Cybersecurity Governance

ISO 27001 je mezinárodní norma, která popisuje osvědčené postupy pro systém řízení bezpečnosti informací (ISMS).

Získání akreditované certifikace podle ISO 27001 prokazuje, že naše organizace dodržuje osvědčené postupy v oblasti bezpečnosti informací a poskytuje nezávislé odborné ověření, že bezpečnost informací je řízena v souladu s mezinárodními osvědčenými postupy a obchodními cíli.

Cybersecurity Governance pro Siemens má certifikaci ISO 27001 od listopadu 2017.

Od listopadu 2023 jsme certifikováni podle nové normy ISO 27001:2022.

• Stáhnout certifikát
• Další informace o systémových certifikátech

Jsme nadšení z toho, abychom umožnili odolnou kybernetickou bezpečnost založenou na datech prostřednictvím robustní architektury na ochranu společnosti Siemens.

Abychom toho dosáhli, implementujeme naši strategii Cybersecurity do projektu a používáme nově vytvořenou službu Enterprise Architecture k mapování našich strategických cílů do cílové architektury, která bude řídit veškerou kybernetickou bezpečnost v jejich implementačním úsilí.

Hlavními cíli projektu jsou: Zefektivnění využívání zdrojů prostřednictvím opatření v oblasti automatizace a efektivity, zvýšení viditelnosti a transparentnosti kybernetických rizik v rámci společnosti Siemens a využití rozhodování založeného na datech pro posílení reaktivního a proaktivního snižování rizik.

Naše nastavení projektu je strukturováno do pěti pracovních toků:

• Koncepce a procesy:

  Naším cílem je popsat a udržovat proces architektury v rámci Siemens Cybersecurity a zajistit, aby byl integrován s naší strategií a portfoliem. A popsat stavební kameny naší datově řízené architektury kybernetické bezpečnosti, včetně schopností, aplikací, vstupů, výstupů a závislostí.

• Governance:

  Naším cílem je definovat, jak lze data o kybernetické bezpečnosti kombinovat, aby umožnila automatickou identifikaci a hodnocení rizik kybernetické bezpečnosti, umožnila rozhodování o jejich zmírnění a zvýšila soulad s politikami.

• Situační povědomí:

  Naším cílem je stát se v popředí a být hlasem projektu EA, shromažďovat očekávání uživatelů a poskytovat holistické riziko pro zlepšení každodenního provozu koncových uživatelů.

• Security intelligence:

  Naším cílem je implementovat rozhodovací bod podporovaný umělou inteligencí a daty, který poskytuje automatickou identifikaci a zmírňování rizik kybernetické bezpečnosti Siemens tím, že posiluje rozhodování.

• Údaje:

  Workstream Data pomáhá kybernetické bezpečnosti přijmout přístup založený na datech tím, že vytváří transparentnost dat, zabraňuje duplikaci dat a poskytuje týmům pokyny pro jejich datové strategie.

Rámec politiky kybernetické bezpečnosti se vztahuje na Siemens a její přidružené společnosti. Zejména obsahuje požadavky na kybernetickou bezpečnost stanovené ve zvláštních politikách, normách a základních zásadách.

Všechny zásady jsou založeny na příslušných průmyslových normách, jako je ISO 2700x nebo IEC 62443. Pro zajištění souladu s dalšími důležitými normami jsou také spravovány odkazy na ně. Seznam příslušných norem zahrnuje například NIST 800-53, Pokyny pro řízení ICT a bezpečnostních rizik od EBA a další.

Produkty, řešení a služby Siemens obsahují značné množství softwaru a komponent souvisejících s IT, které se v mnoha případech používají v kontextu kritických infrastruktur a mohou být více vystaveny kybernetickým hrozbám. Regulační požadavky a požadavky na bezpečnost specifické pro zákazníky rostou a Siemens je třeba je řešit.

Abychom zůstali konkurenceschopní a spolehliví, byla založena iniciativa PSS pro celou Siemens s cílem zajistit, aby produkty, řešení a služby, které prodáváme, umožnily našim zákazníkům provozovat svá zařízení v bezpečném prostředí.

Za tímto účelem jsou zavedeny závazné požadavky na PSS a doporučení pro implementaci. Neustálé zlepšování a neustálé učení jsou základními předpoklady úspěšné realizace.

