Incidensreagálási terv, amikor a Ransomware elérte a gyárat

Nincs elég ideje elolvasni a teljes cikket? Hallgassa meg az összefoglalót 2 percben.

Amikor az adatoknál többet veszítesz

A sor nem egy elromlott gép miatt állt meg. Azért állt le, mert senki sem tudott bejelentkezni.

A HMI-k lefagytak. A MES elhallgatott. A képernyők felén megjelent egy váltságdíjat követelő üzenet. Az operátorok papírlapokat húztak elő, és próbáltak visszaemlékezni, hogyan kell manuálisan működtetni a nyomdagépet. A műszakfelügyelők kerestek valakit, bárkit, aki tudta, mit kell tenni.

Ez nem informatikai incidens volt. Ez egy gyári áramszünet volt.

A gyártásban a ransomware más. Nem csak fájlokat veszítesz el. Időt, biztonsági átláthatóságot, folyamatirányítást, beszállítói kapcsolatot és bizonyos esetekben az ügyfelek bizalmát is elveszíti. Ha az egész üzem szinkronizált, digitalizált műveletektől függ, és ez hirtelen eltűnik, az ERP-válasz kézikönyv nem segít.

Nem azok a gyárak élik túl ezeket a támadásokat, amelyek a legdrágább kiberbiztonsággal rendelkeznek.
Ők azok, akiknek világos, begyakorolt tervük van, amely valós időben, valós nyomás alatt összekapcsolja az IT-t, az OT-t, a jogi részleget, a vezetőséget és a termet.

Ki és mikor dönthet?

A zsarolóvírus-támadás első 60 percében gyorsan kell döntéseket hozni.

A legtöbb gyártó vállalatnál azonban nem világos, hogy ki készítheti el őket.

Az IT le akarja állítani a rendszereket. A műveleti részleg meg akarja védeni a műszakot. A jogi osztály csendet követel. A központ a hatásszámokat kéri. Az üzem vezetése csak azt akarja, hogy a vonal biztonságosan működjön.

Itt törik meg.

Sok vállalat alapértelmezésben az IT-vezérelt reagálási tervet alkalmazza, de a gyárakban az üzembiztonságnak, a receptek integritásának és a termelés folyamatosságának kell minden lépést meghatározni. Ha soha nem osztott ki döntési jogokat erre a forgatókönyvre, a támadás percek alatt leleplezi azt.

Legalább határozza meg:

  • Ki hirdeti ki az egész üzemre kiterjedő kiberveszélyhelyzetet
  • Ki ellenőrzi az OT-környezetekhez való hozzáférést a helyreállítás során
  • Ki beszél az ügyfelekkel, a szakszervezetekkel és a szabályozó hatóságokkal?
  • Ki engedélyezi a termelés újraindítását

És ki veszi át, ha valaki szabadságon van.

Amikor a vezetés hiányzik, nézeteltérés van, vagy nyomás alatt van, CE Interim bevethet egy ideiglenes incidensparancsnokot, aki OT-képes, hogy hidat képezzen a funkciók között, összehangolja a válaszintézkedéseket, és irányítsa a műveletet, amíg az állandó csapat vissza nem szerzi az irányítást.

Az 5 nyomáspont, ami a legtöbb gyárat tönkreteszi

A legtöbb zsarolóprogram-terv a szerverekre és a fájlokra összpontosít. De mi okoz valójában káoszt egy gyárban?

Íme az öt olyan nyomáspont, ahol a valódi incidensek spirálba fordulnak:

I. A láthatóság elvesztése - A MES képernyők, a történeti adatok és a tételes nyilvántartások eltűnnek. Az operátorok vakok.

II. Kommunikációs zavarok - A VoIP-telefonok, az Outlook és még a rádiók is meghibásodnak. A csapatok nem tudnak eszkalálni.

III. Ellenőrizetlen recept logika - Megbízható rendszerek nélkül fennáll a veszélye annak, hogy rossz beállításokat táplál a gépekbe.

IV. Forgalmazói zárolás - Az OEM távoli ügyfélszolgálata nem tud bejutni, vagy ami még rosszabb, lehet, hogy a támadás vektora.

V. Munkaerő pánik - Információ nélkül a félelem terjed. A műszakvezetők elveszítik tekintélyüket. Pletykák terjednek.

Ezeket nem lehet eledzeni. Csak úgy lehet felépíteni a rendszert, hogy ne omoljanak össze egyszerre.

Tudsz még szállítani? Hogyan fuss a sötétben

Az első kérdés, amit a táblák feltesznek egy támadás után:
Még mindig szállíthatunk?

Az őszinte válasz: attól függ.

A gyárak néha kézi mentésekkel, nyomtatott SOP-okkal és jó műszakfelügyelettel részleges műveleteket is végezhetnek.

