Nemáte dost času na přečtení celého článku? Poslechněte si shrnutí ve 2 minutách.
Když ztratíte víc než data
Linka se nezastavila kvůli rozbitému stroji. Zastavila se, protože se nikdo nemohl přihlásit.
HMI zamrzly. MES se odmlčel. Na polovině obrazovek se objevila zpráva o výkupném. Operátoři vytahovali papírové listy a snažili se vzpomenout si, jak spustit lis ručně. Vedoucí směny hledali někoho, kohokoliv, kdo by věděl, co má dělat.
Nejednalo se o narušení IT. Šlo o výpadek v továrně.
Ransomware ve výrobě je jiný. Nejde jen o ztrátu souborů. Ztrácíte čas, bezpečnostní přehled, řízení procesů, spojení s dodavateli a v některých případech i důvěru zákazníků. Když celý váš závod závisí na synchronizovaném, digitalizovaném provozu a ten náhle zmizí, nepomůže vám ani příručka pro reakci ERP.
Továrny, které tyto zásahy přežijí, nejsou ty s nejdražším kybernetickým zabezpečením.
Jsou to ti, kteří mají jasný a praktický plán, který propojuje IT, OT, právní oddělení, vedení a pracoviště v reálném čase a pod skutečným tlakem.
Kdo a kdy rozhoduje?
V prvních 60 minutách útoku ransomwaru je třeba rozhodovat rychle.
Ve většině výrobních společností však není jasné, kdo je bude vyrábět.
Oddělení IT chce vypnout systémy. Operační oddělení chce chránit směnu. Právní oddělení požaduje mlčení. Centrála požaduje čísla dopadů. Vedení závodu chce jen bezpečný provoz linky.
Tam se to zlomí.
Mnoho společností se standardně řídí plánem reakce založeným na IT, ale v továrnách musí každý krok určovat bezpečnost zařízení, integrita receptur a kontinuita výroby. Pokud jste nikdy nepřiřadili rozhodovací práva pro tento scénář, útok to odhalí během několika minut.
Minimálně definujte:
- Kdo vyhlašuje kybernetickou pohotovost v celém závodě
- Kdo řídí přístup do prostředí OT během obnovy
- Kdo mluví se zákazníky, odbory a regulačními orgány
- Kdo povoluje restart výroby
A kdo je zastoupí, když je někdo na dovolené.
Když vedení chybí, nesouhlasí nebo je pod tlakem, CE Interim může nasadit dočasného velitele zásahu s plynulou znalostí OT, který bude zajišťovat spojení mezi jednotlivými funkcemi, sladí zásahové akce a bude řídit operaci, dokud stálý tým nezíská kontrolu.
5 tlakových bodů, které rozbíjejí většinu továren
Většina plánů ransomwaru se zaměřuje na servery a soubory. Ale co vlastně způsobuje chaos v továrně?
Zde je pět tlakových bodů, kde se točí skutečné incidenty:
I. Ztráta viditelnosti - Obrazovky MES, historická data a záznamy o dávkách zmizí. Operátoři jsou slepí.
II. Rozpad komunikace - Selhávají telefony VoIP, Outlook i rádia. Týmy nemohou eskalovat.
III. Neověřená logika receptu - Bez důvěryhodných systémů hrozí, že do strojů budou vložena nesprávná nastavení.
IV. Zablokování prodejce - Vzdálená podpora vašeho výrobce OEM se k němu nemůže dostat, nebo ještě hůře, může být vektorem útoku.
V. Panika pracovních sil - Bez informací se šíří strach. Vedoucí směny ztrácejí autoritu. Šíří se fámy.
Ty se nedají vycvičit. Můžete pouze strukturovat systém tak, aby se nezhroutily všechny najednou.
Dokážete to ještě doručit? Jak běhat ve tmě
První otázka, kterou si po útoku desky kladou, zní:
Můžeme ještě odesílat?
Upřímná odpověď: záleží na tom.
Továrny mohou někdy provozovat částečné operace s ručním zálohováním, tištěnými SOP a dobrým dohledem nad směnami.
To však funguje pouze v případě, že:
- Bezpečnostní blokování jsou fyzická nebo bezpečnostní.
