроенном оборудовании и ошибках в ходе эксплуатации. Поэтому организация соответствующего обучения для вашего персонала крайне важна. Pilz предлагает вам и вашим сотрудникам подходящее обучение по промышленной информационной безопасности.