Cybersecurity Governance

ISO 27001 er den internasjonale standarden som beskriver beste praksis for et Information Security Management System (ISMS).

Å oppnå en akkreditert sertifisering i henhold til ISO 27001 viser at organisasjonen vår følger beste praksis for informasjonssikkerhet og gir en uavhengig ekspertbekreftelse på at informasjonssikkerhet styres i tråd med internasjonal beste praksis og forretningsmål.

Cybersecurity Governance for Siemens er ISO 27001-sertifisert siden november 2017.

Vi har blitt sertifisert i henhold til den nye standarden ISO 27001:2022 siden november 2023.

• Last ned sertifikat
• Finn ut mer om systemsertifikater

Vi brenner for å muliggjøre en robust, datadrevet Cybersecurity gjennom en robust arkitektur for å beskytte Siemens.

For å oppnå dette implementerer vi vår Cybersecurity-strategi i prosjektet og bruker den nyopprettede Enterprise Architecture-tjenesten for å kartlegge våre strategiske mål i en målarkitektur for å veilede all Cybersecurity i implementeringsinnsatsen.

Prosjektets hovedmål er: Effektivisering av ressursutnyttelse gjennom automatiserings- og effektivitetstiltak, økt synlighet og gjennomsiktighet av cybersikkerhetsrisikoer på tvers av Siemens og utnytte datadrevet beslutningstaking for å styrke reaktiv og proaktiv risikoreduksjon.

Vårt prosjektoppsett er strukturert i fem arbeidsstrømmer:

• Konsept og prosesser:

  Vårt mål er å beskrive og vedlikeholde arkitekturprosessen innen Siemens Cybersecurity, og sørge for at den er integrert med vår strategi og portefølje. Og for å beskrive byggesteinene i vår datadrevne cybersikkerhetsarkitektur, inkludert funksjoner, applikasjoner, innganger, utganger og avhengigheter.

• Governance:

  Vi tar sikte på å definere hvordan cybersikkerhetsdataene kan kombineres for å muliggjøre automatisk identifisering og vurdering av cybersikkerhetsrisiko, styrke beslutningstaking for å redusere dem og øke etterlevelsen av retningslinjer.

• Situasjonsbevissthet:

  Vårt mål er å stå i forkant og være stemmen til EA-prosjektet, samle brukernes forventninger og tilby helhetlig risikoholdning for å forbedre den daglige driften av sluttbrukerne.

• Security Intelligence:

  Vi tar sikte på å implementere et AI-støttet og datadrevet beslutningspunkt som gir automatisk Siemens cybersikkerhetsrisikoidentifisering og reduksjon ved å styrke beslutningstaking.

• Dato:

  Workstream Data hjelper Cybersecurity med å ta i bruk en datadrevet tilnærming ved å etablere åpenhet i data, forhindre dataduplikering og gi veiledning til team for deres datastrategier.

Cybersecurity Policy Framework gjelder for Siemens og dets tilknyttede selskaper. Spesielt inneholder den cybersikkerhetskravene som er fastsatt i spesifikke retningslinjer, standarder og grunnlinjer.

Alle retningslinjer er basert på relevante industristandarder som ISO 2700x eller IEC 62443. For å sikre overholdelse av andre viktige standarder, administreres også referanser til dem. Listen over relevante standarder inkluderer for eksempel NIST 800-53, Retningslinjer for IKT og sikkerhetsrisikostyring fra EBA, og andre.

Siemens produkter, løsninger og tjenester inneholder en betydelig mengde programvare og IT-relaterte komponenter, som i mange tilfeller brukes i sammenheng med kritisk infrastruktur og kan bli mer utsatt for cybertrusler. Forskriftsmessige og kundespesifikke sikkerhetskrav øker og må håndteres av Siemens.

For å holde seg konkurransedyktig og pålitelig ble PSS-initiativet for Siemens etablert for å bidra til å sikre at produktene, løsningene og tjenestene vi selger gjør det mulig for kundene våre å drive sine anlegg i et sikkert miljø.

For dette formålet er bindende krav til PSS og anbefalinger for implementering på plass. Kontinuerlig forbedring og kontinuerlig læring er grunnleggende forutsetninger for vellykket realisering.

