Cybersecurity kibersigurnošću

ISO 27001 je međunarodni standard koji opisuje najbolje prakse za sustav upravljanja informacijskom sigurnošću (ISMS).

Postizanje akreditirane certifikacije prema ISO 27001 pokazuje da naša organizacija slijedi najbolju praksu informacijske sigurnosti i pruža neovisnu stručnu provjeru da se informacijskom sigurnošću upravlja u skladu s najboljom međunarodnom praksom i poslovnim ciljevima.

Cybersecurity kibersigurnošću za Siemens certificirano je ISO 27001 od studenog 2017.

Certificirani smo prema novom standardu ISO 27001:2022 od studenog 2023.

• Preuzmi certifikat
• Saznajte više o certifikatima sustava

Strastveni smo u tome da omogućimo otpornu kibernetičku sigurnost zasnovanu na podacima kroz robusnu arhitekturu za zaštitu Siemens.

Da bismo to postigli, implementiramo našu strategiju Cybersecurity u projekt i koristimo novostvorenu uslugu Enterprise Architecture za mapiranje naših strateških ciljeva u ciljanu arhitekturu kako bismo usmjerili cijelu Cybersecurity u njihovim naporima implementacije.

Glavni ciljevi projekta su: Pojednostavljivanje korištenja resursa putem mjera automatizacije i učinkovitosti, poboljšanje vidljivosti i transparentnosti kibersigurnosnih rizika u cijelom Siemensu i iskorištavanje odlučivanja temeljenog na podacima za jačanje reaktivnog i proaktivnog ublažavanja rizika.

Naše postavljanje projekta strukturirano je u pet radnih tokova:

• Koncept i procesi:

  Naš je cilj opisati i održati proces arhitekture unutar Siemens Cybersecurity, osiguravajući da je integriran s našom strategijom i portfeljem. I da opišemo gradivne blokove naše arhitekture kibersigurnosti zasnovane na podacima, uključujući mogućnosti, aplikacije, ulaze, izlaze i ovisnosti.

• Governance:

  Cilj nam je definirati kako se podaci o kibersigurnosti mogu kombinirati kako bi se omogućila automatska identifikacija i procjena rizika kibersigurnosti, osnažilo donošenje odluka za njegovo ublažavanje i povećanje usklađenosti s politikama.

• Svjesnost o situaciji:

  Naš cilj je stajati u prvom planu i biti glas EA projekta, prikupljajući očekivanja korisnika i pružajući holistički položaj rizika za poboljšanje svakodnevnog rada krajnjih korisnika.

• Sigurnosna obavještajna informacija:

  Cilj nam je implementirati točku odlučivanja koja podržava umjetna inteligencija i temelji se na podacima koja omogućuje automatsku identifikaciju i ublažavanje rizika od kibersigurnosti tvrtke Siemens osnažujući donošenje odluka.

• Podaci:

  Workstream Data pomaže Cybersecurity da usvoji pristup zasnovan na podacima uspostavljanjem transparentnosti podataka, sprječavanjem dupliciranja podataka i pružanjem smjernica timovima za njihove strategije podataka.

Okvir politike kibersigurnosti primjenjiv je na Siemens i njegove povezane tvrtke. Konkretno, sadrži zahtjeve kibersigurnosti utvrđene u posebnim politikama, standardima i osnovnim linijama.

Sva pravila temelje se na relevantnim industrijskim standardima kao što su ISO 2700x ili IEC 62443. Kako bi se osigurala usklađenost s drugim važnim standardima, također se upravlja referencama na njih. Popis relevantnih standarda uključuje, primjerice, NIST 800-53, Smjernice EBA-e o upravljanju IKT-om i sigurnosnim rizicima i druge.

Siemensovi proizvodi, rješenja i usluge sadrže značajnu količinu softvera i komponenti povezanih s IT-om, koje se u mnogim slučajevima koriste u kontekstu kritične infrastrukture i mogu postati izloženije kibernetičkim prijetnjama. Regulatorni zahtjevi i zahtjevi za sigurnost specifičnih za kupce povećavaju se i Siemens ih mora riješiti.

Kako bi ostali konkurentni i pouzdani, osnovana je PSS Inicijativa za cijelu Siemens kako bi se osiguralo da proizvodi, rješenja i usluge koje prodajemo omogućuju našim kupcima da upravljaju svojim objektima u sigurnom okruženju.

U tu svrhu postoje obvezujući zahtjevi za PSS i preporuke za provedbu. Kontinuirano usavršavanje i kontinuirano učenje temeljni su preduvjeti za uspješnu realizaciju.

