Кибербезопасность на промышленных предприятиях с IIoT

При внедрении решения IIoT на промышленном объекте неизбежно используются чувствительные данные, требующие особого уровня защиты. Кроме того, подключение к интернету требует постоянного внимания и сопровождения. Технологии развиваются очень быстро, и каждая система должна непрерывно соответствовать актуальному уровню кибербезопасности — как на промышленном предприятии, так и за его пределами.

Надёжное управление информационной безопасностью включает не только шифрование данных, но и комплексный подход, охватывающий следующие аспекты:

• Соответствие законодательству и стандартам: Необходимо соблюдать применимые правовые требования и рекомендуемые стандарты (например, ISO 27001 — система менеджмента информационной безопасности, ISO 27017 — меры информационной безопасности для облачных сервисов, GDPR — Общий регламент по защите данных).
• Безопасность данных: Очевидно, что решение IIoT содержит чувствительные данные. С ними необходимо обращаться с особой осторожностью в соответствии со строгими регламентированными процессами.
• Размещение серверов: При использовании технологий облачных вычислений данные хранятся на серверах, размещённых у поставщика услуг. В силу национального законодательства местоположение серверов может означать более высокий или более низкий уровень кибербезопасности. Европейские площадки обеспечивают наивысшие стандарты защиты благодаря строгому законодательству в области защиты персональных данных.
• Организационные процессы: Кибербезопасность невозможна без внедрения организационных процессов, которые определяют, какие данные, кем, каким образом и в какой момент обрабатываются.
• Прозрачность: Надёжные поставщики цифровых решений обеспечивают чёткую и прозрачную систему поддержки, позволяющую заказчику в любой момент видеть статус своего запроса.
• Функциональные особенности приложений: Все требования стандартов ISO 27001 (система менеджмента информационной безопасности) и ISO 27017 (информационная безопасность облачных сервисов) реализованы в компании Endress+Hauser. В общей сложности применяется 121 мера, охватывающая всю деятельность компании. Эти меры находятся под постоянным контролем и при необходимости регулярно обновляются.

Все перечисленные аспекты должны учитываться, реализовываться и регулярно проверяться при внедрении технологий IIoT. Существующие аудиторские и стандартизационные модели, законодательные требования и лучшие практики могут служить практической поддержкой на этапе внедрения.

Endress+Hauser доказала, что её экосистема IIoT Netilion соответствует высоким стандартам информационной безопасности, представив её на оценку независимым сертификационным органам. С самого начала вопросам управления информационной безопасностью (Information Security Management) уделялось первостепенное внимание; эти критерии служат практическим ориентиром при внедрении цифровых сервисов и обеспечении надлежащего уровня кибербезопасности в промышленности.

• Соответствие законодательству и стандартам: При создании профессиональной системы управления информационной безопасностью с использованием технологий IIoT компания Endress+Hauser получила следующие сертификаты для управления экосистемой Netilion:
• ISO 27001 — управление информационной безопасностью
• ISO 27017 — свод практик по информационной безопасности для облачных сервисов
• ISO 9001 — система менеджмента качества
• Безопасность данных: Данные клиентов, хранящиеся и обрабатываемые в экосистеме Netilion, всегда обрабатываются с максимальной степенью защиты. Пользователи имеют право вводить, просматривать, обновлять и удалять свои данные. Все применяемые меры соответствуют требованиям GDPR (General Data Protection Regulation — Общий регламент по защите данных).
• Размещение серверов: Серверы, на которых базируется экосистема Netilion, расположены во Франкфурте и Дублине. С точки зрения кибербезопасности серверы, размещённые в Европейском союзе, считаются особенно защищёнными.
• Организационные процессы: Компания Endress+Hauser внедрила процессы оперативного реагирования на инциденты, связанные с безопасностью данных, полностью соответствующие требованиям GDPR. Затронутые стороны информируются незамедлительно, и принимаются соответствующие меры реагирования.
• Прозрачность: Компания Endress+Hauser реализовала прозрачный процесс поддержки, который в понятной форме информирует заказчика о статусе обработки его запроса.
• Функциональные возможности приложений: Пользовательский интерфейс экосистемы IIoT Netilion включает все необходимые функции, в том числе современные требования к паролям, автоматизированное управление паролями, автоматический выход из системы по истечении установленного периода бездействия, а также функции экспорта данных.

Существует ряд критериев, которые считаются ключевыми для профессионального управления информационной безопасностью и которые реализованы в экосистеме Netilion:

• Шифрование чувствительной информации: Экосистема IIoT Netilion от Endress+Hauser обеспечивает профессиональную защиту информации:
• Пароли шифруются с использованием метода «bcrypt + salt + pepper».
• Идентификация пользователей осуществляется с применением токенизированных процедур на базе OAuth2.
• Передача данных осуществляется по защищённому протоколу HTTPS.
• Передача технологических данных через шлюзы: При рассмотрении кибербезопасности на промышленных предприятиях особое внимание уделяется шлюзам, поскольку они являются точкой доступа. Шлюзы с поддержкой Netilion используют одностороннюю связь: полевые данные передаются через шлюз и отправляются в облако, при этом передача данных в обратном направлении запрещена. Такая архитектура разработана для защиты полевого уровня от несанкционированного воздействия и манипуляций.
• Сертификация: Независимый сертификационный орган подтвердил, что экосистема IIoT Netilion соответствует требованиям стандарта ISO 27017 — международного стандарта, устанавливающего требования к безопасности облачных платформ. Соответствие требованиям ISO 27017 означает, что заказчики могут полностью доверять экосистеме Netilion как надежной гавани для их данных. Кроме того, подразделение Endress+Hauser по цифровым решениям, занимающееся разработкой экосистемы IIoT Netilion, получило сертификат ISO 27001 по управлению информационной безопасностью.