Cybersecurity

ISO 27001 je mednarodni standard, ki opisuje najboljše prakse za sistem upravljanja informacijske Security (ISMS).

Pridobitev akreditiranega certifikata ISO 27001 dokazuje, da naša organizacija sledi najboljši praksi informacijske varnosti in zagotavlja neodvisno strokovno preverjanje, da se informacijska varnost upravlja v skladu z najboljšimi mednarodnimi praksami in poslovnimi cilji.

Cybersecurity za Siemens ima certifikat ISO 27001 od novembra 2017.

Od novembra 2023 smo certificirani po novem standardu ISO 27001:2022.

• Prenesite potrdilo
• Preberite več o sistemskih certifikatih

Navdušeni smo nad zagotavljanjem odporne kibernetske varnosti, ki temelji na podatkih, s pomočjo robustne arhitekture za zaščito Siemens.

Da bi to dosegli, v projekt izvajamo svojo strategijo Cybersecurity in uporabljamo novo ustvarjeno storitev Enterprise Architecture za preslikavo naših strateških ciljev v ciljno arhitekturo, ki bo usmerjala celotno Cybersecurity varnost pri njihovem izvajanju.

Glavni cilji projekta so: racionalizacija uporabe virov z ukrepi za avtomatizacijo in učinkovitost, povečanje prepoznavnosti in preglednosti tveganj za kibernetsko varnost v podjetju Siemens ter izkoriščanje odločanja, ki temelji na podatkih, za krepitev reaktivnega in proaktivnega zmanjšanja tveganj.

Naša postavitev projekta je strukturirana v petih delovnih tokovih:

• Koncept in procesi:

  Naš cilj je opisati in vzdrževati arhitekturni proces znotraj Siemens Cybersecurity in zagotoviti, da je integriran z našo strategijo in portfeljem. In za opis gradnikov naše arhitekture kibernetske varnosti, ki temelji na podatkih, vključno z zmogljivostmi, aplikacijami, vhodi, izhodi in odvisnostmi.

• Governance:

  Naš cilj je opredeliti, kako je mogoče podatke o kibernetski varnosti združiti, da bi omogočili samodejno prepoznavanje in oceno tveganja kibernetske varnosti, omogočili odločanje za njihovo blažitev in povečali skladnost s politikami.

• Situacijsko zavedanje:

  Naš cilj je biti v ospredju in biti glas projekta EA, zbirati pričakovanja uporabnikov in zagotoviti celostno držo tveganja za izboljšanje vsakodnevnega delovanja končnih uporabnikov.

• Security obveščevalna informacija

  Naš cilj je uvesti odločilno točko, ki podpira umetna inteligenca in temelji na podatkih, ki omogoča samodejno identifikacijo in ublažitev tveganj za kibernetsko varnost podjetja Siemens z opolnomočenjem odločanja.

• Podatki:

  Podatki o delovnem toku pomagajo kibernetski varnosti sprejeti podatkovni pristop z vzpostavitvijo preglednosti podatkov, preprečevanjem podvajanja podatkov in zagotavljanjem smernic skupinam za njihove podatkovne strategije.

Okvir politike kibernetske varnosti velja za Siemens in njegova povezana podjetja. Vsebuje zlasti zahteve kibernetske varnosti, določene v posebnih politikah, standardih in izhodiščih.

Vse politike temeljijo na ustreznih industrijskih standardih, kot sta ISO 2700x ali IEC 62443. Da bi zagotovili skladnost z drugimi pomembnimi standardi, se upravljajo tudi sklicevanja nanje. Seznam ustreznih standardov vključuje na primer NIST 800-53, smernice EBA o IKT in obvladovanju varnostnih tveganj in druge.

Siemensovi izdelki, rešitve in storitve vsebujejo veliko količino programske opreme in komponent, povezanih z IT, ki se v mnogih primerih uporabljajo v okviru kritične infrastrukture in bi lahko postale bolj izpostavljene kibernetskim grožnjam. Regulativne zahteve in zahteve glede varnosti za stranke naraščajo, zato jih mora Siemens obravnavati.

Da bi ostali konkurenčni in zanesljivi, je bila vzpostavljena pobuda PSS na ravni celotne družbe Siemens, da bi zagotovila, da izdelki, rešitve in storitve, ki jih prodajamo, omogočajo našim strankam, da upravljajo svoje objekte v varnem okolju.

V ta namen so vzpostavljene zavezujoče zahteve za PSS in priporočila za izvajanje. Nenehno izboljševanje in stalno učenje sta temeljni predpogoji za uspešno realizacijo.