De ez csak akkor működik, ha:

  • A biztonsági reteszek fizikai vagy hibabiztos biztonsági reteszek
  • A vonal nem támaszkodik a valós idejű recept-tolásra.
  • A csapatok tudják, hogyan kell kézi vezérlésre váltani, és már megtették ezt korábban is.

A sötétben futni nem bátor dolog. Veszélyes védőkorlátok nélkül.

Ezért sok sikeres gyártó beépít egy üzemfolytonossági sávot a kiberreagálási tervébe - egy olyan csapatot, amely nem az informatikai helyreállításra összpontosít, hanem arra, hogy biztonságosan szállítsa azt, ami szállítható, a találatot követő órákon belül.

A CE Interim gyakran helyez egy ideiglenes üzemvezető hogy pontosan ezt tegye: stabilizálja az alaptermelést, kezelje a beszállítói és vevői kommunikációt, és koordinálja a padlószintű megoldásokat, miközben a digitális rendszerek még mindig nem működnek.

Mit kell mondani, belsőleg és külsőleg

A zsarolóvírus incidens részben kibertámadás, részben hírnévválság.

Nem kell mindent azonnal nyilvánosságra hozni. De az számít, hogy mit és mikor mond el.

Az üzem belsejében, az embereknek megnyugtatásra van szükségük. A hallgatás pánikot szül.

Az első műszakon belül kommunikáljon:

  • Mi történt, egyszerűbben fogalmazva
  • Mit tesznek a biztonság és a fizetés védelme érdekében
  • Ki hozza a döntéseket, és kihez kell továbbítani a döntéseket?

Az ügyfelek számára, az átláthatóság számít. Ha a szállítások érintettek, mondják el korán. Csak azt ígérje meg, amit meg tud erősíteni. A vevők jobban emlékeznek az egyértelműségre, mint a késedelmekre.

Szabályozók és szakszervezetek tájékoztatni kell, ha a rendszerek érintik a biztonságot, a munkaszerződéseket vagy a megfelelőségi folyamatokat. Kerülje a jogsértés lekicsinyítését, különösen, ha az adatok kitettségének gyanúja merül fel.

A jogi, PR- és biztosítási ügyek gyors összehangolása.
Ne feledje, hogy az Egyesült Királyság és az EU szabályai szerint a váltságdíj kifizetése további felelősséget vonhat maga után, különösen, ha szankciókkal sújtott szereplőkről van szó.

A megfékezéstől a keményítésig, hibáztatás nélkül

Amint a termelés újraindul, és a helyszínelők befejezik a jelentésüket, kezdődik az igazi munka.

A helyreállítási fázis nem a szoftverjavítások telepítéséről szól. Hanem a rendszerbe - és az Ön vezetésébe - vetett bizalom helyreállításáról.

Ez azt jelenti:

  • A biztonsági mentések tesztelése és helyreállíthatóságának bizonyítása
  • OT és IT zónák szegmentálása, a IEC 62443 mint az Ön útmutatója
  • Minden kiváltságos hozzáférés lezárása ellenőrzött személyazonossággal
  • Külső szállítók távoli hozzáférési szabályzatainak felülvizsgálata és újraírása
  • Mindent rögzítünk egy élő futókönyvben, nevekkel, határidőkkel és felelősséggel.

Ebben a fázisban a leginkább figyelmen kívül hagyott érték a vezetői semlegesség. Szüksége van valakire, aki ujjal mutogatás nélkül képes irányítani az újjáépítést.

Ez az a hely, ahol CE Interim a helyreállítási PMO vezetője, egy semleges szakértő, aki a végrehajtásért felel, nyomon követi a rendszer keményítését, tesztelést végez, és biztosítja, hogy semmi ne csússzon át a "majd később javítjuk" területre.

Végső szó: Válaszolj úgy, mintha megítélnének, mert meg is fognak

A zsarolóvírusok nem csak megzavarják a rendszereket. Egyszerre teszteli az összehangolást, a döntéshozatalt és a működési érettséget.

Egyetlen igazgatótanács sem akarja hallani, hogy senki sem volt felelős.
Egyetlen ügyfél sem akarja, hogy harmadik féltől értesüljön a kiesésről.
És egyetlen üzemi csapat sem szeretné úgy érezni, hogy az utolsó, aki tudja, mi történik.

A kiberbiztosítás segíthet a költségek megtérülésében. A biztonsági mentések visszaállíthatják a fájlokat.
De csak a vezetés, a felkészültség és a gyorsaság képes visszaszerezni a bizalmat.

Kezelje a incidensreagálási terv mint egy termék. Frissítse. Tesztelje. Adjon neveket. Nyomtassa ki.
Futtasson szimulációkat, amelyek nem csak az informatikára, hanem az egész üzemre kiterjednek.

Mert amikor a következő támadás - és ez így is lesz - az első 30 percen múlik, hogy képes lesz-e megvédeni az embereket, a termelést és a hírnevet.

Ez az ablak nem jár figyelmeztetéssel.

Vélemény, hozzászólás?

Az e-mail címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük