Governance op het gebied van cyberbeveiliging

ISO 27001 is de internationale norm die de beste praktijken beschrijft voor een Information Security Management System (ISMS).

Het behalen van een geaccrediteerde certificering volgens ISO 27001 toont aan dat onze organisatie de beste praktijken op het gebied van informatiebeveiliging volgt en dat een onafhankelijke deskundige verifieert dat informatiebeveiliging wordt beheerd in overeenstemming met internationale beste praktijken en bedrijfsdoelstellingen.

Cybersecurity Governance voor Siemens is sinds november 2017 ISO 27001-gecertificeerd.

Sinds november 2023 zijn we gecertificeerd volgens de nieuwe norm ISO 27001:2022.

• Certificaat downloaden
• Meer informatie over systeemcertificaten

We streven ernaar om een veerkrachtige, datagestuurde Cyberbeveiliging mogelijk te maken door middel van een robuuste architectuur om Siemens te beschermen.

Om dit te bereiken implementeren we onze Cyberbeveiligingsstrategie in het project en gebruiken we de nieuw opgerichte Enterprise Architecture-service om onze strategische doelen in kaart te brengen in een doelarchitectuur die als leidraad dient voor de volledige implementatie van Cybersecurity.

De belangrijkste doelstellingen van het project zijn: het stroomlijnen van het gebruik van hulpbronnen door middel van automatiserings- en efficiëntiemaatregelen, het verbeteren van de zichtbaarheid en transparantie van cyberbeveiligingsrisico's in heel Siemens en het benutten van datagestuurde besluitvorming om reactieve en proactieve risicobeperking te versterken.

De opzet van ons project is gestructureerd in vijf werkstromen:

• Concept en processen:

  Ons doel is om het architectuurproces binnen Siemens Cybersecurity te beschrijven en te onderhouden, en ervoor te zorgen dat het geïntegreerd is met onze strategie en portfolio. En om de bouwstenen van onze datagestuurde cyberbeveiligingsarchitectuur te beschrijven, waaronder capaciteiten, toepassingen, inputs, outputs en afhankelijkheden.

• Governance:

  We willen bepalen hoe de cyberbeveiligingsgegevens kunnen worden gecombineerd om automatische identificatie en beoordeling van cyberbeveiligingsrisico's mogelijk te maken, de besluitvorming voor de beperking ervan mogelijk te maken en de naleving van het beleid te verbeteren.

• Situationeel bewustzijn:

  Ons doel is om een voortrekkersrol te spelen en de stem van het EA-project te zijn, door de verwachtingen van gebruikers te meten en een holistische risicohouding te bieden om de dagelijkse werking van eindgebruikers te verbeteren.

• Security-informatie:

  We streven ernaar een door AI ondersteund en datagestuurd beslissingspunt te implementeren dat zorgt voor automatische identificatie en beperking van de cyberbeveiligingsrisico's van Siemens door de besluitvorming te vergemakkelijken.

• Gegevens:

  Workstream Data helpt Cybersecurity om een datagestuurde aanpak te volgen door te zorgen voor transparantie van gegevens, het voorkomen van gegevensduplicatie en het bieden van begeleiding aan teams bij hun gegevensstrategieën.

Het Cybersecurity Policy Framework is van toepassing op Siemens en de aan haar gelieerde bedrijven. Het bevat met name de cyberbeveiligingsvereisten die zijn vastgelegd in specifieke beleidsregels, normen en basislijnen.

Alle beleidsmaatregelen zijn gebaseerd op relevante industriestandaarden zoals ISO 2700x of IEC 62443. Om ervoor te zorgen dat aan andere belangrijke normen wordt voldaan, worden ook verwijzingen daarnaar beheerd. De lijst van relevante normen omvat bijvoorbeeld NIST 800-53, de richtlijnen voor ICT- en veiligheidsrisicobeheer van de EBA, en andere.

Siemens-producten, -oplossingen en -diensten bevatten een aanzienlijke hoeveelheid software en IT-gerelateerde componenten, die in veel gevallen worden gebruikt in de context van kritieke infrastructuren en mogelijk meer worden blootgesteld aan cyberbedreigingen. De regelgeving en klantspecifieke beveiligingsvereisten nemen toe en Siemens moet hieraan voldoen.

Om concurrerend en betrouwbaar te blijven, werd het PSS-initiatief voor heel Siemens opgericht om ervoor te zorgen dat de producten, oplossingen en diensten die we verkopen onze klanten in staat stellen hun faciliteiten in een veilige omgeving te beheren.

Voor dit doel zijn bindende vereisten voor PSS en aanbevelingen voor de implementatie van kracht. Voortdurende verbetering en voortdurend leren zijn fundamentele voorwaarden voor een succesvolle realisatie.

