Nie masz czasu na przeczytanie całego artykułu? Posłuchaj podsumowania w 2 minuty.
Utrata czegoś więcej niż danych
Kolejka nie zatrzymała się z powodu zepsutej maszyny. Zatrzymała się, ponieważ nikt nie mógł się zalogować.
Interfejsy HMI zamarły. MES zamilkł. Na połowie ekranów pojawił się komunikat z żądaniem okupu. Operatorzy wyciągnęli kartki papieru, próbując przypomnieć sobie, jak ręcznie uruchomić prasę. Kierownicy zmian szukali kogoś, kogokolwiek, kto wiedziałby, co robić.
To nie było naruszenie IT. To była przerwa w dostawie prądu w fabryce.
Ransomware w branży produkcyjnej jest inne. Tracisz nie tylko pliki. Tracisz czas, widoczność bezpieczeństwa, kontrolę procesu, łączność z dostawcami, a w niektórych przypadkach zaufanie klientów. Gdy cały zakład zależy od zsynchronizowanych, zdigitalizowanych operacji, które nagle znikają, podręcznik reagowania ERP nie pomoże.
Fabryki, które przetrwały te ataki, nie są tymi, które mają najdroższe zabezpieczenia cybernetyczne.
To oni mają jasny, przećwiczony plan, który łączy IT, OT, dział prawny, kierownictwo i piętro w czasie rzeczywistym, pod prawdziwą presją.
Kto i kiedy podejmuje decyzje?
W ciągu pierwszych 60 minut ataku ransomware decyzje muszą być podejmowane szybko.
Jednak w większości firm produkcyjnych nie jest jasne, kto je tworzy.
Dział IT chce wyłączyć systemy. Dział operacyjny chce chronić zmianę. Dział prawny żąda milczenia. Centrala prosi o dane dotyczące wpływu. Kierownictwo zakładu chce tylko, aby linia działała bezpiecznie.
W tym miejscu następuje przerwa.
Wiele firm domyślnie stosuje plan reagowania oparty na IT, ale w fabrykach bezpieczeństwo zakładu, integralność receptur i ciągłość produkcji muszą kształtować każdy ruch. Jeśli nigdy nie przypisałeś praw decyzyjnych do tego scenariusza, atak ujawni to w ciągu kilku minut.
Zdefiniuj co najmniej:
- Kto ogłasza stan zagrożenia cybernetycznego w całym zakładzie?
- Kto kontroluje dostęp do środowisk OT podczas odzyskiwania
- Kto rozmawia z klientami, związkami zawodowymi i organami regulacyjnymi?
- Kto zezwala na ponowne uruchomienie produkcji
I kto przejmuje obowiązki, gdy ktoś jest na urlopie.
Gdy przywództwo jest nieobecne, w niezgodzie lub pod presją, CE Interim może wdrożyć tymczasowego dowódcę incydentu z biegłą znajomością OT, aby połączyć funkcje, dostosować działania reagowania i prowadzić operację do czasu odzyskania kontroli przez stały zespół.
5 punktów nacisku, które niszczą większość fabryk
Większość planów ransomware skupia się na serwerach i plikach. Ale co tak naprawdę powoduje chaos w fabryce?
Oto pięć punktów nacisku, w których dochodzi do prawdziwych incydentów:
I. Utrata widoczności - Ekrany MES, dane historyczne i zapisy partii znikają. Operatorzy są ślepi.
II. Przerwanie komunikacji - Telefony VoIP, Outlook, a nawet radia zawodzą. Zespoły nie mogą eskalować.
III. Niezweryfikowana logika przepisu - Bez zaufanych systemów istnieje ryzyko wprowadzenia niewłaściwych ustawień do maszyn.
IV. Blokada sprzedawcy - Zdalne wsparcie producenta OEM nie może się do niego dostać lub, co gorsza, może być wektorem ataku.
V. Panika wśród pracowników - Bez informacji rozprzestrzenia się strach. Liderzy zmian tracą autorytet. Krążą plotki.
Nie można ich wytrenować. Można jedynie skonstruować system tak, by nie zawaliły się wszystkie naraz.
Czy nadal możesz dostarczać? Jak biegać w ciemności
Pierwszym pytaniem zadawanym przez komisje po ataku jest:
Czy nadal możemy wysyłać?
Szczera odpowiedź: to zależy.
Fabryki mogą czasami wykonywać częściowe operacje z ręcznymi kopiami zapasowymi, drukowanymi SOP i dobrym nadzorem zmiany.
Ale to działa tylko wtedy, gdy
- Blokady bezpieczeństwa są fizyczne lub odporne na awarie
- Linia nie polega na wypychaniu receptur w czasie rzeczywistym
- Zespoły wiedzą, jak przełączyć się na tryb ręczny i robiły to już wcześniej.
