Διακυβέρνηση στον κυβερνοχώρο

Το ISO 27001 είναι το διεθνές πρότυπο που περιγράφει τις βέλτιστες πρακτικές για ένα Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών (ISMS).

Η επίτευξη διαπιστευμένης πιστοποίησης σύμφωνα με το ISO 27001 αποδεικνύει ότι ο οργανισμός μας ακολουθεί βέλτιστες πρακτικές ασφάλειας πληροφοριών και παρέχει ανεξάρτητη επαλήθευση εμπειρογνωμόνων ότι η διαχείριση της ασφάλειας πληροφοριών γίνεται σύμφωνα με τις διεθνείς βέλτιστες πρακτικές και επιχειρηματικούς στόχους.

Η Διακυβέρνηση της Κυβερνοασφάλειας στον κυβερνοχώρο για τη Siemens είναι πιστοποιημένη κατά ISO 27001 από τον Νοέμβριο του 2017.

Έχουμε πιστοποιηθεί σύμφωνα με το νέο πρότυπο ISO 27001:2022 από τον Νοέμβριο του 2023.

• Κατεβάστε το πιστοποιητικό
• Μάθετε περισσότερα σχετικά με τα Πιστοποιητικά Συστήματος

Είμαστε παθιασμένοι με την ενεργοποίηση μιας ανθεκτικής, βασιζόμενης σε δεδομένα κυβερνοασφάλειας μέσω μιας ισχυρής αρχιτεκτονικής για την προστασία της Siemens.

Για να το επιτύχουμε αυτό, εφαρμόζουμε τη στρατηγική μας για την ασφάλεια στον κυβερνοχώρο στο έργο και χρησιμοποιούμε τη νέα υπηρεσία Enterprise Architecture για να χαρτογραφήσουμε τους στρατηγικούς μας στόχους σε μια αρχιτεκτονική-στόχο για να καθοδηγήσει όλη την Cybersecurity στην προσπάθεια υλοποίησής τους.

Οι κύριοι στόχοι του έργου είναι: Εξορθολογισμός της χρήσης πόρων μέσω μέτρων αυτοματοποίησης και αποτελεσματικότητας, ενίσχυση της ορατότητας και της διαφάνειας των κινδύνων κυβερνοασφάλειας σε ολόκληρη τη Siemens και αξιοποίηση της λήψης αποφάσεων βάσει δεδομένων για την ενίσχυση του αντιδραστικού και προληπτικού μετριασμού των κινδύνων.

Η ρύθμιση του έργου μας είναι δομημένη σε πέντε ροές εργασίας:

• Έννοια & διαδικασίες:

  Στόχος μας είναι να περιγράψουμε και να διατηρήσουμε τη διαδικασία αρχιτεκτονικής στο πλαίσιο της Siemens Cybersecurity, διασφαλίζοντας ότι είναι ενσωματωμένη στη στρατηγική και το χαρτοφυλάκιό μας. Και για να περιγράψουμε τα δομικά στοιχεία της αρχιτεκτονικής κυβερνοασφάλειας που βασίζεται σε δεδομένα, συμπεριλαμβανομένων δυνατοτήτων, εφαρμογών, εισόδων, εξόδων και εξαρτήσεων.

• Διακυβέρνηση:

  Στόχος μας είναι να καθορίσουμε τον τρόπο με τον οποίο τα δεδομένα κυβερνοασφάλειας μπορούν να συνδυαστούν για να καταστεί δυνατή η αυτόματη αναγνώριση και αξιολόγηση κινδύνων κυβερνοασφάλειας, να ενδυναμώσει τη λήψη αποφάσεων για τον μετριασμό τους και να αυξήσει τη συμμόρφωση με τις πολιτικές.

• Επίγνωση της κατάστασης:

  Στόχος μας είναι να σταθούμε στην πρώτη γραμμή και να είμαστε η φωνή του έργου EA, συγκεντρώνοντας τις προσδοκίες των χρηστών και παρέχοντας ολιστική στάση κινδύνου για την ενίσχυση της καθημερινής λειτουργίας των τελικών χρηστών.

• Πληροφόρηση ασφαλείας:

  Στόχος μας είναι να εφαρμόσουμε ένα σημείο λήψης αποφάσεων που υποστηρίζεται από τεχνητή νοημοσύνη και βασίζεται σε δεδομένα, το οποίο παρέχει αυτόματη αναγνώριση και μετριασμό των κινδύνων ασφάλειας στον κυβερνοχώρο της Siemens, ενισχύοντας τη λήψη αποφάσεων.