Ključnega pomena je ustvariti skupno ozaveščenost in razumevanje vseh zaposlenih glede osnovnih vidikov kibernetske varnosti ter zagotoviti posebno posebno usposabljanje za vloge, povezane s kibernetsko varnostjo. Da bi se odzvali na pričakovanja naših strank o najsodobnejših izdelkih, rešitvah in storitvah podjetja Siemens v smislu tehnologije in varnosti ter zagotovili sposobnost zagotavljanja takšne kakovosti z nenehnim povečevanjem ozaveščenosti o kibernetski varnosti v našem podjetju in omogočili našim zaposlenim, da upoštevajo kibernetsko varnost v vsaki dejavnosti, koraku in procesu celotne vrednostne verige. Na primer:

• Obvezna globalna kampanja ozaveščanja, katere cilj je vsem zaposlenim zagotoviti informacije o splošnih in pomembnih temah kibernetske varnosti. Ta usposabljanja so spletna, brez ovir in večjezična. Poleg tega imamo za skupino, specifično za vloge, usposabljanje« Vozniško dovoljenje«. To usposabljanje je obvezno in skupini, specifični za vloge, omogoča uporabo vseh Siemensovih varnostnih smernic IT/OT. Po uspešnem zaključku udeleženci prejmejo potrdilo, ki velja dve leti.
• Vsem zaposlenim v Siemensu ponujamo tudi več nenehno posodobljenih tečajev usposabljanja in priložnosti za učenje. Do njih je mogoče dostopati prostovoljno. To usposabljanje ni namenjeno samo osnovnemu znanju, temveč tudi za specifična in specializirana področja, kot je Security izdelkov in rešitev.
• Verjamemo, da je nenehno učenje ključ do uspeha, zato nenehno iščemo nove načine za usposabljanje in posodabljanje naših zaposlenih.

Vedno ohranite pregled: Da bi to dosegli, nudimo notranjo platformo za kibernetsko varnost, imenovano »CyberMart«, ki ponuja celovit pogled na podatke in procese kibernetske varnosti pri Siemensu.

Omogoča informirane in ciljno usmerjene poslovne odločitve z zagotavljanjem

• platforma za varne aplikacije, ki obdelujejo informacije, pomembne za kibernetsko varnost,
• varno zbirko podatkov za podatke, pomembne za kibernetsko varnost, kot tudi
• poročanje o zapadlosti in stanju varnostnih postopkov (npr. zaščita sredstev, ravnanje z izjemami).

Del te platforme je nadzorna plošča za kibernetsko varnost, ki daje pregled operativnega stanja kibernetske varnosti in strateških podatkovnih točk. Te informacije so osnova za redno poročanje notranjega vodstva upravnemu odboru Siemensa in nadzornemu Siemens Siemensa.

Glavni cilj upravljanja tveganj kibernetske varnosti, ki je del Siemens Enterprise Risk Management (ERM), je podjetju Siemens omogočiti preglednost glede tveganj za kibernetsko varnost in njihovo ustrezno obvladovanje na sprejemljivi ravni.
Siemensov okvir za upravljanje tveganj za Cybersecurity varnost temelji na mednarodnih standardih (ISO/IEC 27005 in ISF IRAM2), pri čemer upošteva vse ravni, od operativnih do podjetniških, ter uporablja tudi uveljavljene procese in vloge ERM.
Tveganja kibernetske varnosti, o katerih so poročali in se upravljali do ravni ERM, so opredeljena v naslednjih postopkih in upravljana v okviru ustreznih orodij:

• Splošni postopek upravljanja tveganj kibernetske varnosti
• Postopek razvrščanja in zaščite sredstev za IT ter dokumente in informacijska sredstva
• Analiza groženj in tveganj za izdelke, rešitve in storitve
• Postopek obravnave izjem za začasna odstopanja od Siemens okvira kibernetske
• Upravljanje tveganj dobaviteljev kibernetske

Upravljanje tveganj dobavitelja kibernetske varnosti:

Tveganja kibernetske varnosti je treba obvladovati v celotni dobavni verigi. Siemens to temo obravnava celostno, vključno z IT, OT in PSS za nabavo horizontalnih in vertikalnih komponent, izdelkov in storitev. Zato glavne dejavnosti za izboljšanje ravni kibernetske varnosti vzdolž dobavne verige vključujejo:

• Preglednost glede izpostavljenosti tveganju kibernetske varnosti vzdolž dobavne verige
• Sistematične prakse obvladovanja tveganj, ki jih podpirajo metodologija ocenjevanja dobaviteljev tretjih oseb, ustrezna orodja in predloge za pogodbene zahteve kibernetske varnosti dobaviteljem
• Aktivno sodelovanje v okviru Listine zaupanja, ki spodbuja drugo načelo: »Odgovornost v celotni digitalni dobavni verigi« in različne strokovne skupnosti
• Redna usposabljanja in kampanje ozaveščanja za različne ciljne skupine in primere uporabe

Kaj je incident z informacijsko varnostjo?