Od vitalne je važnosti stvoriti zajedničku svijest i razumijevanje svih zaposlenika o osnovnim aspektima kibernetičke sigurnosti te osigurati posebnu obuku za uloge relevantne za kibernetičku sigurnost. Kako bismo odgovorili na očekivanja naših kupaca o najsuvremenijim proizvodima, rješenjima i uslugama tvrtke Siemens u pogledu tehnologije i sigurnosti te osigurali mogućnost pružanja takve kvalitete kontinuiranim povećanjem svijesti o kibernetičkoj sigurnosti u našoj tvrtki i omogućujući našim zaposlenicima da razmatraju kibersigurnost u svakoj aktivnosti, koraku i procesu cijelog lanca vrijednosti, stvorili smo nekoliko aktivnosti. Na primjer:

• Obavezna globalna kampanja podizanja svijesti s ciljem pružanja informacija svim zaposlenicima o općim i važnim temama kibernetičke sigurnosti. Ovi treninzi su zasnovani na webu, bez prepreka i višejezični. Osim toga, za grupu specifičnu za uloge imamo obuku "Vozačka dozvola". Ova obuka je obavezna i omogućuje grupi specifičnoj za uloge primjenu svih Siemensovih IT/OT sigurnosnih smjernica. Nakon uspješnog završetka sudionici dobivaju certifikat koji vrijedi dvije godine.
• Također pružamo nekoliko kontinuirano ažuriranih tečajeva za obuku i mogućnosti učenja za sve zaposlenike tvrtke Siemens. Njima se može pristupiti na dobrovoljnoj osnovi. Ova obuka nije samo za osnovna znanja već i za specifična i specijalizirana područja poput sigurnosti proizvoda i rješenja.
• Vjerujemo da je kontinuirano učenje ključ uspjeha i zato kontinuirano tražimo nove načine osposobljavanja i ažuriranja naših zaposlenika.

Uvijek održavajte pregled: Kako bismo to postigli, nudimo internu platformu za kibersigurnost pod nazivom 'CyberMart' koja daje holistički pogled na podatke i procese kibersigurnosti u Siemensu.

Omogućuje informirane i ciljane poslovne odluke pružanjem

• platforma za sigurne aplikacije koje obrađuju relevantne informacije o kibernetičkoj sigurnosti,
• siguran bazen podataka za relevantne podatke o kibernetičkoj sigurnosti, kao i
• izvješćivanje o dospijevanju i statusu sigurnosnih procesa (npr. zaštita imovine, postupanje s iznimkama).

Dio ove platforme je nadzorna ploča za kibernetičku sigurnost koja daje pregled operativnog statusa kibersigurnosti kao i strateških podatkovnih točaka. Te su informacije osnova za redovito unutarnje izvješćivanje uprave Upravnom odboru Siemensa i Nadzornom Siemens Siemensa.

Glavni cilj upravljanja rizicima Cybersecurity, koji je dio Siemens Enterprise Risk Management (ERM), jest omogućiti Siemensu da postigne transparentnost u pogledu svojih kibersigurnosnih rizika i da njima adekvatno upravlja na prihvatljivu razinu.
Siemensov okvir za upravljanje rizicima Cybersecurity temelji se na međunarodnim standardima (ISO/IEC 27005 i ISF IRAM2), uzimajući u obzir sve razine, od operativnih do poduzetničkih, te također koristeći uspostavljene ERM procese i uloge.
Rizici kibersigurnosti prijavljeni i kojima se upravlja do razine ERM-a identificiraju se unutar sljedećih procesa i upravljaju se u okviru odgovarajućih alata:

• Opći postupak upravljanja rizicima Cybersecurity
• Postupak klasifikacije i zaštite imovine za IT i dokumente i informacijsku imovinu
• Analiza prijetnji i rizika za proizvode, rješenja i usluge
• Postupak rješavanja iznimaka za privremena odstupanja od Siemens okvira za kibersigurnost
• Upravljanje rizicima dobavljača kibersigurnosti

Upravljanje rizicima dobavljača kibernetičke sigurnosti:

Rizicima kibernetičke sigurnosti potrebno je upravljati u cijelom lancu opskrbe. Siemens ovu temu razmatra holistički, uključujući IT, OT i PSS za nabavku horizontalnih i vertikalnih komponenti, proizvoda i usluga. Iz tog razloga, glavne aktivnosti za poboljšanje razine kibersigurnosti u lancu opskrbe uključuju:

• Transparentnost u pogledu izloženosti riziku kibersigurnosti u lancu opskrbe
• Sustavne prakse upravljanja rizicima podržane metodologijom procjene dobavljača trećih strana, odgovarajućim alatima i predlošcima za ugovorne zahtjeve kibersigurnosti dobavljača
• Aktivno sudjelovanje u Povelji povjerenja pokreće drugo načelo: "Odgovornost u cijelom digitalnom lancu opskrbe", kao i razne stručne zajednice
• Redoviti treninzi i kampanje podizanja svijesti za različite ciljne skupine i slučajeve primjene

Što je incident u informacijskoj Security?