- Linka se nespoléhá na tlaky receptů v reálném čase.
- Týmy vědí, jak přepnout na manuální režim, a už to udělaly.
Běhat ve tmě není odvážné. Bez zábradlí je nebezpečný.
Proto mnoho úspěšných výrobců do svého plánu reakce na kybernetickou hrozbu zabuduje tým pro zajištění kontinuity provozu - tým, který se nezaměřuje na obnovu IT, ale na bezpečné dodání toho, co lze dodat, a to během několika hodin po zásahu.
Společnost CE Interim často umisťuje dočasný vedoucí závodu přesně toto: stabilizovat hlavní výrobu, řídit komunikaci s dodavateli a zákazníky a koordinovat řešení na úrovni provozních hal v době, kdy jsou digitální systémy stále mimo provoz.
Co říci interně a externě
Incident s ransomwarem je částečně kybernetickým útokem a částečně reputační krizí.
Nemusíte vše zveřejnit okamžitě. Záleží však na tom, co a kdy řeknete.
Uvnitř závodu, lidé potřebují ujištění. Mlčení plodí paniku.
Během první směny komunikujte:
- Co se stalo, jednoduše řečeno
- Co se dělá pro ochranu bezpečnosti a odměňování
- Kdo rozhoduje a na koho se obrátit.
Pro zákazníky, záleží na transparentnosti. Pokud jsou dodávky ovlivněny, řekněte to včas. Slibujte pouze to, co můžete potvrdit. Kupující si pamatují jasnost více než zpoždění.
Regulační orgány a odbory musí být informován, pokud systémy ovlivňují bezpečnost, pracovní dohody nebo procesy dodržování předpisů. Vyvarujte se bagatelizování narušení, zejména pokud existuje podezření na ohrožení dat.
Rychle si zajistěte právní, PR a pojišťovací služby.
A nezapomeňte, že podle pravidel Spojeného království a EU může zaplacení výkupného vést k další odpovědnosti, zejména pokud se jedná o sankcionované subjekty.
Od omezení ke zpevnění bez obviňování
Po obnovení výroby a dokončení zprávy forenzního týmu začíná skutečná práce.
Fáze obnovy není o instalaci softwarových záplat. Jde o obnovení důvěry v systém - a ve vaše vedení.
To znamená:
- Prokázání, že zálohy jsou otestované a obnovitelné
- Segmentace zón OT a IT pomocí IEC 62443 jako váš průvodce
- Uzamčení všech privilegovaných přístupů s ověřenou identitou
- Revize a přepisování zásad vzdáleného přístupu externích dodavatelů
- Zachycení všeho v živé knize úloh se jmény, časovým rozvrhem a odpovědností.
Nejvíce přehlíženou výhodou v této fázi je neutralita vedení. Potřebujete někoho, kdo dokáže vést přestavbu bez ukazování prstem.
Zde je CE Interim může zapojit vedoucího oddělení PMO pro obnovu, neutrálního odborníka, který je zodpovědný za provádění, sleduje zpevňování systému, řídí testování a zajišťuje, aby nic nesklouzlo do oblasti "opravíme to později".
Závěrečné slovo: Reagujte tak, jako byste za to byli souzeni, protože tak tomu bude
Ransomware nenarušuje pouze systémy. Testuje sladění, rozhodování a provozní vyspělost, a to vše najednou.
Žádné představenstvo nechce slyšet, že nikdo neřídil.
Žádný zákazník se nechce o výpadku dozvědět od třetí strany.
A žádný tým nechce mít pocit, že je poslední, kdo ví, co se děje.
Kybernetické pojištění může pomoci s úhradou nákladů. Zálohy mohou obnovit soubory.
Důvěru však může obnovit pouze vedení, připravenost a rychlost.
Dopřejte si plán reakce na incidenty jako produkt. Aktualizujte ji. Otestujte ho. Přiřaďte mu jména. Vytiskněte jej.
Provádějte simulace, které zahrnují i výrobní halu, nejen IT.
Protože až udeří další útok. - a bude - vaše schopnost chránit lidi, výrobu a pověst bude záviset na prvních 30 minutách.
Toto okno nebude opatřeno varováním.