Ocena ryzyka a odporność sieci i systemów informatycznych na incydenty cyberbezpieczeństwa

dlaprodukcji.pl 2 miesięcy temu

Z artykułu dowiesz się:

  • co wpływa na bezpieczeństwo systemu informatycznego;
  • jakie elementy należy wdrożyć zgodnie z obowiązującymi normami;
  • które sektory przemysłowe powinny zwrócić szczególną uwagę na kwestie cyberbezpieczeństwa.

Jak prowadzić proces zarządzania ryzykiem w firmie? W dobie coraz częstszych ataków warto mieć świadomość, jak ocenić odporność naszej sieci na incydenty cybernetyczne.

Bezpieczeństwo sieci a także systemów informatycznych jest zdefiniowane w dyrektywie NIS 2 2022/2555/UE jako: „odporność sieci i systemów informatycznych, przy danym poziomie zaufania, na wszelkie zdarzenia, które mogą naruszyć dostępność, autentyczność, integralność lub poufność przechowywanych, przekazywanych lub przetwarzanych danych lub usług oferowanych przez te sieci i systemy informatyczne lub dostępnych za ich pośrednictwem” [1].

Definicja systemu informatycznego (a także teleinformatycznego, który jest połączony z innymi dzięki sieci telekomunikacyjnych) mówi natomiast, iż system informatyczny to ta część systemu informacyjnego, w której do przetwarzania informacji wykorzystywane są środki techniki komputerowej [3].

Definicja ta obejmuje również przemysłowe systemy sterowania (ang. Industrial Control Systems, ICS) występujące wszędzie tam, gdzie mamy do czynienia z fizyczną realizacją procesów produkcyjnych, przesyłowych, magazynowych czy też transportu bliskiego. Podstawowe definicje przedstawia rys. 1.

Rys. 1. Definicje systemów informacyjnych; fot: Istock

Czym zatem jest odporność systemów i sieci informatycznych? Czy możemy z całą pewnością stwierdzić, iż nasze aktywa są wystarczająco bezpieczne a także odporne? Niestety nie, nigdy bowiem nie będziemy pewni, iż nasze sieci i systemy mają w danym momencie odpowiedni (wystarczający) poziom bezpieczeństwa i odporności na zagrożenia. Wynika to z faktu, iż bezpieczeństwo a także odporność (sieci i systemów) na incydenty są wartościami niemierzalnymi, występującymi najczęściej jako pojęcia jakościowe.

Jak zwiększać bezpieczeństwo i budować odporność?

Z pomocą przychodzi nam proces zarządzania ryzykiem w organizacji, podczas którego możemy zidentyfikować najważniejsze procesy przedsiębiorstwa, potencjalne zagrożenia dla tych procesów (w tym potencjalne incydenty dotyczące sieci i systemów informatycznych) jak również opracować zasady postępowania ze zbyt wysokim ryzykiem materializacji zagrożenia czy konsekwencji. Proces ten przedstawia rys. 2.

Rys. 2. Zarządzanie ryzykiem a odporność sieci i systemów informatycznych na incydenty; fot: Istock

Budowanie odporności sieci i systemów informatycznych zarówno biurowych IT (ang. information technology, IT), jak również sterowania przemysłowego OT (ang. operational technology, OT) na incydenty cyberbezpieczeństwa jest procesem ciągłym i wynikającym z poziomu ryzyka wystąpienia incydentu (wartości prawdopodobieństwa materializacji zagrożenia a także wielkości jego potencjalnych konsekwencji).

Zarządzanie ryzykiem a odporność systemu informatycznego

Skuteczne prowadzenie procesu zarządzania ryzykiem w przedsiębiorstwie pozwala na zapewnienie odporności sieci i systemów informatycznych na poziomie wyznaczonym ryzykiem zaakceptowanym przez przedsiębiorstwo, np. najwyższe kierownictwo, zarząd. Oznacza to, iż odporność naszych sieci a także systemów wyznacza poziom ryzyka zaakceptowany przez organizację.

Umiejętne zarządzanie ryzykiem jest podstawą bezpiecznego funkcjonowania przedsiębiorstwa.

Zarówno atak zdalny (zwany potocznie atakiem hakerskim), jak i fizyczny na systemy informatyczne i sieci definiowane jest jako jeden ze sposobów realizacji zagrożenia poprzez nieuprawnione, celowe działanie człowieka powodujące niepożądaną zmianę wymaganych wartości istotnych kryteriów jakości informacji. Zagrożenie natomiast jest pojęciem szerszym i tak powinno być rozpatrywane podczas oceny ryzyka w przedsiębiorstwie.