Het is van cruciaal belang om bij alle werknemers een gemeenschappelijk bewustzijn en begrip te creëren over de basisaspecten van cyberbeveiliging en om specifieke opleidingen te geven voor functies die relevant zijn voor cyberbeveiliging. Om tegemoet te komen aan de verwachtingen van onze klanten ten aanzien van ultramoderne producten, oplossingen en diensten van Siemens op het gebied van technologie en beveiliging en om ervoor te zorgen dat deze kwaliteit kan worden geleverd door het bewustzijn van cyberbeveiliging in ons bedrijf voortdurend te vergroten en onze werknemers in staat te stellen bij elke activiteit, stap en proces van de hele waardeketen rekening te houden met cyberbeveiliging, hebben we verschillende activiteiten opgezet. Bijvoorbeeld:

• Een verplichte wereldwijde bewustmakingscampagne met als doel alle werknemers informatie te geven over algemene en belangrijke onderwerpen op het gebied van cyberbeveiliging. Deze trainingssessies zijn online, drempelvrij en meertalig. Daarnaast hebben we voor een rolspecifieke groep de opleiding „Rijbewijs”. Deze training is verplicht en stelt de rolspecifieke groep in staat om alle Siemens IT/OT-beveiligingsrichtlijnen toe te passen. Na succesvolle afronding ontvangen de deelnemers een certificaat dat twee jaar geldig is.
• We bieden ook verschillende, voortdurend bijgewerkte, trainingen en leermogelijkheden voor alle werknemers van Siemens. Deze zijn op vrijwillige basis toegankelijk. Deze training is niet alleen bedoeld voor basiskennis, maar ook voor specifieke en gespecialiseerde gebieden zoals Product and Solution Security.
• Wij zijn van mening dat continu leren een sleutel is voor succes en daarom zoeken we voortdurend naar nieuwe manieren om onze werknemers op te leiden en op de hoogte te houden.

Behoud altijd het overzicht: Om dit te helpen bereiken, bieden we een intern cyberbeveiligingsplatform, genaamd 'CyberMart', dat een holistisch beeld geeft van cyberbeveiligingsgegevens en -processen bij Siemens.

Het maakt geïnformeerde en gerichte zakelijke beslissingen mogelijk door een

• platform voor veilige toepassingen die relevante informatie op het gebied van cyberbeveiliging verwerken,
• beveiligde datapool voor relevante gegevens op het gebied van cyberbeveiliging, evenals
• volwassenheids- en statusrapportage over beveiligingsprocessen (bijv. bescherming van activa, afhandeling van uitzonderingen).

Onderdeel van dit platform is een dashboard voor cyberbeveiliging dat een overzicht van de operationele status van cyberbeveiliging en van strategische datapunten. Deze informatie vormt de basis voor regelmatige interne managementrapportering aan de raad van bestuur van Siemens en de raad van commissarissen van Siemens.

Het belangrijkste doel van Cybersecurity Risk Management, dat deel uitmaakt van Siemens Enterprise Risk Management (ERM), is om Siemens in staat te stellen transparantie te verkrijgen over zijn cyberbeveiligingsrisico's en deze adequaat te beheren tot een acceptabel niveau.
Het raamwerk voor Cybersecurity Risk Management van Siemens is gebaseerd op internationale normen (ISO/IEC 27005 en ISF IRAM2), waarbij rekening wordt gehouden met alle niveaus, van operationeel tot zakelijk, en waarbij ook gebruik wordt gemaakt van gevestigde ERM-processen en -rollen.
De cyberbeveiligingsrisico's die tot op ERM-niveau worden gerapporteerd en beheerd, worden geïdentificeerd in het kader van de volgende processen en beheerd binnen de respectieve instrumenten:

• Het algemene proces voor risicobeheer op het gebied van cyberbeveiliging
• Classificatie en bescherming van bedrijfsmiddelen voor IT en documenten en informatie
• Bedreigings- en risicoanalyse voor producten, oplossingen en diensten
• Proces voor het afhandelen van uitzonderingen voor tijdelijke afwijkingen van het Siemens-cyberbeveiligingskader
• Risicobeheer voor leveranciers van cyberbeveiliging

Risicobeheer voor leveranciers van cyberbeveiliging:

De cyberbeveiligingsrisico's moeten in de hele toeleveringsketen worden beheerd. Siemens beschouwt dit onderwerp holistisch, met inbegrip van IT, OT en PSS voor de aanschaf van horizontale en verticale componenten, producten en diensten. Om deze reden omvatten de belangrijkste activiteiten ter verbetering van het cyberbeveiligingsniveau in de toeleveringsketen:

• Transparantie met betrekking tot de blootstelling aan cyberbeveiligingsrisico's in de hele toeleveringsketen
• Systematische risicobeheerpraktijken, ondersteund door evaluatiemethoden voor leveranciers van derden, respectieve instrumenten en sjablonen voor contractuele cyberbeveiligingsvereisten voor leveranciers
• Actieve deelname aan het Charter of Trust vormt de basis voor het tweede principe: „Verantwoordelijkheid in de hele digitale toeleveringsketen” en verschillende gemeenschappen van deskundigen
• Regelmatige opleidingen en bewustmakingscampagnes voor verschillende doelgroepen en gebruikssituaties

Wat is een Information Security Incident?

