Securitatea cibernetică în instalaţii industriale cu IIoT

Oricând este implementată o soluţie IIoT într-o instalaţie industrială, aceasta conţine date sensibile care necesită un grad de protecţie special. În plus, conectivitatea la Internet necesită atenţie şi îngrijire permanentă. Tehnologia se dezvoltă foarte rapid şi fiecare sistem trebuie să urmărească în mod continuu evoluţia securităţii cibernetice – într-o instalaţie industrială, precum şi în orice alte cazuri.

Gestionarea fiabilă a securităţii informaţiilor include nu doar criptarea datelor, ci necesită şi o abordare generală care include:

• Conformitatea cu legislaţia şi standardele: Dispoziţiile legale relevante şi normele recomandate trebuie să fie îndeplinite (de exemplu, ISO 27001, ISO 27017, GDPR etc.).
• Siguranţa datelor: Este evident că o soluţie IIoT va conţine date sensibile. Acestea trebuie să fie tratate cu grijă conform proceselor stricte.
• Locaţiile serverului: Indiferent dacă se utilizează tehnologie de calcul în cloud, datele vor fi stocate pe servere găzduite de furnizor. Datorită jurisdicţiei locale, locaţia serverelor indică un nivel mai mare sau mai mic de securitate cibernetică. Locaţiile europene asigură cele mai înalte standarde datorită legii privind confidenţialitatea datelor.
• Procesele organizaţionale: Securitatea cibernetică nu poate exista dacă nu se implementează procese organizaţionale care definesc datele ce trebuie procesate şi de către cine trebuie procesate, modurile de procesare şi momentul procesării.
• Transparenţa: Furnizorii fiabili de soluţii digitale au un sistem de susţinere clar şi transparent care îi indică clientului starea solicitării în orice moment.
• Funcţiile de aplicare: toate cerinţele aferente ISO 27001 şi ISO 27017 au fost implementate de Endress+Hauser. Un total de 121 de măsuri acoperă toate operaţiunile companiei. Acestea sunt monitorizate în continuu şi sunt actualizate oricând este necesar.

Toate aceste aspecte trebuie luate în considerare, implementate şi verificate cu regularitate când se asigură tehnologia IIoT. Cadrele existente de audit şi standardizare, legile şi bunele practici pot fi un sprijin practic în timpul implementării.

Endress+Hauser a dovedit că ecosistemul său IIoT Netilion îndeplineşte standarde înalte în ceea ce priveşte securitatea informaţiilor prin trimiterea acestora către evaluare de către organisme de certificare terţe. Încă din prima zi, criteriile legate de gestionarea securităţii informaţiilor au primit cea mai multă atenţie şi servesc drept instrucţiuni utile pentru implementarea serviciilor digitale şi asigurarea securităţii cibernetice corespunzătoare în industrie.

• Conformitatea cu legislaţia şi standardele: La stabilirea modului de gestionare a securităţii informaţiilor profesionale folosind tehnologii IIoT, Endress+Hauser a primit următoarele certificări pentru gestionarea Netilion:
• ISO 27001 - Gestionarea informaţiilor privind securitatea
• ISO 27017 - Codul practicii pentru securitatea informaţiilor în ceea ce priveşte serviciile în cloud
• ISO 9001 - Sistem de gestionare a calităţii
• Siguranţa datelor: Datele clienţilor stocate şi prelucrate în ecosistemul Netilion sunt întotdeauna tratate cu cea mai mare grijă. Utilizatorii au dreptul de a introduce, accesa, actualiza şi şterge propriile date. Toate măsurile îndeplinesc cerinţele GDPR.
• Locaţiile serverului: Serverele pe care se bazează ecosistemul Netilion sunt localizate în Frankfurt şi Dublin. Din punctul de vedere al securităţii cibernetice, serverele localizate în Uniunea Europeană sunt considerate foarte sigure.
• Procesele organizaţionale: Endress+Hauser a implementat procese pentru a reacţiona rapid în cazuri urgente privind securitatea datelor, toate în conformitate cu GDPR. Părţile afectate vor fi informate imediat şi se vor implementa contraacţiuni.
• Transparenţa: Endress+Hauser a implementat un proces de susţinere transparent care informează clientul într-un mod clar despre cum este tratată solicitarea sa.
• Funcţiile de aplicare: Interfaţa cu utilizatorul a ecosistemului Netilion IIoT are toate funcţiile necesare, inclusiv, dar fără a se limita la, instrucţiuni complexe privind parola, gestionarea automatizată a parolei, deconectarea temporizată şi funcţii de export.

Există câteva criterii considerate esenţiale pentru gestionarea profesională a securităţii informaţiilor şi care sunt acoperite de ecosistemul Netilion:

• Criptarea informaţiilor sensibile: Ecosistemul Netilion IIoT de la Endress+Hauser oferă protecţia profesională a informaţiilor:
• Parolele sunt criptate cu „bcrypt + salt + pepper”.
• Identificarea utilizatorului funcţionează cu procedurile OAuth2 activate cu tokenuri.
• Comunicarea este criptată prin https.
• Transferul datelor de proces prin gateway-uri: Când este vorba de securitatea cibernetică în instalaţii industriale, un aspect care necesită cea mai multă atenţie este gateway-ul, deoarece este punctul de acces. Gateway-urile activate prin Netilion utilizează comunicarea într-o direcţie: datele de teren trec prin gateway şi sunt trimise către cloud, însă comunicarea în cealaltă direcţie este interzisă. Această arhitectură este concepută pentru a proteja terenul împotriva manipulării.
• Certificare: Un organism de certificare terţ a confirmat faptul că ecosistemul Netilion IIoT îndeplineşte cerinţele ISO 27017. Standardul internaţional conţine cerinţele pentru platformele pe bază de cloud. Conformitatea cu cerinţele ISO 27017 asigură faptul că clienţii se pot încrede în ecosistemul Netilion pentru a garanta un loc sigur pentru datele lor. Iar soluţiile digitale Endress+Hauser, compania care a dezvoltat ecosistemul Netilion IIoT, prezintă certificarea ISO 27001 pentru securitatea informaţiilor.