Bieganie w ciemności nie jest odważne. Jest niebezpieczne bez poręczy.
Dlatego wielu odnoszących sukcesy producentów wbudowuje ścieżkę ciągłości działania zakładu w swój plan reagowania cybernetycznego - zespół koncentruje się nie na przywracaniu IT, ale na bezpiecznym dostarczaniu tego, co może być dostarczone w ciągu kilku godzin od uderzenia.
CE Interim często umieszcza tymczasowy kierownik zakładu aby zrobić dokładnie to: ustabilizować podstawową produkcję, zarządzać komunikacją z dostawcami i klientami oraz koordynować obejścia na poziomie hali produkcyjnej, podczas gdy systemy cyfrowe nadal nie działają.
Co mówić, wewnętrznie i zewnętrznie?
Incydent związany z oprogramowaniem ransomware to po części cyberatak, a po części kryzys reputacyjny.
Nie musisz ujawniać wszystkiego od razu. Ale to, co powiesz i kiedy, ma znaczenie.
Wewnątrz zakładuludzie potrzebują zapewnienia. Cisza rodzi panikę.
Komunikacja w ramach pierwszej zmiany:
- Co się stało, mówiąc wprost
- Jakie działania są podejmowane w celu ochrony bezpieczeństwa i wynagrodzeń?
- Kto podejmuje decyzje i do kogo należy je eskalować?
Dla klientówprzejrzystość ma znaczenie. Jeśli dostawy są zagrożone, powiedz o tym wcześnie. Obiecuj tylko to, co możesz potwierdzić. Kupujący pamiętają przejrzystość bardziej niż opóźnienia.
Organy regulacyjne i związki zawodowe musi zostać poinformowany, jeśli systemy mają wpływ na bezpieczeństwo, umowy o pracę lub procesy zgodności. Należy unikać bagatelizowania naruszenia, zwłaszcza jeśli podejrzewa się narażenie danych.
Szybko dostosuj się do wymogów prawnych, PR i ubezpieczeniowych.
I pamiętaj, że zgodnie z przepisami Wielkiej Brytanii i UE zapłacenie okupu może wiązać się z dodatkową odpowiedzialnością, zwłaszcza jeśli zaangażowane są podmioty objęte sankcjami.
Od ograniczania do hartowania, bez obwiniania
Po wznowieniu produkcji i ukończeniu raportu przez zespół śledczy rozpoczyna się prawdziwa praca.
Faza odzyskiwania nie polega na instalowaniu poprawek oprogramowania. Chodzi o odbudowanie zaufania do systemu - i do kierownictwa.
Oznacza to:
- Udowodnienie, że kopie zapasowe są przetestowane i możliwe do odtworzenia
- Segmentacja stref OT i IT przy użyciu IEC 62443 jako przewodnik
- Zablokowanie całego uprzywilejowanego dostępu za pomocą zweryfikowanej tożsamości
- Przeglądanie i przepisywanie zasad zdalnego dostępu zewnętrznych dostawców
- Przechwytywanie wszystkiego w żywym podręczniku z nazwami, harmonogramami i odpowiedzialnością
Najbardziej pomijanym atutem na tym etapie jest neutralność przywództwa. Potrzebujesz kogoś, kto będzie w stanie poprowadzić przebudowę bez wytykania palcami.
To tutaj CE Interim może wprowadzić lidera PMO odzyskiwania, neutralnego eksperta, który jest właścicielem wykonania, śledzi utwardzanie systemu, kieruje testami i zapewnia, że nic nie spadnie na terytorium "naprawimy to później".
Ostatnie słowo: Odpowiadaj tak, jakbyś był za to oceniany, bo będziesz
Ransomware nie tylko zakłóca działanie systemów. Jednocześnie testuje dostosowanie, podejmowanie decyzji i dojrzałość operacyjną.
Żaden zarząd nie chce słyszeć, że nikt nie był odpowiedzialny.
Żaden klient nie chce dowiedzieć się o awarii od osoby trzeciej.
Żaden zespół zakładu nie chce czuć się ostatnim, który wie, co się dzieje.
Ubezpieczenie cybernetyczne może pomóc odzyskać koszty. Kopie zapasowe mogą przywrócić pliki.
Ale tylko przywództwo, gotowość i szybkość mogą odzyskać zaufanie.
Traktuj swoje plan reagowania na incydenty jak produkt. Aktualizuj go. Przetestuj go. Przypisywanie nazw. Wydrukować.
Przeprowadzaj symulacje, które obejmują halę produkcyjną, a nie tylko dział IT.
Ponieważ kiedy nastąpi kolejny atak - i tak się stanie - zdolność do ochrony ludzi, produkcji i reputacji będzie zależeć od pierwszych 30 minut.
W tym oknie nie będzie ostrzeżenia.