• Στοιχεία:

  Το Workstream Data βοηθά την Cybersecurity να υιοθετήσει μια προσέγγιση βασισμένη στα δεδομένα καθιερώνοντας διαφάνεια των δεδομένων, αποτρέποντας την επανάληψη δεδομένων και παρέχοντας καθοδήγηση σε ομάδες για τις στρατηγικές δεδομένων τους.

Το Πλαίσιο Πολιτικής Κυβερνοασφάλειας ισχύει για τη Siemens και τις συνδεδεμένες εταιρείες της. Συγκεκριμένα, περιέχει τις απαιτήσεις κυβερνοασφάλειας που καθορίζονται σε συγκεκριμένες πολιτικές, πρότυπα και γραμμές βάσης.

Όλες οι πολιτικές βασίζονται σε σχετικά βιομηχανικά πρότυπα όπως το ISO 2700x ή το IEC 62443. Για να διασφαλιστεί η συμμόρφωση με άλλα σημαντικά πρότυπα, γίνεται επίσης διαχείριση αναφορών σε αυτά. Ο κατάλογος των σχετικών προτύπων περιλαμβάνει, για παράδειγμα, το NIST 800-53, τις κατευθυντήριες γραμμές για τις ΤΠΕ και τη διαχείριση κινδύνων ασφάλειας από την ΕΑΤ και άλλα.

Τα προϊόντα, οι λύσεις και οι υπηρεσίες της Siemens περιέχουν σημαντικό αριθμό λογισμικού και εξαρτημάτων που σχετίζονται με την πληροφορική, τα οποία σε πολλές περιπτώσεις χρησιμοποιούνται στο πλαίσιο κρίσιμων υποδομών και θα μπορούσαν να εκτεθούν περισσότερο σε απειλές στον κυβερνοχώρο. Οι κανονιστικές απαιτήσεις και οι απαιτήσεις ασφάλειας για τους πελάτες αυξάνονται και πρέπει να αντιμετωπιστούν από τη Siemens.

Για να παραμείνουμε ανταγωνιστικοί και αξιόπιστοι, η πρωτοβουλία PSS σε επίπεδο Siemens ιδρύθηκε για να διασφαλίσει ότι τα προϊόντα, οι λύσεις και οι υπηρεσίες που πουλάμε επιτρέπουν στους πελάτες μας να λειτουργούν τις εγκαταστάσεις τους σε ένα ασφαλές περιβάλλον.

Για το σκοπό αυτό ισχύουν δεσμευτικές απαιτήσεις για το PSS και συστάσεις για εφαρμογή. Η συνεχής βελτίωση και η συνεχής μάθηση είναι θεμελιώδεις προϋποθέσεις για την επιτυχή υλοποίηση.

Είναι ζωτικής σημασίας να δημιουργηθεί κοινή ευαισθητοποίηση και κατανόηση μεταξύ όλων των εργαζομένων σχετικά με βασικές πτυχές της κυβερνοασφάλειας και η παροχή ειδικής κατάρτισης για ρόλους που σχετίζονται με την ασφάλεια στον κυβερνοχώρο. Για να ανταποκριθούμε στις προσδοκίες των πελατών μας για προϊόντα, λύσεις και υπηρεσίες τελευταίας τεχνολογίας από την Siemens όσον αφορά την τεχνολογία και την ασφάλεια και να διασφαλίσουμε την ικανότητα παροχής αυτής της ποιότητας αυξάνοντας συνεχώς την ευαισθητοποίηση της εταιρείας μας για την ασφάλεια στον κυβερνοχώρο και επιτρέποντας στους υπαλλήλους μας να λαμβάνουν υπόψη την ασφάλεια στον κυβερνοχώρο σε κάθε δραστηριότητα, βήμα και διαδικασία ολόκληρης της αλυσίδας αξίας, δημιουργήσαμε διάφορες δραστηριότητες. Για παράδειγμα:

