Cybersecurity

ISO 27001 je medzinárodná norma, ktorá popisuje osvedčené postupy pre systém riadenia Security informácií (ISMS).

Dosiahnutie akreditovanej certifikácie podľa ISO 27001 dokazuje, že naša organizácia dodržiava osvedčené postupy v oblasti informačnej bezpečnosti a poskytuje nezávislé odborné overovanie toho, že bezpečnosť informácií je riadená v súlade s najlepšími medzinárodnými postupmi a obchodnými cieľmi.

Cybersecurity pre Siemens má certifikát ISO 27001 od novembra 2017.

Od novembra 2023 sme certifikovaní podľa novej normy ISO 27001:2022.

• Stiahnite si certifikát
• Prečítajte si viac o systémových certifikátoch

Sme nadšení pre umožnenie odolnej kybernetickej bezpečnosti založenej na údajoch prostredníctvom robustnej architektúry na ochranu spoločnosti Siemens.

Aby sme to dosiahli, implementujeme našu stratégiu Cybersecurity do projektu a využívame novovytvorenú službu Enterprise Architecture na zmapovanie našich strategických cieľov do cieľovej architektúry, ktorá vedie celú Cybersecurity bezpečnosť v ich implementačnom úsilí.

Hlavnými cieľmi projektu sú: zefektívnenie využívania zdrojov prostredníctvom opatrení na automatizáciu a efektívnosť, zvýšenie viditeľnosti a transparentnosti rizík kybernetickej bezpečnosti v rámci spoločnosti Siemens a využitie rozhodovania založeného na údajoch na posilnenie reaktívneho a proaktívneho zmierňovania rizík.

Náš projekt je štruktúrovaný do piatich pracovných tokov:

• Koncepcia a procesy:

  Naším cieľom je opísať a udržiavať architektonický proces v rámci Siemens Cybersecurity a zabezpečiť, aby bol integrovaný s našou stratégiou a portfóliom. A opísať stavebné kamene našej architektúry kybernetickej bezpečnosti založenej na údajoch vrátane možností, aplikácií, vstupov, výstupov a závislostí.

• Governance:

  Naším cieľom je definovať, ako je možné kombinovať údaje o kybernetickej bezpečnosti s cieľom umožniť automatickú identifikáciu a hodnotenie rizika kybernetickej bezpečnosti, posilniť rozhodovanie o ich zmierňovaní a zvýšiť súlad s politikami.

• Situačné povedomie:

  Naším cieľom je stáť v popredí a byť hlasom projektu EA, zhromažďovať očakávania používateľov a poskytovať holistické riziká na zlepšenie každodennej prevádzky koncových používateľov.

• Security spravodajstvo:

  Naším cieľom je implementovať rozhodovací bod podporovaný AI a založený na údajoch, ktorý poskytuje automatickú identifikáciu a zmierňovanie rizík kybernetickej bezpečnosti spoločnosti Siemens prostredníctvom posilnenia rozhodovania.

• Údaje:

  Workstream Data pomáhajú kybernetickej bezpečnosti prijať prístup založený na údajoch tým, že vytvárajú transparentnosť údajov, zabraňujú duplikácii údajov a poskytujú tímom usmernenia pre ich dátové stratégie.

Rámec politiky kybernetickej bezpečnosti sa vzťahuje na spoločnosť Siemens a jej pridružené spoločnosti. Obsahuje najmä požiadavky na kybernetickú bezpečnosť stanovené v osobitných politikách, normách a základných líniách.

Všetky politiky sú založené na príslušných priemyselných normách ako ISO 2700x alebo IEC 62443. Na zabezpečenie súladu s inými dôležitými normami sa riadia aj odkazy na ne. Zoznam príslušných noriem zahŕňa napríklad NIST 800-53, usmernenia EBA o riadení IKT a bezpečnostných rizík a ďalšie.

Produkty, riešenia a služby spoločnosti Siemens obsahujú značné množstvo softvéru a komponentov súvisiacich s IT, ktoré sa v mnohých prípadoch používajú v kontexte kritických infraštruktúr a môžu byť viac vystavené kybernetickým hrozbám. Regulačné požiadavky a požiadavky na bezpečnosť špecifické pre zákazníkov sa zvyšujú a Siemens ich musí riešiť.

Aby sme zostali konkurencieschopní a spoľahliví, bola založená celoeurópska iniciatíva PSS s cieľom zabezpečiť, aby produkty, riešenia a služby, ktoré predávame, umožnili našim zákazníkom prevádzkovať svoje zariadenia v bezpečnom prostredí.

Na tento účel sú zavedené záväzné požiadavky na PSS a odporúčania na vykonávanie. Neustále zlepšovanie a nepretržité učenie sú základnými predpokladmi úspešnej realizácie.

