Trust & Compliance Industry 4.0 Security 4.0 Security first: Datensicherheit als Grundstein und Herausforderung für Industrie 4.0 Projekte Andreas Köberl & Dieter Jandl
The Industrial World is changing From single, siloed systems and organizations to networks of capabilities TODAY While todays enterprises are linearly organized and optimized within the boundaries of organizational and system siloes CHANGE DRIVERS FUTURE companies of the future will fulfill individual customer needs by using collaborative and agile network of capabilities Always connected Internet of everything New digital competitors Age of the customer Cost pressure Highly individualized product Lot size 1 Shorter time to market Re-industrialization of Europe Your business technologist. Powering progress 2
Industry 4.0 Transformation zu einer intelligent verbundenen Produktionsumgebung des traditionellen mehrschichtigen Konzepts von Shop-Floor-Maschinen die von einem Fertigungssystem gesteuert werden und den PLM und ERP-Systemen die die Verwaltung der Produktdaten und Planung von mehr oder weniger statischen Geschäftsprozesse durchführen. Haupttrends: Integration von Arbeitnehmern in einen neuen Produktionsprozess mit neuen intelligenten Technologien. Integration von Informationen, Verfahren, Maschine-Maschine, Maschine-Mensch, die Mensch-Mensch Kommunikation und Analyse aller Prozesse und Systeme. Wodurch eine geschlossene Wertschöpfungskette über verschiedene Produktionseinheiten für agile On-Demand-Produktion geschaffen wird. Einsatz von Fertigungsintelligenz zur Optimierung der Produktion um auf die Anforderungen des Marktes rasch zu reagieren. Kontinuierliche Neukonfiguration des Geschäftsmodells in einer agilen und kundenorientierten Produktionskette, die für jedes einzelne Produkt unterschiedlich sein kann. Verbundene Systeme, Prozesse, Mitarbeiter und Produkte. Roboter in der Produktion und programmierbare Werkzeugmaschinen. Produktion als eine Folge von Schritten, in ihrer Verkörperung als Montagelinien (Taylorism). Maschinen, Energieerzeugung und - umwandlung (z.b. Dampfmaschinen). 3
Stay secure in the connected world. Atos comprehensive capabilities for your digital transformation journey.
Security 4.0 Eine neue Dimension der Verwundbarkeit durch die Digitale Transformation und eine neue Qualität der (kommerziellen) Cyberkriminalität, macht IT-Sicherheit zur obersten Priorität. Industry 4.0 stellt uns vor zusätzliche Herausforderungen! 2018 Sicherheitsziele (Auszug): Schutz der Produktion Schutz der Daten durch: Entwickeln von Szenarien um Risiken richtig einzuschätzen und Maßnahmen entwickeln zu können. Überprüfen der bestehenden Sicherheitsmaßnahmen um deren Tauglichkeit und Robustheit zu kennen. Implementieren zusätzlicher Maßnahmen z.b. durch mehrfache Absicherung der Kerneinheiten um unterschiedlichen Angriffsszenarien vorzubeugen. Regelmäßige Überprüfung der Szenarien und der Tauglichkeit von getroffenen Maßnahmen. jetzt 1998 Perimeter Security 2008 Atos 5
Bedrohungs-Klassifizierung nach Gartner 6
Sicherheitsbegriff in der Industrie Der deutsche Begriff Sicherheit ist mehrdeutig belegt Die englische Sprache trennt wesentlich deutlicher zwischen Safety und Security Safety -> Sicherheit/Sicherung des Bedieners und der Umgebung im Zusammenhang mit einer Maschine, einem Ablauf bzw. Produktionsprozess Security -> Sicherheit von (IT)-Systemen, also z.b. den Schutz vor Angreifern oder vor Sabotage des IT-Systems Normen, Standards und Richtlinien ISO 9000, 9001,... ISO 27000, 27001, 27005,... BDEW WHITEPAPER (27019, 27009) BSI GSHB, ISIS-Sicherheitsnorm VDI 2182 NERC CIP, NIST 800-82 ISA/IEC-62443 (zuvor ISA-99)
Der Weg zu Security 4.0 Ziel: Erreichen eines Branchen-Sicherheitsniveaus Bestandsaufnahme des bestehenden Sicherheitsniveaus Kombination mit technischen Überprüfungen mittels Penetrationstests durch versierte Angreifer (Certified Ethical Hacker) Sicherheitskonzepte zum Umsetzungsnachweis (spez. zur Erfüllung im Bereich von Kritische Infrastrukturen) Sicherheitsüberwachung und Alarmierung Durchführung von IS-Revisionen durch einen zertifizierten Sicherheitsdienstleister