• Μια υποχρεωτική παγκόσμια εκστρατεία ευαισθητοποίησης με στόχο την παροχή πληροφοριών σε όλους τους υπαλλήλους σχετικά με γενικά και σημαντικά θέματα ασφάλειας στον κυβερνοχώρο. Αυτές οι εκπαιδευτικές συνεδρίες είναι διαδικτυακές, χωρίς εμπόδια και πολυγλωσσικές. Επιπλέον, για μια ομάδα συγκεκριμένου ρόλου, έχουμε την εκπαίδευση «Άδεια οδήγησης». Αυτή η εκπαίδευση είναι υποχρεωτική και επιτρέπει στην ομάδα συγκεκριμένων ρόλων να εφαρμόζει όλες τις οδηγίες ασφάλειας IT/OT της Siemens. Με την επιτυχή ολοκλήρωση, οι συμμετέχοντες λαμβάνουν πιστοποιητικό που ισχύει για δύο χρόνια.
• Παρέχουμε επίσης πολλά, συνεχώς ενημερωμένα, μαθήματα κατάρτισης και ευκαιρίες μάθησης για όλους τους υπαλλήλους της Siemens. Αυτά είναι προσβάσιμα σε εθελοντική βάση. Αυτή η εκπαίδευση δεν αφορά μόνο τις βασικές γνώσεις αλλά και για συγκεκριμένους και εξειδικευμένους τομείς όπως το Product and Solution Security.
• Πιστεύουμε ότι η συνεχής μάθηση είναι το κλειδί για την επιτυχία και έτσι αναζητούμε συνεχώς νέους τρόπους για να εκπαιδεύσουμε και να ενημερώσουμε τους υπαλλήλους μας.

Διατηρείτε πάντα μια επισκόπηση: Για να βοηθήσουμε στην επίτευξη αυτού του στόχου, παρέχουμε μια εσωτερική πλατφόρμα κυβερνοασφάλειας που ονομάζεται «CyberMart», η οποία παρέχει μια ολιστική εικόνα των δεδομένων και των διαδικασιών κυβερνοασφάλειας στη Siemens.

Επιτρέπει τεκμηριωμένες και στοχευμένες επιχειρηματικές αποφάσεις παρέχοντας

• πλατφόρμα για ασφαλείς εφαρμογές που επεξεργάζονται πληροφορίες σχετικές με την ασφάλεια στον κυβερνοχώρο,
• ασφαλή δεξαμενή δεδομένων για δεδομένα σχετικά με την ασφάλεια στον κυβερνοχώρο καθώς και
• αναφορά ληκτότητας και κατάστασης σχετικά με διαδικασίες ασφάλειας (π.χ. προστασία περιουσιακών στοιχείων, διαχείριση εξαιρέσεων).

Μέρος αυτής της πλατφόρμας είναι ένας πίνακας ελέγχου ασφάλειας στον κυβερνοχώρο που δίνει επισκόπηση της επιχειρησιακής κατάστασης της ασφάλειας στον κυβερνοχώρο καθώς και των στρατηγικών σημείων δεδομένων. Οι πληροφορίες αυτές αποτελούν τη βάση για την τακτική υποβολή εκθέσεων εσωτερικής διαχείρισης στο Διοικητικό Συμβούλιο της Siemens και το Εποπτικό Συμβούλιο της Siemens.

Ο κύριος στόχος της Διαχείρισης Κινδύνων Cybersecurity Risk Management, η οποία αποτελεί μέρος της Siemens Enterprise Risk Management (ERM), είναι να επιτρέψει στη Siemens να αποκτήσει διαφάνεια σχετικά με τους κινδύνους κυβερνοασφάλειας και να τους διαχειριστεί επαρκώς σε αποδεκτό επίπεδο.
Το πλαίσιο διαχείρισης κινδύνων κυβερνοασφάλειας της Siemens βασίζεται σε διεθνή πρότυπα (ISO/IEC 27005 και ISF IRAM2), λαμβάνοντας υπόψη όλα τα επίπεδα, από το λειτουργικό έως το επιχειρησιακό, αλλά και χρησιμοποιώντας καθιερωμένες διαδικασίες και ρόλους ERM.
Οι κίνδυνοι κυβερνοασφάλειας που αναφέρονται και διαχειρίζονται μέχρι το επίπεδο του ERM εντοπίζονται στις ακόλουθες διαδικασίες και διαχειρίζονται στα αντίστοιχα εργαλεία:

• Συνολική διαδικασία διαχείρισης κινδύνων ασφάλειας στον κυβερνοχώρο
• Διαδικασία ταξινόμησης και προστασίας περιουσιακών στοιχείων για στοιχεία πληροφορικής και εγγράφων και πληροφοριών
• Ανάλυση απειλών και κινδύνων για προϊόντα, λύσεις και υπηρεσίες
• Διαδικασία διαχείρισης εξαιρέσεων για προσωρινές αποκλίσεις από το πλαίσιο κυβερνοασφάλειας της Siemens
• Διαχείριση κινδύνων προμηθευτών ασφάλειας στον κυβερνοχώρο