Det er av avgjørende betydning å skape felles bevissthet og forståelse blant alle ansatte om grunnleggende aspekter av cybersikkerhet og gi dedikert spesifikk opplæring for cybersikkerhetsrelevante roller. For å svare på våre kunders forventninger til toppmoderne produkter, løsninger og tjenester fra Siemens når det gjelder teknologi og sikkerhet, og for å sikre muligheten til å levere slik kvalitet ved kontinuerlig å øke bevisstheten om cybersikkerhet i selskapet vårt og gjøre det mulig for våre ansatte å vurdere cybersikkerhet i hver aktivitet, trinn og prosess i hele verdikjeden, har vi opprettet flere aktiviteter. For eksempel:

• En obligatorisk global bevissthetskampanje med mål om å gi alle ansatte informasjon om generelle og viktige cybersikkerhetstemaer. Disse treningsøktene er nettbaserte, barrierefrie og flerspråklige. I tillegg, for en rollespesifikk gruppe, har vi opplæringen «førerkort». Denne opplæringen er obligatorisk og gjør det mulig for den rollespesifikke gruppen å anvende alle Siemens IT/OT-sikkerhetsretningslinjer. Etter vellykket gjennomføring mottar deltakerne et sertifikat som er gyldig i to år.
• Vi tilbyr også flere, kontinuerlig oppdaterte, opplæringskurs og læringsmuligheter for alle Siemens-ansatte. Disse kan nås på frivillig basis. Denne opplæringen er ikke bare for grunnleggende kunnskap, men også for spesifikke og spesialiserte områder som Product and Solution Security.
• Vi tror at kontinuerlig læring er en nøkkel til suksess, og derfor søker vi kontinuerlig nye måter å trene og oppdatere våre ansatte på.

Ha alltid oversikt: For å bidra til å oppnå dette tilbyr vi en intern cybersikkerhetsplattform kalt 'CyberMart' som gir et helhetlig syn på cybersikkerhetsdata og prosesser hos Siemens.

Det muliggjør informerte og målrettede forretningsbeslutninger ved å tilby en

• plattform for sikre applikasjoner som behandler cybersikkerhetsrelevant informasjon,
• sikker datapool for cybersikkerhetsrelevante data samt
• forfall- og statusrapportering om sikkerhetsprosesser (f.eks. aktivabeskyttelse, unntakshåndtering).

En del av denne plattformen er et cybersecurity-dashbord som gir en oversikt over driftsstatus for cybersikkerhet samt strategiske datapunkter. Denne informasjonen er grunnlaget for regelmessig intern ledelsesrapportering til Siemens Management Board og Siemens Representative Board.

Hovedmålet med Cybersecurity Risk Management, som er en del av Siemens Enterprise Risk Management (ERM), er å gjøre det mulig for Siemens å oppnå åpenhet om sine cybersikkerhetsrisikoer og å håndtere disse tilstrekkelig til et akseptabelt nivå.
Siemens Cybersecurity Risk Management-rammeverk er basert på internasjonale standarder (ISO/IEC 27005 og ISF IRAM2), og tar hensyn til alle nivåer, fra drift til bedrift, og bruker også etablerte ERM-prosesser og roller.
Cybersikkerhetsrisikoene som rapporteres og håndteres opp til ERM-nivå identifiseres innenfor følgende prosesser og administreres innenfor de respektive verktøyene:

• Generell cybersikkerhetsrisikostyringsprosess
• Prosess for klassifisering og beskyttelse av eiendeler for IT og dokumenter og informasjonsmidler
• Trussel- og risikoanalyse for produkter, løsninger og tjenester
• Unntakshåndteringsprosess for midlertidige avvik fra Siemens cybersikkerhetsrammeverk
• Risikostyring av leverandører av cybersikkerhet

Risikostyring av leverandører av cybersikkerhet:

Risikoen for cybersikkerhet må håndteres langs hele forsyningskjeden. Siemens vurderer dette emnet helhetlig, inkludert IT, OT og PSS for anskaffelse av horisontale og vertikale komponenter, produkter og tjenester. Av denne grunn inkluderer hovedaktivitetene for å forbedre cybersikkerhetsnivået langs forsyningskjeden:

• Åpenhet om cybersikkerhetsrisikoeksponering langs forsyningskjeden
• Systematisk risikostyringspraksis støttet av tredjeparts leverandørvurderingsmetodikk, respektive verktøy og maler for kontraktsmessige cybersikkerhetskrav til leverandører
• Aktiv deltakelse innenfor Charter of Trust som driver det andre prinsippet: «Ansvar gjennom hele den digitale forsyningskjeden» samt ulike ekspertmiljøer
• Regelmessige opplæringer og bevisstgjøringskampanjer for ulike målgrupper og brukstilfeller

Hva er en Information Security Incident?