Je životně důležité vytvořit společné povědomí a porozumění mezi všemi zaměstnanci ohledně základních aspektů kybernetické bezpečnosti a poskytovat specializovaná specifická školení pro role související s kybernetickou bezpečností. Abychom reagovali na očekávání našich zákazníků ohledně nejmodernějších produktů, řešení a služeb společnosti Siemens z hlediska technologií a bezpečnosti a abychom zajistili schopnost poskytovat takovou kvalitu neustálým zvyšováním povědomí o kybernetické bezpečnosti v naší společnosti a umožněním našim zaměstnancům brát v úvahu kybernetickou bezpečnost v každé činnosti, kroku a procesu celého hodnotového řetězce, jsme vytvořili několik aktivit. Například:

• Povinná globální osvětová kampaň s cílem poskytnout všem zaměstnancům informace týkající se obecných a důležitých témat kybernetické bezpečnosti. Tato školení jsou webová, bezbariérová a vícejazyčná. Kromě toho pro skupinu specifickou pro roli máme školení „Řidičský průkaz“. Toto školení je povinné a umožňuje skupině specifické pro jednotlivé role aplikovat všechny bezpečnostní pokyny Siemens IT/OT. Po úspěšném absolvování obdrží účastníci certifikát, který je platný po dobu dvou let.
• Poskytujeme také několik průběžně aktualizovaných školení a vzdělávacích příležitostí pro všechny zaměstnance Siemens. K nim lze přistupovat dobrovolně. Toto školení je nejen pro základní znalosti, ale také pro specifické a specializované oblasti, jako je Product and Solution Security.
• Věříme, že neustálé učení je klíčem k úspěchu, a proto neustále hledáme nové způsoby, jak školit a aktualizovat naše zaměstnance.

Vždy udržujte přehled: Abychom toho dosáhli, poskytujeme interní platformu kybernetické bezpečnosti nazvanou „CyberMart“, která poskytuje holistický pohled na data a procesy kybernetické bezpečnosti ve společnosti Siemens.

Umožňuje informovaná a cílená obchodní rozhodnutí tím, že poskytuje

• platforma pro bezpečné aplikace zpracovávající informace relevantní pro kybernetickou bezpečnost,
• zabezpečený datový fond pro data související s kybernetickou bezpečností a
• vykazování splatnosti a stavu bezpečnostních procesů (např. ochrana aktiv, zpracování výjimek).

Součástí této platformy je řídicí panel kybernetické bezpečnosti, který poskytuje přehled provozního stavu kybernetické bezpečnosti a strategických datových bodů. Tyto informace jsou základem pro pravidelné interní podávání zpráv správní radě společnosti Siemens a dozorčí radě Siemens.

Hlavním cílem Cybersecurity Risk Management, který je součástí Siemens Enterprise Risk Management (ERM), je umožnit společnosti Siemens získat transparentnost ohledně kybernetických rizik a adekvátně je řídit na přijatelné úrovni.
Rámec Siemens Cybersecurity Risk Management je založen na mezinárodních normách (ISO/IEC 27005 a ISF IRAM2), zohledňující všechny úrovně, od provozních až po podnikové, a také s využitím zavedených procesů a rolí ERM.
Rizika kybernetické bezpečnosti hlášená a řízená až do úrovně ERM jsou identifikována v rámci následujících procesů a řízena v rámci příslušných nástrojů:

• Celkový proces řízení rizik kybernetické bezpečnosti
• Proces klasifikace a ochrany aktiv pro IT a dokumenty a informační zdroje
• Analýza hrozeb a rizik pro produkty, řešení a služby
• Proces vyřizování výjimek pro dočasné odchylky od rámce kybernetické bezpečnosti Siemens
• Řízení rizik dodavatelů kybernetické bezpečnosti

Řízení rizik dodavatelů kybernetické bezpečnosti:

Rizika kybernetické bezpečnosti je třeba řídit v celém dodavatelském řetězci. Siemens zvažuje toto téma holisticky včetně IT, OT a PSS pro zadávání horizontálních a vertikálních komponent, produktů a služeb. Z tohoto důvodu hlavní činnosti pro zlepšení úrovně kybernetické bezpečnosti v dodavatelském řetězci zahrnují:

• Transparentnost, pokud jde o vystavení kybernetickému riziku v celém dodavatelském řetězci
• Systematické postupy řízení rizik podporované metodikou hodnocení dodavatelů třetích stran, příslušnými nástroji a šablonami smluvních požadavků na kybernetickou bezpečnost pro dodavatele
• Aktivní účast v Chartě důvěry, která řídí 2. zásadu: „Odpovědnost v celém digitálním dodavatelském řetězci“ a různých odborných komunit
• Pravidelná školení a osvětové kampaně pro různé cílové skupiny a případy použití

Co je incident v oblasti bezpečnosti informací?