Διαχείριση κινδύνων προμηθευτών ασφάλειας στον κυβερνοχώρο:

Οι κίνδυνοι για την ασφάλεια στον κυβερνοχώρο πρέπει να διαχειρίζονται σε ολόκληρη την αλυσίδα εφοδιασμού. Η Siemens εξετάζει αυτό το θέμα ολιστικά, συμπεριλαμβάνοντας την πληροφορική, το OT και το PSS για την προμήθεια οριζόντιων και κάθετων εξαρτημάτων, προϊόντων και υπηρεσιών. Για το λόγο αυτό, οι κύριες δραστηριότητες για τη βελτίωση του επιπέδου της κυβερνοασφάλειας κατά μήκος της αλυσίδας εφοδιασμού περιλαμβάνουν:

• Διαφάνεια όσον αφορά την έκθεση στον κίνδυνο κυβερνοασφάλειας κατά μήκος της αλυσίδας εφοδιασμού
• Συστηματικές πρακτικές διαχείρισης κινδύνων που υποστηρίζονται από μεθοδολογία αξιολόγησης προμηθευτών τρίτων μερών, αντίστοιχα εργαλεία και πρότυπα για συμβατικές απαιτήσεις ασφάλειας στον κυβερνοχώρο προς προμηθευτές
• Ενεργή συμμετοχή στο Χάρτη Εμπιστοσύνης που οδηγεί στη 2η αρχή: «Ευθύνη σε όλη την ψηφιακή αλυσίδα εφοδιασμού» καθώς και διάφορες κοινότητες εμπειρογνωμόνων
• Τακτικές εκπαιδεύσεις και εκστρατείες ευαισθητοποίησης για διάφορες ομάδες-στόχους και περιπτώσεις χρήσης

Τι είναι ένα περιστατικό ασφάλειας πληροφοριών;

Ένα περιστατικό ασφάλειας πληροφοριών ορίζεται ως: Ο άμεσος ή έμμεσος συμβιβασμός της εμπιστευτικότητας, της ακεραιότητας ή/και της διαθεσιμότητας πληροφοριών σύμφωνα με την ταξινόμησή τους (με βάση το ISO27001 και το NIST 800-61 rev2). Τα παραδείγματα περιστατικών περιλαμβάνουν, αλλά δεν περιορίζονται σε αυτά:

1. Επιτυχημένες προσπάθειες απόκτησης μη εξουσιοδοτημένης πρόσβασης σε ένα σύστημα ή στα δεδομένα του
2. Διαταραχή ή άρνηση παροχής υπηρεσιών
3. Μη εξουσιοδοτημένη χρήση συστήματος επεξεργασίας ή αποθήκευσης δεδομένων
4. Αλλαγές στα χαρακτηριστικά υλικού, υλικολογισμικού ή λογισμικού συστήματος χωρίς τη γνώση, την οδηγία ή τη συγκατάθεση του κατόχου

Ανταπόκριση περιστατικών

Πραγματοποιούμε σε βάθος ανάλυση των περιστατικών Cyber Security. Για να το επιτύχουμε αυτό, συνεργαζόμαστε με επιχειρηματικούς υπεύθυνους, εσωτερικούς και εξωτερικούς δημοσιογράφους συμβάντων και ενδιαφερόμενους φορείς για τον συντονισμό των δραστηριοτήτων απόκρισης και τη διασφάλιση του κατάλληλου περιορισμού και έναρξης εργασιών αποκατάστασης. Επιπλέον, παρέχουμε το Incident Project manager, υποστηρίζοντας οργανωτικές και επικοινωνιακές πτυχές σοβαρών και πολύπλοκων περιστατικών.

Διαδικασία χειρισμού συμβάντων

• Ανίχνευση

  Συμβιβασμός της εμπιστευτικότητας, της ακεραιότητας και/ή της διαθεσιμότητας πληροφοριών.

• Απαντήστε

  Αναλύστε την επίθεση και ξεκινήστε αντίμετρα.

• Επανορθώστε

  Περιέχουν: Περιορισμός κακόβουλης δραστηριότητας, Μετριασμός: Αποτροπή περαιτέρω ζημιών, Επισκευή: Διόρθωση και πρόληψη επανεμφάνισης

• Ανάκτηση

  Επαναφορά της ακεραιότητας των επηρεαζόμενων συστημάτων σε μη υποβαθμισμένη λειτουργική κατάσταση.

Οι απειλές ασφαλείας αναγκάζουν τη βιομηχανία να αναλάβει δράση.