Je mimoriadne dôležité vytvoriť spoločné povedomie a porozumenie medzi všetkými zamestnancami o základných aspektoch kybernetickej bezpečnosti a poskytnúť osobitné školenia pre úlohy súvisiace s kybernetickou bezpečnosťou. Aby sme reagovali na očakávania našich zákazníkov z najmodernejších produktov, riešení a služieb spoločnosti Siemens z hľadiska technológie a bezpečnosti a zabezpečili schopnosť poskytovať takúto kvalitu neustálym zvyšovaním povedomia o kybernetickej bezpečnosti v našej spoločnosti a umožnením našim zamestnancom zvážiť kybernetickú bezpečnosť v každej činnosti, kroku a procese celého hodnotového reťazca, vytvorili sme niekoľko aktivít. Napríklad:

• Povinná globálna informačná kampaň s cieľom poskytnúť všetkým zamestnancom informácie týkajúce sa všeobecných a dôležitých tém kybernetickej bezpečnosti. Tieto školenia sú webové, bezbariérové a viacjazyčné. Okrem toho pre skupinu špecifickú pre roly máme školenie „Vodičský preukaz“. Toto školenie je povinné a umožňuje skupine špecifickej pre roly uplatňovať všetky bezpečnostné pokyny spoločnosti Siemens IT/OT. Po úspešnom ukončení účastníci dostanú certifikát platný dva roky.
• Taktiež poskytujeme niekoľko neustále aktualizovaných školiacich kurzov a vzdelávacích príležitostí pre všetkých zamestnancov spoločnosti Siemens. K nim je možné pristupovať dobrovoľne. Toto školenie nie je určené len pre základné znalosti, ale aj pre špecifické a špecializované oblasti, ako je bezpečnosť produktov a riešení.
• Veríme, že neustále vzdelávanie je kľúčom k úspechu, a preto neustále hľadáme nové spôsoby školenia a aktualizácie našich zamestnancov.

Vždy udržiavajte prehľad: Aby sme to dosiahli, poskytujeme internú kybernetickú bezpečnostnú platformu s názvom „CyberMart“, ktorá poskytuje holistický pohľad na údaje a procesy kybernetickej bezpečnosti v spoločnosti Siemens.

Umožňuje informované a cielené obchodné rozhodnutia poskytovaním

• platforma pre bezpečné aplikácie spracúvajúce relevantné informácie v oblasti kybernetickej bezpečnosti,
• bezpečný dátový fond pre kybernetickú bezpečnosť relevantné údaje, ako aj
• vykazovanie splatnosti a stavu bezpečnostných procesov (napr. ochrana aktív, spracovanie výnimiek).

Súčasťou tejto platformy je informačný panel kybernetickej bezpečnosti, ktorý poskytuje prehľad prevádzkového stavu kybernetickej bezpečnosti, ako aj strategických dátových bodov. Tieto informácie sú základom pre pravidelné interné správy manažmentu správnej rade Siemens a dozornej rade Siemens.

Hlavným cieľom riadenia rizík Cybersecurity, ktorý je súčasťou riadenia podnikového rizika Siemens (ERM), je umožniť spoločnosti Siemens získať transparentnosť v súvislosti s rizikami kybernetickej bezpečnosti a primerane ich riadiť na prijateľnú úroveň.
Rámec riadenia rizík v oblasti Cybersecurity spoločnosti Siemens je založený na medzinárodných normách (ISO/IEC 27005 a ISF IRAM2), pričom zohľadňuje všetky úrovne od prevádzkových až po podnikové a tiež využíva zavedené procesy a úlohy ERM.
Hlásené a riadené riziká kybernetickej bezpečnosti až do úrovne ERM sú identifikované v rámci týchto procesov a riadené v rámci príslušných nástrojov:

• Celkový proces riadenia rizík Cybersecurity
• Proces klasifikácie a ochrany aktív pre IT a dokumenty a informačné aktíva
• Analýza hrozieb a rizík pre produkty, riešenia a služby
• Proces spracovania výnimiek pre dočasné odchýlky od rámca kybernetickej bezpečnosti Siemens
• Riadenie rizika dodávateľa Cybersecurity

Riadenie rizík dodávateľov kybernetickej bezpečnosti:

Riziká kybernetickej bezpečnosti sa musia riadiť v celom dodávateľskom reťazci. Spoločnosť Siemens zvažuje túto tému holisticky vrátane IT, OT a PSS pri obstarávaní horizontálnych a vertikálnych komponentov, produktov a služieb. Z tohto dôvodu hlavné činnosti na zlepšenie úrovne kybernetickej bezpečnosti v dodávateľskom reťazci zahŕňajú:

• Transparentnosť ohľadom rizika kybernetickej bezpečnosti v rámci dodávateľského reťazca
• Systematické postupy riadenia rizík podporované metodikou hodnotenia dodávateľov tretích strán, príslušnými nástrojmi a šablónami pre zmluvné požiadavky na kybernetickú bezpečnosť pre dodávateľov
• Aktívna účasť v rámci Charty dôvery, ktorá riadi druhý princíp: „Zodpovednosť v celom digitálnom dodávateľskom reťazci“, ako aj rôzne odborné komunity
• Pravidelné školenia a informačné kampane pre rôzne cieľové skupiny a prípady použitia

Čo je incident v oblasti informačnej Security?