Incident v oblasti bezpečnosti informací je definován jako: Přímé nebo nepřímé ohrožení důvěrnosti, integrity nebo dostupnosti informací podle jejich klasifikace (na základě ISO27001 a NIST 800-61 rev2) .Příklady incidentů zahrnují mimo jiné:

1. Úspěšné pokusy o získání neoprávněného přístupu k systému nebo jeho datům
2. Přerušení nebo odmítnutí služby
3. Neoprávněné použití systému pro zpracování nebo ukládání dat
4. Změny systémového hardwaru, firmwaru nebo vlastností softwaru bez vědomí, instrukcí nebo souhlasu vlastníka

Reakce na incident

Provádíme hloubkovou analýzu incidentů Cyber Security. Abychom toho dosáhli, spolupracujeme s obchodně odpovědnými, interními a externími reportéry incidentů a zúčastněnými stranami, abychom koordinovali činnosti reakce a zajistili řádné omezení a zahájení nápravných úkolů. Dále poskytujeme Incident Project Manager, který podporuje organizační a komunikační aspekty závažných a složitých incidentů.

Proces řešení incidentů

• Detekovat

  Kompromitace důvěrnosti, integrity a/nebo dostupnosti informací.

• Odpovědět

  Analyzujte útok a iniciujte protiopatření.

• Opravovat

  Obsahuje: Omezit škodlivou aktivitu, Zmírnit: Zabránit dalšímu poškození, Opravit: Opravit a zabránit opakování

• Obnovit

  Obnovit integritu postižených systémů do nedegradovaného provozního stavu.

Bezpečnostní hrozby nutí průmysl jednat.

Útoky kybernetických zločinců, kteří dokáží manipulovat s celými hodnotovými řetězci, často vedou nejen k výpadkům výroby, ale také ke značnému poškození vaší image. Aby byla vaše provozní technologie (OT) co nejlépe chráněna, je nutné zajistit transparentnost ohledně rizikové expozice vašich aktiv. To umožňuje identifikovat a eliminovat kybernetické hrozby dříve, než způsobí značné škody. Zajišťujeme větší kybernetickou bezpečnost pro vaše výrobní procesy. Náš holistický přístup je navržen tak, aby identifikoval procedurální bezpečnostní mezery a technické zranitelnosti dříve, než jsou zneužívány špatnými aktéry.

Více informací

AI plní klíčovou funkci v úsilí Siemens o kybernetickou bezpečnost. Dynamicky identifikuje a působí proti bezpečnostním hrozbám detekcí anomálií v naší síti a systémech. Tato okamžitá akce proti narušení bezpečnosti pomáhá omezit potenciální škody.

AI navíc zvyšuje efektivitu našich postupů kybernetické bezpečnosti automatizací všedních úkolů. Tato automatizace umožňuje našim bezpečnostním týmům soustředit se na složitější a naléhavější problémy. Kromě toho AI zavádí přizpůsobené bezpečnostní protokoly založené na analýze chování uživatelů a podporuje přesnou bezpečnostní strategii pro každou divizi společnosti Siemens.

Navzdory výhodám je důležité si uvědomit, že AI může být také nástrojem pro kybernetické útočníky, což zvyšuje složitost jejich škodlivých akcí. Tito útočníci mohou využít AI k automatizaci svých útoků, vyhýbat se konvenčním bezpečnostním systémům nebo dokonce simulovat lidské chování, aby unikli detekci.

Nicméně, Siemens je na tento složitý scénář dobře připraven. Zavedli jsme přísné bezpečnostní protokoly, abychom zajistili bezpečné a odpovědné používání AI. Náš progresivní přístup pomáhá udržovat integritu našich systémů a chrání nás před potenciálními riziky, což nám umožňuje využívat výhody AI v našich operacích v oblasti kybernetické bezpečnosti.

Výhody, které Siemens získává z umělé inteligence, rozhodně převažují nad riziky. Prostřednictvím pečlivé implementace a průběžného dohledu minimalizujeme tato rizika a umocňujeme výhody umělé inteligence. V důsledku toho se umělá inteligence jeví jako neocenitelný nástroj, který podstatně zvyšuje naši schopnost odvrátit bezpečnostní hrozby.