En Information Security-hendelse er definert som: Direkte eller indirekte kompromittering av konfidensialitet, integritet og/eller tilgjengelighet av informasjon i henhold til klassifiseringen (basert på ISO27001 og NIST 800-61 rev2) .Eksempler på hendelser inkluderer, men er ikke begrenset til:

1. Vellykkede forsøk på å få uautorisert tilgang til et system eller dets data
2. Forstyrrelse eller tjenestenektelse
3. Uautorisert bruk av et system for behandling eller lagring av data
4. Endringer i systemmaskinvare, fastvare eller programvareegenskaper uten eierens viten, instruksjon eller samtykke

Hendelsesrespons

Vi utfører grundig analyse av Cyber Security-hendelser. For å oppnå dette samarbeider vi med forretningsansvarlige, interne og eksterne hendelsesreportere og interessenter for å koordinere responsaktiviteter og sikre riktig inneslutning og igangsetting av utbedringsoppgaver. Videre tilbyr vi Incident Project Manager, som støtter organisatoriske og kommunikasjonsaspekter ved alvorlige og komplekse hendelser.

Prosess for håndtering av hendelser

• Oppdage

  Kompromiss av konfidensialitet, integritet og/eller tilgjengelighet av informasjon.

• Svar

  Analyser angrep og iverksette mottiltak.

• Avhjelpe

  Inneholder: Begrens ondsinnet aktivitet, Reduser: Forhindre ytterligere skade, Reparere: Fikse og forhindre gjentakelse

• Gjenopprette

  Gjenopprett integriteten til berørte systemer til en ikke-forringet driftstilstand.

Security-trusler tvinger bransjen til å ta grep.

Angrep fra cyberkriminelle som kan manipulere hele verdikjeder resulterer ofte ikke bare i produksjonsavbrudd, men også i betydelig skade på bildet ditt. For å beskytte driftsteknologien (OT) på best mulig måte, er det nødvendig å få åpenhet om risikoeksponeringen for eiendelene dine. Dette gjør at cybersikkerhetstrusler kan identifiseres og elimineres før de forårsaker betydelig skade. Vi gir mer cybersikkerhet for produksjonsprosessene dine. Vår helhetlige tilnærming er designet for å identifisere prosessuelle sikkerhetshull og tekniske sårbarheter før de utnyttes av dårlige aktører.

Mer informasjon

AI tjener en avgjørende funksjon i Siemens' cybersikkerhetsarbeid. Den identifiserer og motvirker sikkerhetstrusler dynamisk ved å oppdage uregelmessigheter i nettverket og systemene våre. Denne umiddelbare handlingen mot sikkerhetsbrudd bidrar til å begrense potensiell skade.

Videre øker AI effektiviteten til våre cybersikkerhetsprosedyrer ved å automatisere verdslige oppgaver. Denne automatiseringen gjør det mulig for sikkerhetsteamene våre å konsentrere seg om mer intrikate og presserende problemer. I tillegg etablerer AI tilpassede sikkerhetsprotokoller basert på brukeratferdsanalyse, og fremmer en presis sikkerhetsstrategi for hver divisjon innen Siemens.

Til tross for fordelene, er det viktig å merke seg at AI også kan være et verktøy for cyberangripere, noe som øker kompleksiteten i deres ondsinnede handlinger. Disse angriperne kan utnytte AI for å automatisere angrepene sine, unngå konvensjonelle sikkerhetssystemer, eller til og med simulere menneskelig atferd for å unnslippe deteksjon.

Ikke desto mindre er Siemens godt forberedt på dette intrikate scenariet. Vi har etablert strenge sikkerhetsprotokoller for å sikre sikker og ansvarlig anvendelse av AI. Vår fremtidsrettede tilnærming hjelper til med å opprettholde integriteten til systemene våre og beskytte oss mot potensielle risikoer, slik at vi kan utnytte fordelene med AI i våre cybersikkerhetsoperasjoner.

Fordelene Siemens får fra AI oppveier avgjørende risikoen. Gjennom grundig implementering og kontinuerlig overvåking minimerer vi disse risikoene og forsterker fordelene med AI. Følgelig fremstår AI som et uvurderlig instrument som vesentlig forbedrer vår evne til å avverge sikkerhetstrusler.