Incident v oblasti Security informácií je definovaný ako: Priame alebo nepriame ohrozenie dôvernosti, integrity alebo dostupnosti informácií podľa ich klasifikácie (na základe ISO27001 a NIST 800-61 rev2) .Príklady incidentov zahŕňajú, ale nie sú obmedzené na:

1. Úspešné pokusy o získanie neoprávneného prístupu k systému alebo jeho údajom
2. Prerušenie alebo odmietnutie služby
3. Neoprávnené používanie systému na spracovanie alebo ukladanie údajov
4. Zmeny systémového hardvéru, firmvéru alebo charakteristík softvéru bez vedomia, inštrukcie alebo súhlasu vlastníka

Reakcia na incident

Vykonávame hĺbkovú analýzu kybernetických Security incidentov. Aby sme to dosiahli, spolupracujeme s obchodnými zodpovednými, internými a externými reportérmi incidentov a zainteresovanými stranami, aby sme koordinovali reakčné činnosti a zabezpečili riadne obmedzenie a začatie nápravných úloh. Okrem toho poskytujeme manažéra projektu Incident Project, ktorý podporuje organizačné a komunikačné aspekty závažných a zložitých incidentov.

Proces manipulácie s incidentmi

• Detekcia

  Kompromis dôvernosti, integrity a/alebo dostupnosti informácií.

• Odpovedať

  Analyzujte útok a iniciujte protiopatrenia.

• Napraviť

  Obsahuje: Obmedziť škodlivú činnosť, zmierniť: Zabrániť ďalšiemu poškodeniu, Oprava: Opraviť a zabrániť opätovnému výskytu

• Obnoviť

  Obnoviť integritu postihnutých systémov do nedegradovaného prevádzkového stavu.

Bezpečnostné hrozby nútia priemysel konať.

Útoky kybernetických zločincov, ktorí dokážu manipulovať s celými hodnotovými reťazcami, často vedú nielen k výpadkom výroby, ale aj k značnému poškodeniu vášho obrazu. Aby ste čo najlepším spôsobom chránili svoju prevádzkovú technológiu (OT), je potrebné získať transparentnosť ohľadom expozície riziku vašich aktív. To umožňuje identifikovať a eliminovať hrozby kybernetickej bezpečnosti skôr, ako spôsobia značné škody. Poskytujeme väčšiu kybernetickú bezpečnosť pre vaše výrobné procesy. Náš holistický prístup je navrhnutý tak, aby identifikoval procesné bezpečnostné medzery a technické zraniteľné miesta skôr, ako ich nevyužijú zlí aktéri.

Viac informácií

AI plní kľúčovú funkciu v úsilí spoločnosti Siemens o kybernetickú bezpečnosť. Dynamicky identifikuje a pôsobí proti bezpečnostným hrozbám tým, že detekuje anomálie v rámci našej siete a systémov. Toto okamžité opatrenie proti porušeniu bezpečnosti pomáha obmedziť potenciálne škody.

AI navyše zvyšuje účinnosť našich postupov kybernetickej bezpečnosti automatizáciou bežných úloh. Táto automatizácia umožňuje našim bezpečnostným tímom sústrediť sa na zložitejšie a naliehavejšie problémy. Okrem toho AI zavádza prispôsobené bezpečnostné protokoly založené na analýze správania používateľov, čím podporuje presnú bezpečnostnú stratégiu pre každú divíziu v rámci spoločnosti Siemens.

Napriek výhodám je dôležité poznamenať, že AI môže byť tiež nástrojom pre kybernetických útočníkov, čo zvyšuje zložitosť ich škodlivých činností. Títo útočníci môžu využiť AI na automatizáciu svojich útokov, vyhýbanie sa konvenčným bezpečnostným systémom alebo dokonca simuláciu ľudského správania, aby unikli detekcii.

Siemens je však na tento zložitý scenár dobre pripravený. Vytvorili sme prísne bezpečnostné protokoly, aby sme zaistili bezpečnú a zodpovednú aplikáciu AI. Náš budúci prístup pomáha udržiavať integritu našich systémov a chrániť nás pred potenciálnymi rizikami, čo nám umožňuje využívať výhody AI pri našich operáciách kybernetickej bezpečnosti.

Výhody spoločnosti Siemens z umelej inteligencie rozhodne prevažujú nad rizikami. Prostredníctvom starostlivej implementácie a neustáleho dohľadu minimalizujeme tieto riziká a zosilňujeme výhody AI. V dôsledku toho sa AI javí ako neoceniteľný nástroj, ktorý podstatne zvyšuje našu schopnosť odvrátiť bezpečnostné hrozby.