Podstawowe elementy procesu zarządzania ryzykiem:

  • prawidłowa identyfikacja kluczowych procesów w przedsiębiorstwie,
  • identyfikacja potencjalnych zagrożeń dla tych procesów,
  • identyfikacja podatności sieci a także systemów informatycznych,
  • szacowanie i ocena ryzyka (z wykorzystaniem odpowiednich metod ilościowych a także jakościowych analizy ryzyka),
  • opracowanie zasad postępowania ze zbyt wysokim ryzykiem (unikanie ryzyka, transfer ryzyka, kontrola ryzyka, retencja/zatrzymanie ryzyka),
  • określenie kryteriów jego akceptacji.

Czytaj też >> Badania smarów łożysk tocznych w przemyśle

Wskazania – wymaganie i dobra praktyka

Należy mieć na uwadze, iż zarządzanie ryzykiem cyberbezpieczeństwa, zdarzeń zagrażających przedsiębiorstwu jako potencjalne incydenty cyberbezpieczeństwa, występuje jako wymaganie a także dobra praktyka.

A. WYMAGANIE:

  • Ustawa o Krajowym Systemie Cyberbezpieczeństwa z dnia 5 lipca 2018 r. [7] na podstawie dyrektywy NIS 2016/1148/UE (dotyczy operatorów usług kluczowych) [2],
  • Dyrektywa NIS 2 2022/2555/UE [1] (dla podmiotów kluczowych, w tym administracji publicznej oraz podmiotów ważnych – znacznie szerszy zakres niż w dyrektywie NIS 2016/1148/UE); lista sektorów kluczowych i ważnych przedstawia tab. 1.

B. DOBRA PRAKTYKA w normach wskazanych w uzasadnieniu do obowiązującej ustawy o KSC:

  • PN-EN ISO/IEC 27001:2017-06 Technika informatyczna – Techniki bezpieczeństwa – Systemy zarządzania bezpieczeństwem informacji – Wymagania (obecnie: PN-EN ISO/IEC 27001:2023-08 Bezpieczeństwo informacji, cyberbezpieczeństwo i ochrona prywatności – Systemy zarządzania bezpieczeństwem informacji – Wymagania) [5],
  • PN-EN ISO 22301:2020-04 Bezpieczeństwo i odporność – Systemy zarządzania ciągłością działania – Wymagania [4].

Ocena ryzyka powinna być przeprowadzana cyklicznie, co najmniej raz w roku, a także po każdej istotnej planowanej lub występującej niespodziewanie zmianie w działalności przedsiębiorstwa. Prawidłowo przeprowadzona ocena definiuje konieczność wdrożenia brakujących bądź też rozbudowy istniejących zabezpieczeń/środków ochronnych organizacyjnych, fizycznych i technicznych.

Tab. 1. Sektory podmiotów kluczowych i ważnych według dyrektywy NIS 2 (kolor czerwony – zmiany w stosunku do dyrektywy NIS; kolor zielony – brak zmian w stosunku do dyrektywy NIS)
Idź do oryginalnego materiału
  1. Strona główna
  2. Przemysł ciężki
  3. Ocena ryzyka a odporność sieci i systemów informatycznych na incydenty cyberbezpieczeństwa

Powiązane

WEJDŹ NA POKŁAD: Płynny Transport Ładunków do i z Ameryki Północnej z CEVA Logistics

WEJDŹ NA POKŁAD: Płynny Transport Ładunków do i z Ameryki Pó...

1 dzień temu
Gazy osłonowe do spawania łukowego drutem litym (MAG) stali węglowych i niskostopowych

Gazy osłonowe do spawania łukowego drutem litym (MAG) stali ...

1 dzień temu
Robo Challenge: zaprogramuj robota!

Robo Challenge: zaprogramuj robota!

1 dzień temu
Otwarcie nowego zakładu produkcyjnego foliQ

Otwarcie nowego zakładu produkcyjnego foliQ

2 dni temu
CIOP-PIB: Pożar to nie tylko ogień i wysoka temperatura, ale i niebezpieczny dla człowieka dym

CIOP-PIB: Pożar to nie tylko ogień i wysoka temperatura, ale...

2 dni temu
Ekologiczna stal pozyskiwana z odpadów!

Ekologiczna stal pozyskiwana z odpadów!

2 dni temu
Polska strategia cyfryzacji: czy przemysł skorzysta z 5G?

Polska strategia cyfryzacji: czy przemysł skorzysta z 5G?

3 dni temu
Sytuacja firm w Polsce a eksport towarów: dane i badania

Sytuacja firm w Polsce a eksport towarów: dane i badania

4 dni temu
„Nowoczesny Przemysł” nr 2/2024 [kwiecień/maj]

„Nowoczesny Przemysł” nr 2/2024 [kwiecień/maj]

5 dni temu