Cybersikkerhed på industrianlæg med IIoT

Når en IIoT-løsning implementeres i et industrianlæg, indeholder den følsomme data, som kræver en særlig grad af beskyttelse. Desuden kræver forbindelsen til internettet permanent opmærksomhed og vedligeholdelse. Teknologien udvikler sig meget hurtigt, og alle systemer skal hele tiden følge udviklingen inden for cybersikkerhed – både i et industrianlæg og andre steder.

Pålidelig informationssikkerhedsstyring omfatter ikke kun datakryptering, men kræver også en overordnet tilgang, der omfatter:

• Overholdelse af lovgivning og standarder: Relevante juridiske retningslinjer og anbefalede standarder skal opfyldes (f.eks. ISO 27001, ISO 27017, GDPR etc.).
• Datasikkerhed: Det er indlysende, at en IIoT-løsning vil indeholde følsomme data. Disse skal behandles med omhu i henhold til strenge processer.
• Serverens placering: Når cloud computing-teknologien anvendes, lagres data på servere, der hostes af udbyderen. Afhængigt af den lokale jurisdiktion kræver servernes placering en højere eller lavere grad af cybersikkerhed. I Europa findes de højeste standarder som følge af loven om databeskyttelse.
• Organisatoriske processer: Cybersikkerhed forudsætter brug af organisatoriske processer, der definerer, hvilke data der skal behandles, af hvem, på hvilke måder og på hvilket tidspunkt.
• Gennemsigtighed: Troværdige udbydere af digitale løsninger har et klart og gennemsigtigt supportsystem, som til enhver tid viser kunden status på vedkommendes henvendelse.
• Applikationsfunktioner: alle kravene i ISO 27001 og ISO 27017 er blevet implementeret af Endress+Hauser. I alt 121 foranstaltninger dækker hele virksomhedens drift. De overvåges løbende og opdateres, når det er nødvendigt.

Alle disse punkter skal overvejes, implementeres og kontrolleres regelmæssigt, når man leverer en IIoT-teknologi. Eksisterende revisions- og standardiseringsrammer, love og bedste praksis kan være en praktisk støtte under implementeringen.

Endress+Hauser har bevist, at dets IIoT-økosystem Netilion opfylder høje standarder for informationssikkerhed ved at lade det vurdere af tredjepartscertificeringsorganer. Helt fra begyndelsen blev der lagt vægt på kriterierne for styring af informationssikkerhed, og de fungerer som en nyttig rettesnor for implementering af digitale tjenester og sikring af god cybersikkerhed inden for industrien.

• Overholdelse af lovgivning og standarder: I forbindelse med etableringen af en professionel løsning til styring af informationssikkerhed ved hjælp af IIoT-teknologier fik Endress+Hauser følgende certificeringer for styringen af Netilion:
• ISO 27001 Styring af informationssikkerhed
• ISO 27017 Kodeks for informationssikkerhed for cloud-tjenester
• ISO 9001-kvalitetsstyringssystem
• Datasikkerhed: Kundedata, der lagres og behandles i Netilion-økosystemet, behandles altid med største omhu. Brugere har ret til at indtaste, få adgang til, opdatere og slette deres data. Alle foranstaltninger opfylder kravene i GDPR.
• Servernes placering: Serverne, som Netilion-økosystemet er baseret på, er placeret i Frankfurt og Dublin. Ud fra et cybersikkerhedssynspunkt anses servere i EU for at være meget sikre.
• Organisatoriske processer: Endress+Hauser har oprettet processer, som gør det muligt at reagere hurtigt i tilfælde af datasikkerhedsnødsituationer, og som alle er i overensstemmelse med GDPR. De berørte parter vil straks blive informeret, og der vil blive truffet afhjælpende foranstaltninger.
• Gennemsigtighed: Endress+Hauser har implementeret en gennemsigtig supportproces, som på en klar måde informerer kunden om, hvordan vedkommendes henvendelse bliver behandlet.
• Applikationsfunktioner: Brugergrænsefladen i Netilion IIoT-økosystemet har alle de nødvendige funktioner, herunder, men ikke begrænset til, en avanceret adgangskodevejledning, automatisk adgangskodehåndtering, tidsindstillet logout og eksportfunktioner.

Der er en række kriterier, som anses for at være væsentlige i relation til en professionel styring af informationssikkerheden, og som er dækket af Netilion-økosystemet:

• Kryptering af følsomme oplysninger: IIoT-økosystemet Netilion fra Endress+Hauser giver professionel beskyttelse af information:
• Adgangskoder krypteres med 'bcrypt + salt + pepper'.
• Brugeridentifikation fungerer med OAuth2-aktiverede tokeniserede procedurer.
• Kommunikationen er https-krypteret.
• Overførsel af procesdata via gateways: Når man overvejer cybersikkerhed i industrianlæg, er gatewayen et af de punkter, der kræver størst opmærksomhed, da det er adgangspunktet. De Netilion-aktiverede gateways bruger envejskommunikation: Feltdata sendes gennem gatewayen og til skyen, men kommunikation i modsatte retning er forbudt. Denne arkitektur er designet til at beskytte feltet mod manipulation.
• Certificering: Et tredjeparts-certificeringsorgan har bekræftet, at IIoT-økosystemet Netilion overholder kravene i ISO 27017. Den internationale standard indeholder krav til cloud-platforme. Overholdelse af kravene i ISO 27017 sikrer, at kunderne kan stole på, at Netilion-økosystemet fungerer sikkert for deres data. Og Endress+Hauser Digital Solutions, der udvikler IIoT-økosystemet Netilion, har fået ISO 27001-certificering for informationssikkerhed.