Security 4.0 - Die nächsten Schritte Von Beratung & Design bis Implementierung und Betrieb für alle Ebenen der Security Device & Frontend Security Einzelgeräte Assessment Einzelgeräte Überprüfung (Ist-Erhebung). Audit- und Innovationsunterstützung Source Code Analyse Analyse von einzel oder multiple Application Quellcodes Erstellung von Sicherheits-Code-Richtlinien Device Co-Development Untersuchung von vernetzten Objekten und drahtlosen Interfaceverbindungen. Unterstützung für HW sourcing und Technologieselektion für eingebettete Geräte und/oder Kommunikations-Gateways. Lieferung von Treiber und Firmware Entwicklung inklusive Validierung und Integration........ Tage Wochen Monate Backend Security Penetration Test Security Scans & PEN-Tests von extern und intern Web-Application PEN-Test Security Maturity Assessment (ISO2700x) Concise Security Assessment, ein High Level Assessment in fünf Tagen Security Maturity Assessment Risiko Analyse Detaillierte Risikoanalyse inklusive Prozessoptimierung und Risiko Management Managed Security Services Information Protection Cyber Threat (AHPS) Identity & Access Mgmt. Platform Protection Information Protection Perimeter Protection Security Systems Integration Services
Security 4.0 - Die nächsten Schritte Virenschutz auf Legacy Systemen Attacken an Industrie Control Systemen (ICS) sind ernst und folgeschwer. Ein Stahlwerk in Deutschland erlitt Schäden am Hochofen. Das Stromnetze in der Ukraine wurde sabotiert. ICS-Attacken sind auf dem Vormarsch. Im Jahr 2014 gab es 245 Angriffe alleine in den USA. Operating Systeme deren Laufzeit überschritten ist setzen Unternehmen hohen Risiken aus: Cyber-Angriffe, die Sicherheitslücken in älteren Betriebssystemen ausnutzen Verletzungen der Industrie Sicherheitsbestimmungen Datenschutzverletzungen und Verlust kritischer Daten Unternehmen, die ihre Legacy-Systeme aufgrund von Kosten oder wegen alter, proprietäre Anwendungen, die nicht auf neueren Plattformen ausgeführt werden können, beibehalten müssen, sollten wirksame Schutzmaßnahmen treffen: Härten von physischen und virtuellen Servern und sperren von Anwendungen auf Legacy- Systemen wie Windows Server 2003 oder Legacy-UNIX-Versionen. Aufbau einer mehrschichtigen Endpoint-Security um vor Malware, Betriebssystem- und Software-Schwachstellen der Endanwender Systeme wie z.b. Windows XP, zu schützen.
CCP ist die Antwort von Atos auf das Internet der Dinge Millionen Geräte können über CCP sicher kommunizieren Service Center Service Partner Customer Service Techn. EU Service Techn. US External Specialist Technician Industrial Data Analytics Applications Data Scientists Web Portal / Web Services Core Communication Platform Authentication & Authorization Remote Access Collaboration Secure Data Transmission Logging Reporting / Analysis CCP Service Agent Condition & Usage Data Monitoring Alarming & Alerting Secure Network Connection / Wireless Machines and Devices Customer spec. Services Asset Management Intelligent File Transfer
Top 10 Security4.0 Maßnahmen Sensibilisierung und Bewusstsein Verantwortung nur bei der Geschäftsführung und nicht beim CIO, CISO, in der IT-Abteilung, Instandhaltung oder Technik. Budget Schutzmaßnahmen nach außen (Firewall, Fernwartung) Backup & Recovery, Versionierung Dokumentation + Identitäten Segmentierung Anti Malwareschutz Integration im Managementsystem Security by design, Komplexität reduzieren
Kontaktdaten - addit Vertrieb Sales Head: Sales: Roland Obtresal Mail roland.obtresal@atos.net Mobile +43(0)664 8855 4117 Manuela Krendl Mail manuela.krendl@atos.net Mobile +43(0)664 8855 3754 Leo Scharfegger Mail leo.scharfegger@atos.net Mobile +43(0)664 8855 6021 Shayda Osman Mail shayda.osman@atos.net Mobile +43 (0)664 8855 0853 Your business technologist. Powering progress 13