Cyberbezpieczeństwo w zakładach przemysłowych korzystających z IIoT

Za każdym razem, gdy wprowadzane jest rozwiązanie IIoT w zakładzie przemysłowym, zawiera ono dane wrażliwe, które wymagają specjalnego poziomu ochrony. Ponadto niezbędna jest stała uwaga i dbałość o połączenie z internetem. Technologia rozwija się bardzo szybko i każdy system musi nieprzerwanie podążać za zmianami w dziedzinie cyberbezpieczeństwa – zarówno w zakładzie przemysłowym, jak i w każdym innym miejscu.

Niezawodne zarządzanie bezpieczeństwem informacji obejmuje nie tylko szyfrowanie danych, lecz wymaga również całościowego podejścia uwzględniającego:

• Zgodność z przepisami prawa i normami: muszą być przestrzegane wytyczne prawne i zalecane normy (np. ISO 27001, ISO 27017, RODO/GDPR itd.).
• Bezpieczeństwo danych: jest rzeczą oczywistą, że rozwiązanie IIoT będzie zawierać dane wrażliwe. A te muszą być traktowane z odpowiednią dbałością, zgodnie z rygorystycznymi procedurami.
• Lokalizacje serwerów: w każdym przypadku, gdy wykorzystywana jest chmura obliczeniowa, dane będą przechowywane na serwerach udostępnianych przez dostawcę. W zależności od miejscowych przepisów lokalizacja serwerów oznacza wyższy lub niższy poziom cyberbezpieczeństwa. Lokalizacje europejskie oferują najwyższe standardy dzięki ustawie o ochronie danych osobowych.
• Procedury organizacyjne: cyberbezpieczeństwo nie jest możliwe bez stosowania procedur organizacyjnych określających, które dane powinny być przetwarzane, przez kogo, w jaki sposób i w jakim czasie.
• Przejrzystość: wiarygodni dostawcy rozwiązań cyfrowych posiadają jasny i przejrzysty system wsparcia, który w każdej chwili pokazuje klientowi status jego zgłoszenia.
• Cechy aplikacji: wszystkie wymagania ISO 27001 oraz ISO 27017 zostały spełnione przez Endress+Hauser. Łącznie 121 środków bezpieczeństwa pokrywa cały zakres działalności firmy. Są one stale monitorowane i aktualizowane w razie potrzeby.

Wszystkie te elementy muszą być uwzględniane, wprowadzane i regularnie poddawane kontroli przy wdrażaniu technologi IIoT. Dotychczasowe ramy audytu i standaryzacji, przepisy prawne i najlepsze praktyki mogą służyć jako praktyczne wsparcie podczas wdrażania.

Endress+Hauser udowodnił, że jego ekosystem IIoT Netilion spełnia wysokie standardy w zakresie bezpieczeństwa informacji, poddając go ocenie zewnętrznych jednostek certyfikujących. Już od pierwszego dnia kryteria związane z zarządzaniem bezpieczeństwem informacji były przedmiotem szczególnej uwagi i służą jako pomocne wskazówki przy wdrażaniu usług cyfrowych oraz zapewnianiu należytego bezpieczeństwa cybernetycznego w przemyśle.

• Zgodność z przepisami prawa i normami: Podczas wdrażania profesjonalnego systemu zarządzania bezpieczeństwem informacji z wykorzystaniem technologii IIoT, firma Endress+Hauser uzyskała następujące certyfikaty dotyczące zarządzania platformą Netilion:
• ISO 27001 Zarządzanie bezpieczeństwem informacji
• ISO 27017 Kodeks postępowania w zakresie bezpieczeństwa informacji
• ISO 9001 System zarządzania jakością
• Bezpieczeństwo danych: dane klientów przechowywane i przetwarzane w ekosystemie Netilion są zawsze traktowane z najwyższą dbałością. Użytkownicy mają prawo do wprowadzania, uzyskiwania dostępu, aktualizacji oraz usuwania swoich danych. Wszystkie procedury spełniają wymogi RODO/GDPR.
• Lokalizacje serwerów: serwery, na których opiera się ekosystem Netilion znajdują się we Frankfurcie i Dublinie. Z punktu widzenia cyberbezpieczeństwa serwery zlokalizowane na terenie Unii Europejskiej są uważane za bardzo bezpieczne.
• Procedury organizacyjne: firma Endress+Hauser wprowadziła procedury umożliwiające szybkie reagowanie w sytuacjach zagrożenia bezpieczeństwa danych, zgodnie z przepisami RODO/GDPR. Zainteresowane strony zostaną o tym niezwłocznie poinformowane, zostaną też podjęte środki zaradcze.
• Przejrzystość: firma Endress+Hauser wprowadziła transparentne procedury wsparcia, które jasno informują klienta o tym, w jaki sposób jest rozpatrywane jego zgłoszenie.
• Cechy aplikacji: Interfejs użytkownika ekosystemu Netilion IIoT posiada wszystkie niezbędne funkcjonalności, obejmujące między innymi najnowocześniejsze zasady dotyczące haseł, automatyczne zarządzanie hasłami, automatyczne wylogowanie po upływie określonego czasu oraz funkcje eksportu.

Istnieje pewna liczba kryteriów, które są uznane za istotne dla profesjonalnego zarządzania bezpieczeństwem informacji i które są uwzględnione w ekosystemie Netilion :

• Szyfrowanie informacji wrażliwych: ekosystem IIoT Netilion firmy Endress+Hauser zapewnia profesjonalną ochronę informacji:
• Hasła są szyfrowane za pomocą algorytmu ‘bcrypt + salt + pepper’.
• Identyfikacja użytkownika odbywa się za pomocą procedur tokenizowanych z użyciem protokołu autoryzacji OAuth2.
• Komunikacja jest szyfrowana protokołem https.
• Przesyłanie danych procesowych przez bramki sieciowe: gdy rozważamy kwestie cyberbezpieczeństwa w zakładach przemysłowych, największej uwagi wymaga bramka sieciowa, ponieważ stanowi ona punkt dostępu. Bramki obsługujące platformę Netilion używają komunikacji jednokierunkowej: dane z obiektu przechodzą przez bramkę i są przesyłane do chmury, lecz komunikacja w przeciwnym kierunku jest niedozwolona. Ta architektura ma służyć ochronie obiektu przed nieuprawnionym dostępem.
• Certyfikacja: Niezależna jednostka certyfikująca potwierdziła, że ekosystem IIoT Netilion spełnia wymagania normy ISO 27017. Ta norma międzynarodowa zawiera wymagania dla platform chmurowych. Zgodność z wymaganiami normy ISO 27017 jest dla klientów gwarancją, że ekosystem Netilion to bezpieczne miejsce przechowywania ich danych. Endress+Hauser Digital Solutions, firma zajmująca się rozwijaniem ekosystemu IIoT Netilion, uzyskała certyfikat ISO 27001 potwierdzający bezpieczeństwo informacji.