Incident u informacijskoj Security definira se kao: Izravni ili neizravni kompromis povjerljivosti, integriteta ili dostupnosti informacija prema njihovoj klasifikaciji (na temelju ISO27001 i NIST 800-61 rev2) .Primjeri incidenata uključuju, ali nisu ograničeni na:

1. Uspješni pokušaji dobivanja neovlaštenog pristupa sustavu ili njegovim podacima
2. Poremećaj ili uskraćivanje usluge
3. Neovlašteno korištenje sustava za obradu ili pohranu podataka
4. Promjene karakteristika hardvera sustava, firmvera ili softvera bez znanja, uputa ili pristanka vlasnika

Odgovor na incident

Izvodimo detaljnu analizu incidenata kibernetičke Security. Da bismo to postigli, surađujemo s poslovno odgovornim, internim i vanjskim izvjestiteljima o incidentima i dionicima kako bismo koordinirali aktivnosti reagiranja i osigurali pravilno obuzdavanje i pokretanje zadataka sanacije. Nadalje, pružamo voditelja projekta Incident Project, pružajući podršku u organizacijskim i komunikacijskim aspektima teških i složenih incidenata.

Postupak rukovanja incidentima

• Otkrivanje

  Kompromis povjerljivosti, integriteta i/ili dostupnosti informacija.

• Odgovorite

  Analizirajte napad i pokrenite protumjere.

• Remedirajte

  Sadrži: Ograničite zlonamjerne aktivnosti, ublažite: Spriječite daljnje oštećenje, Popravak: Popravite i spriječite ponovno pojavljivanje

• Oporavak

  Vratite integritet pogođenih sustava u nedegradirano operativno stanje.

Sigurnosne prijetnje prisiljavaju industriju na akciju.

Napadi cyber kriminalaca koji mogu manipulirati cijelim lancima vrijednosti često rezultiraju ne samo prekidima proizvodnje, već i znatnom štetom vašem imidžu. Da biste zaštitili svoju operativnu tehnologiju (OT) na najbolji mogući način, potrebno je dobiti transparentnost u pogledu izloženosti riziku vaše imovine. To omogućuje identificiranje i uklanjanje prijetnji kibernetičkoj sigurnosti prije nego što nanesu značajnu štetu. Pružamo više kibersigurnosti za vaše proizvodne procese. Naš holistički pristup osmišljen je tako da identificira proceduralne sigurnosne praznine i tehničke ranjivosti prije nego što ih loši akteri iskoriste.

Više informacija

AI služi ključnu funkciju u Siemensovim nastojanjima u kibernetičkoj sigurnosti. Dinamički identificira i suzbija sigurnosne prijetnje otkrivanjem anomalija unutar naše mreže i sustava. Ova neposredna akcija protiv kršenja sigurnosti pomaže u smanjenju potencijalne štete.

Štoviše, AI povećava učinkovitost naših postupaka kibernetičke sigurnosti automatizacijom svakodnevnih zadataka. Ova automatizacija omogućuje našim sigurnosnim timovima da se koncentriraju na zamršenija i hitnija pitanja. Osim toga, AI postavlja prilagođene sigurnosne protokole temeljene na analizi ponašanja korisnika, potičući preciznu sigurnosnu strategiju za svaki odjel unutar Siemensa.

Unatoč prednostima, važno je napomenuti da AI može biti i alat za cyber napadače, povećavajući složenost njihovih zlonamjernih radnji. Ovi napadači mogu iskoristiti AI kako bi automatizirali svoje napade, izbjegli konvencionalne sigurnosne sustave ili čak simulirali ljudsko ponašanje kako bi izbjegli otkrivanje.

Ipak, Siemens je dobro pripremljen za ovaj zamršeni scenarij. Uspostavili smo stroge sigurnosne protokole kako bismo osigurali sigurnu i odgovornu primjenu AI. Naš napredni pristup pomaže u održavanju integriteta naših sustava i štiti nas od potencijalnih rizika, omogućujući nam tako iskorištavanje prednosti umjetne inteligencije u našim operacijama kibersigurnosti.

Prednosti koje Siemens ostvaruje od umjetne inteligencije odlučno nadmašuju rizike. Pažljivom provedbom i stalnim nadzorom minimiziramo te rizike i pojačavamo prednosti umjetne inteligencije. Slijedom toga, AI se pojavljuje kao neprocjenjiv instrument koji značajno poboljšava našu sposobnost sprječavanja sigurnosnih prijetnji.