Een Information Security Incident wordt gedefinieerd als: Het direct of indirect in gevaar brengen van vertrouwelijkheid, integriteit en/of beschikbaarheid van informatie volgens de classificatie ervan (gebaseerd op ISO27001 en NIST 800-61 rev2). Voorbeelden van incidenten omvatten, maar zijn niet beperkt tot:

1. Succesvolle pogingen om ongeoorloofde toegang te krijgen tot een systeem of de bijbehorende gegevens
2. Onderbreking of weigering van de dienst
3. Ongeautoriseerd gebruik van een systeem voor de verwerking of opslag van gegevens
4. Wijzigingen in de hardware, firmware of softwarekenmerken van het systeem zonder medeweten, instructies of toestemming van de eigenaar

Reactie op een incident

We voeren een grondige analyse uit van Cyber Security-incidenten. Om dit te bereiken, werken we samen met bedrijfsverantwoordelijke, interne en externe incidentverslaggevers en belanghebbenden om de responsactiviteiten te coördineren en ervoor te zorgen dat hersteltaken op de juiste manier worden ingeperkt en gestart. Bovendien bieden wij de projectmanager Incident, die ondersteuning biedt bij organisatorische en communicatieaspecten van ernstige en complexe incidenten.

Proces voor de behandeling van incidenten

• Detecteren

  Compromis van vertrouwelijkheid, integriteit en/of beschikbaarheid van informatie.

• Reageer

  Analyseer de aanval en neem tegenmaatregelen.

• Herstellen

  Bevat: Kwaadaardige activiteiten beperken, beperken: verdere schade voorkomen, herstellen: herstellen en voorkomen dat zich opnieuw voordoet

• Herstellen

  Herstel de integriteit van de getroffen systemen naar een niet-verslechterde operationele toestand.

Securitybedreigingen dwingen de sector om actie te ondernemen.

Aanvallen door cybercriminelen die hele waardeketens kunnen manipuleren, leiden vaak niet alleen tot productiestoringen, maar ook tot aanzienlijke imagoschade. Om uw operationele technologie (OT) zo goed mogelijk te beschermen, is transparantie nodig over de risicoblootstelling van uw activa. Zo kunnen cyberbeveiligingsbedreigingen worden geïdentificeerd en geëlimineerd voordat ze aanzienlijke schade aanrichten. Wij zorgen voor meer cyberbeveiliging voor uw productieprocessen. Onze holistische aanpak is ontworpen om hiaten in de procedurele beveiliging en technische kwetsbaarheden te identificeren voordat ze worden misbruikt door kwaadwillende actoren.

Meer informatie

AI vervult een cruciale functie in de cyberbeveiligingsinspanningen van Siemens. Het identificeert en bestrijdt op dynamische wijze veiligheidsbedreigingen door afwijkingen binnen ons netwerk en onze systemen te detecteren. Deze onmiddellijke actie tegen inbreuken op de beveiliging helpt mogelijke schade te beperken.

Bovendien verhoogt AI de effectiviteit van onze cyberbeveiligingsprocedures door alledaagse taken te automatiseren. Deze automatisering stelt onze beveiligingsteams in staat zich te concentreren op meer ingewikkelde en urgente problemen. Bovendien stelt AI aangepaste beveiligingsprotocollen in op basis van analyses van gebruikersgedrag, waarbij een nauwkeurige beveiligingsstrategie wordt bevorderd voor elke divisie binnen Siemens.

Ondanks de voordelen is het belangrijk op te merken dat AI ook een hulpmiddel kan zijn voor cyberaanvallers, waardoor hun kwaadaardige acties complexer worden. Deze aanvallers kunnen AI gebruiken om hun aanvallen te automatiseren, conventionele beveiligingssystemen te omzeilen of zelfs menselijk gedrag te simuleren om aan detectie te ontsnappen.

Siemens is echter goed voorbereid op dit ingewikkelde scenario. We hebben strenge beveiligingsprotocollen opgesteld om de veilige en verantwoorde toepassing van AI te garanderen. Onze vooruitstrevende aanpak helpt om de integriteit van onze systemen te behouden en ons te beschermen tegen mogelijke risico's, zodat we de voordelen van AI kunnen benutten bij onze cyberbeveiligingsactiviteiten.

De voordelen die Siemens uit AI haalt, wegen ruimschoots op tegen de risico's. Door zorgvuldige implementatie en voortdurende bewaking minimaliseren we deze risico's en vergroten we de voordelen van AI. AI komt dus naar voren als een instrument van onschatbare waarde dat ons vermogen om veiligheidsbedreigingen af te weren aanzienlijk verbetert.