Incident informacijske Security je opredeljen kot: Neposredno ali posredno ogrožanje zaupnosti, celovitosti ali razpoložljivosti informacij v skladu z njihovo klasifikacijo (na podlagi ISO27001 in NIST 800-61 rev2) .Primeri incidentov vključujejo, vendar niso omejeni na:

1. Uspešni poskusi pridobitve nepooblaščenega dostopa do sistema ali njegovih podatkov
2. Motnje ali zavrnitev storitve
3. Nepooblaščena uporaba sistema za obdelavo ali shranjevanje podatkov
4. Spremembe sistemske strojne opreme, strojne programske opreme ali značilnosti programske opreme brez lastnikovega znanja, navodil ali soglasja

Odziv na incident

Izvajamo poglobljeno analizo incidentov kibernetske Security. Da bi to dosegli, sodelujemo z odgovornimi podjetji, notranjimi in zunanjimi poročevalci incidentov in zainteresiranimi stranmi, da usklajujemo dejavnosti odzivanja ter zagotovimo ustrezno zadrževanje in začetek sanacijskih nalog. Poleg tega nudimo vodjo projekta Incident Project, ki podpira organizacijske in komunikacijske vidike hudih in zapletenih incidentov.

Postopek ravnanja z incidenti

• Zaznati

  Kompromis zaupnosti, celovitosti in/ali razpoložljivosti informacij.

• Odgovorite

  Analizirajte napad in začnite protiukrepe.

• sanacija

  Vsebuje: Omeji zlonamerno dejavnost, ublaži: Prepreči nadaljnjo škodo, Popravilo: Popravi in prepreči ponovno pojavljanje

• Obnovite

  Obnovi celovitost prizadetih sistemov v nedegradirano operativno stanje.

Varnostne grožnje prisilijo industrijo k ukrepanju.

Napadi kibernetskih kriminalcev, ki lahko manipulirajo s celotnimi vrednostnimi verigami, pogosto povzročijo ne le izpad proizvodnje, temveč tudi znatno škodo vaši podobi. Da bi zaščitili vašo operativno tehnologijo (OT) na najboljši možni način, morate zagotoviti preglednost glede izpostavljenosti tveganju vaših sredstev. To omogoča prepoznavanje in odpravo groženj kibernetske varnosti, preden povzročijo znatno škodo.Zagotavljamo več kibernetske varnosti za vaše proizvodne procese. Naš celostni pristop je zasnovan tako, da prepoznamo procesne varnostne vrzeli in tehnične ranljivosti, preden jih izkoristijo slabi akterji.

Več informacij

AI ima ključno funkcijo v podjetjih Siemensa za kibernetsko varnost. Dinamično identificira in preprečuje varnostne grožnje z zaznavanjem anomalij znotraj našega omrežja in sistemov. Takojšnje ukrepanje proti kršitvam varnosti pomaga zmanjšati morebitno škodo.

Poleg tega umetna inteligenca povečuje učinkovitost naših postopkov kibernetske varnosti z avtomatizacijo vsakodnevnih nalog. Ta avtomatizacija omogoča našim varnostnim ekipam, da se osredotočijo na bolj zapletena in pereča vprašanja. Poleg tega AI uvaja prilagojene varnostne protokole, ki temeljijo na analizi vedenja uporabnikov, s čimer spodbuja natančno varnostno strategijo za vsako divizijo znotraj Siemensa.

Kljub prednostim je pomembno omeniti, da je AI lahko tudi orodje za kibernetske napadalce, kar povečuje zapletenost njihovih zlonamernih dejanj. Ti napadalci lahko izkoristijo umetno inteligenco za avtomatizacijo svojih napadov, izogibanje običajnim varnostnim sistemom ali celo simulirajo človeško vedenje, da bi se izognili odkrivanju.

Kljub temu je Siemens dobro pripravljen na ta zapleten scenarij. Vzpostavili smo stroge varnostne protokole, da zagotovimo varno in odgovorno uporabo umetne inteligence. Naš napredni pristop pomaga ohranjati celovitost naših sistemov in nas ščiti pred morebitnimi tveganji ter nam tako omogoča, da izkoristimo prednosti umetne inteligence pri naših operacijah kibernetske varnosti.

Koristi, ki jih Siemens izkorišča od umetne inteligence, odločilno odtehtajo tveganja. S natančnim izvajanjem in stalnim nadzorom zmanjšujemo ta tveganja in povečujemo prednosti umetne inteligence. Posledično se umetna inteligenca pojavlja kot neprecenljiv instrument, ki bistveno izboljša našo sposobnost preprečevanja varnostnih groženj.