Οι επιθέσεις από εγκληματίες στον κυβερνοχώρο που μπορούν να χειραγωγήσουν ολόκληρες αλυσίδες αξίας συχνά οδηγούν όχι μόνο σε διακοπές παραγωγής αλλά και σε σημαντική ζημιά στην εικόνα σας. Για να προστατεύσετε την επιχειρησιακή σας τεχνολογία (OT) με τον καλύτερο δυνατό τρόπο, απαιτείται η διαφάνεια σχετικά με την έκθεση σε κίνδυνο των περιουσιακών στοιχείων σας. Αυτό επιτρέπει τον εντοπισμό και την εξάλειψη των απειλών στον κυβερνοχώρο προτού προκαλέσουν σημαντική ζημιά. Παρέχουμε περισσότερη ασφάλεια στον κυβερνοχώρο για τις διαδικασίες παραγωγής σας. Η ολιστική προσέγγισή μας έχει σχεδιαστεί για να εντοπίζει διαδικαστικά κενά ασφαλείας και τεχνικά τρωτά σημεία πριν αξιοποιηθούν από κακούς παράγοντες.

Περισσότερες πληροφορίες

Η τεχνητή νοημοσύνη εξυπηρετεί μια κρίσιμη λειτουργία στις προσπάθειες της Siemens για την ασφάλεια στον κυβερνοχώρο. Αναγνωρίζει δυναμικά και αντισταθμίζει απειλές ασφαλείας ανιχνεύοντας ανωμαλίες εντός του δικτύου και των συστημάτων μας. Αυτή η άμεση δράση κατά των παραβιάσεων ασφαλείας συμβάλλει στον περιορισμό της πιθανής βλάβης.

Επιπλέον, η τεχνητή νοημοσύνη ενισχύει την αποτελεσματικότητα των διαδικασιών κυβερνοασφάλειας αυτοματοποιώντας καθημερινές εργασίες. Αυτή η αυτοματοποίηση επιτρέπει στις ομάδες ασφαλείας μας να επικεντρωθούν σε πιο περίπλοκα και πιεστικά ζητήματα. Επιπλέον, η τεχνητή νοημοσύνη θεσπίζει προσαρμοσμένα πρωτόκολλα ασφαλείας με βάση την ανάλυση συμπεριφοράς των χρηστών, προωθώντας μια ακριβή στρατηγική ασφαλείας για κάθε τμήμα της Siemens.

Παρά τα πλεονεκτήματα, είναι σημαντικό να σημειωθεί ότι η τεχνητή νοημοσύνη μπορεί επίσης να είναι ένα εργαλείο για τους επιτιθέμενους στον κυβερνοχώρο, ενισχύοντας την πολυπλοκότητα των κακόβουλων ενεργειών τους. Αυτοί οι επιτιθέμενοι μπορεί να αξιοποιήσουν την τεχνητή νοημοσύνη για να αυτοματοποιήσουν τις επιθέσεις τους, να αποφύγουν συμβατικά συστήματα ασφαλείας ή ακόμη και να προσομοιώσουν την ανθρώπινη συμπεριφορά για να ξεφύγουν από τον

Ωστόσο, η Siemens είναι καλά προετοιμασμένη για αυτό το περίπλοκο σενάριο. Έχουμε θεσπίσει αυστηρά πρωτόκολλα ασφαλείας για να διασφαλίσουμε την ασφαλή και υπεύθυνη εφαρμογή της τεχνητής νοημοσύνης. Η προοδευτική προσέγγισή μας βοηθά στη διατήρηση της ακεραιότητας των συστημάτων μας και μας προστατεύει από πιθανούς κινδύνους, επιτρέποντάς μας έτσι να εκμεταλλευτούμε τα πλεονεκτήματα της τεχνητής νοημοσύνης στις λειτουργίες μας στον κυβερνοχώρο.

Τα οφέλη που αποκομίζει η Siemens από την τεχνητή νοημοσύνη υπερτερούν αποφασιστικά των κινδύνων. Μέσω σχολαστικής εφαρμογής και συνεχούς παρακολούθησης, ελαχιστοποιούμε αυτούς τους κινδύνους και ενισχύουμε τα οφέλη της τεχνητής νοημοσύνης. Κατά συνέπεια, η τεχνητή νοημοσύνη αναδύεται ως ένα ανεκτίμητο εργαλείο που ενισχύει σημαντικά την ικανότητά μας να αποτρέπουμε απειλές ασφαλείας.