工业信息安全是一个管理问题：企业如何着手

Simon Nutz，工业信息安全顾问

“工业信息安全？这与我们无关！”- 当被问及信息安全问题时，机器制造商和运营商的回答仍然很常见。他们略带歉意地补充道：“我们的IT部门负责信息安全”。但实际上，IT 部门缺乏专门的知识，尤其是自动化网络方面的知识。另一方面，设计工程师甚至健康与安全经理（HSE）也不知道如何处理网络安全问题。那么，如何为工业信息安全做好准备呢？

从2027年1月起，欧盟将强制实施机械法规(MR)。它适用于所有希望在欧盟进口或运营机械的公司。机械法规以防止腐败的形式规定了工业信息安全措施。因此，工业信息安全已成为企业的关键任务，也是一项管理任务。管理层必须确保工业信息安全牢固地扎根于公司内部。

让每个人都参与进来
要想取得成功，首先要让每个人都参与进来。对于机器制造商来说，这意味着信息技术、开发/设计以及（如果有的话）负责安全的人员（如 CISO）。对于用户来说，则包括信息技术、生产技术、生产管理、HSE 和 CISO。
第一步是积累知识，形成对工业信息安全的共识：工厂和机械行业面临哪些法律义务？机械安全与信息安全是如何连接的？IT和OT接口在哪里交汇？

第二步，这些跨学科团队为公司制定合适的战略，包括实施理念。这就需要在内部结构中找到定位：未来的责任在哪里？企业的网络拓扑结构是怎样的？如何满足新的法律要求？

实施从风险评估开始
只有这样，公司才能实施工业信息安全。首先要对潜在的破坏性事件进行评估和量化，并进行保护要求分析。作为这一过程的一部分，还要确定网络化、数字化和人工智能可能带来的漏洞以及攻击和操纵的可能性。重要：除了传统的信息技术保护目标（如保密性、完整性和可用性）外，工业安全的保护目标还包括安全性，即机器的功能安全性。

安全风险评估始终是起点。这就是要分析安全漏洞带来的威胁和风险。这意味着必须持续监控和调整安全措施。这通常涉及复杂的IT基础设施和网络，需要额外的专业技术知识和资源。

寻找安全专家！
在开始使用自动化工业信息安全系统时，任何寻求外部支持的人都应该意识到，IT安全专业知识只能提供有限的帮助。这是因为，降低机器遭受攻击风险的流程（工业信息安全）与降低机器可能产生的风险的流程（机械安全）非常相似。任何想要实施工业信息安全的人都必须是机械安全方面的专家，并熟悉相关的规范和标准，尤其是机械法规。

该法规的具体实施目前还在变化之中。在某些地方，统一标准仍在制定中。作为机械安全领域的专家，Pilz密切参与并积极制定相关标准。Pilz通过服务和培训的形式将这些专业知识传递给客户。“工业信息安全基础”培训面向初学者。学员将学习术语和要求，并了解机器和网络安全背景下的网络安全。最佳实践有助于了解生产中的网络安全风险。
“自动化信息安全认证专家（CESA）”培训提供在工业自动化网络中实施有效的组织和技术措施所需的工具。

除了培训计划外，Pilz还提供了“身份识别和访问管理”(I.A.M.)产品组合。这些产品和个性化解决方案适用于与员工保护、责任保护、最高生产率和数据保护有关的多项任务。应用范围包括用户身份验证、安全运行模式选择、数据和网络安全以及访问管理等。通过这种方式，可以在一个系统中实现机械安全和信息安全功能。

全世界的机器制造商和运营商现在就应该解决这个问题，以便及时做好准备，迎接工业信息安全的挑战。有必要积累知识，明确责任和接口，并制定单独的战略。理想情况下，由管理层启动这一进程。