Информационная безопасность в промышленности: От манипуляций с битами до промышленных происшествий

Андреас Виллерт, руководитель отдела информационной безопасности в промышленности, Pilz Австрия

(«возможны изменения»)

С публикацией нового Регламента ЕС по машинному оборудованию (MR), будущей директивы NIS 2 и запланированного Закона об устойчивости к угрозам кибербезопасности (CRA) производителям установок и оборудования, интеграторам и  операторам стало ясно: Информационная безопасность является юридическим требованием! С 20.01.2027 каждый, кто желает поместить знак CE на свою машину, должен гарантировать, что управление машиной надежно защищено от случайного или преднамеренного вмешательства, а также любых опасных ситуаций, которые могут возникнуть.

Почему так сложно начать
Законодательные и нормативные требования довольно сложны, глубоки и переплетены. Производителям машин и операторам придется пересмотреть существующие процессы с точки зрения промышленной безопасности и защиты данных. Без защиты информации нет промышленной безопасности!
Более того: IТ-безопасность и ОТ-безопасность различаются как по целям, так и по технологиям. В то время, как конфиденциальность обычно является самым большим активом в (офисных) IТ-технологиях, наивысшим приоритетом в ОТ является доступность. Более того, компании имеют разные уровни знаний и опыта, когда дело касается информационной безопасности. Поэтому сети представляют собой разные точки для атак. Кроме того, в отличие от промышленной безопасности, риски, связанные с защитой данных и их влияние не являются ощутимыми. Итак, с чего же начать?

Универсальное решение для обеспечения промышленной безопасности и защиты данных
Компании не предоставлены сами себе: Являясь экспертом по безопасности машинного оборудования, компания Pilz заранее подготовилась к внедрению новых требований по информационной безопасности. Клиенты получают не только оценку, анализ и концепцию безопасности своих установок и оборудования, но также и анализ информационной безопасности на машинах — комплексный подход. В результате удается избежать различных подходов и несовместимых решений. Компания Pilz разработала услуги по информационной безопасности, основываясь на проверенных процедурах оказания услуг по обеспечению безопасности машинного оборудования и соответствующих национальных, европейских и международных стандартах, а также передовом опыте. С нашей поддержкой компании могут хорошо подготовиться и безопасно идти по пути соблюдения текущих и будущих требований законодательства.

Мы всегда начинаем с краткого обзора в виде анализа требований к защите: Какие законы применяются? Есть ли уже ответственные? Может быть, компания уже сертифицирована для офисной среды? Следующим шагом является определение серьезности вреда для человека и машины в случае потери безопасности, конфиденциальности, целостности или доступности. Как и в случае с процедурой оценки промышленной безопасности, компании могут затем предпринять следующие шаги: анализ рисков, разработку концепции безопасности, внедрение и, наконец, проверку.

Индивидуальная поддержка
Компания Pilz предлагает широкий спектр различных услуг в области промышленной и информационной безопасности. Таким образом, готово предложение, которое комплексно включает в себя все аспекты защиты человека и машины. Предложение варьируется от базовой информации и рекомендаций, а также учебных курсов, таких как «CESA — Сертифицированный эксперт по информационной безопасности в автоматизации», до «ISCS — Консультационной услуги по информационной безопасности», которая обеспечивает практическую поддержку при внедрении новых требований Регламента по машиному оборудованию.

Опыт показывает, что необходимый анализ рисков информационной безопасности, например, может занять несколько недель и даже месяцев.
Вот почему настало время информационной безопасности!