Не хватает времени на чтение полной статьи? Прослушайте краткое содержание за 2 минуты.

Когда вы теряете не только данные

Очередь остановилась не из-за поломки машины. Она остановилась, потому что никто не мог войти в систему.

HMI замерли. MES замолчала. На половине экранов появилось сообщение о выкупе. Операторы доставали бумажные листы, пытаясь вспомнить, как запустить пресс вручную. Начальники смен искали кого-нибудь, кто знал бы, что делать.

Это было не нарушение IT-технологий. Это было отключение электричества на заводе.

Ransomware на производстве - это совсем другое. Вы не просто теряете файлы. Вы теряете время, видимость безопасности, контроль над процессом, связь с поставщиками, а в некоторых случаях и доверие клиентов. Когда весь ваш завод зависит от синхронизированных, оцифрованных операций, а они внезапно исчезают, руководство по реагированию на ERP не поможет.

Фабрики, которые выживают после таких ударов, не являются теми, у кого самая дорогая кибербезопасность.
Именно у них есть четкий, отработанный план, связывающий ИТ, ОТ, юристов, руководство и сотрудников в режиме реального времени, под реальным давлением.

Кто и когда должен принимать решения?

В первые 60 минут после атаки ransomware необходимо быстро принимать решения.

Но в большинстве производственных компаний неясно, кто будет их создавать.

ИТ-специалисты хотят отключить системы. Оперативный отдел хочет защитить смену. Юристы требуют молчания. Штаб-квартира просит предоставить цифры последствий. Руководство завода просто хочет, чтобы линия работала в безопасности.

Вот тут-то она и ломается.

Многие компании по умолчанию используют план реагирования, основанный на ИТ, но на заводах каждый шаг должен определяться безопасностью предприятия, целостностью рецептов и непрерывностью производства. Если вы не назначили права принятия решений для этого сценария, атака выявит это в считанные минуты.

Как минимум, определите:

• Кто объявляет кибернетическую чрезвычайную ситуацию в масштабах предприятия
• Кто контролирует доступ к OT-средам во время восстановления
• Кто выступает перед клиентами, профсоюзами и регулирующими органами
• Кто разрешает перезапуск производства

И кто заменяет его, когда кто-то уходит в отпуск.

Когда руководство отсутствует, с ним не согласны или на него оказывают давление, CE Interim могут направить временного командира инцидента, свободно владеющего ОТ, для налаживания связей между функциями, согласования действий по реагированию и управления операцией до тех пор, пока постоянная команда не восстановит контроль.

5 точек давления, которые ломают большинство фабрик

Большинство планов по борьбе с вымогательством направлены на серверы и файлы. Но что на самом деле вызывает хаос на фабрике?

Вот пять точек давления, в которых закручиваются настоящие инциденты:

I. Потеря видимости - Экраны MES, исторические данные и записи о партиях исчезают. Операторы остаются вслепую.

II. Разрыв связи - VoIP-телефоны, Outlook и даже рации выходят из строя. Команды не могут эскалировать.

III. Непроверенная логика рецептов - Без доверенных систем вы рискуете загрузить в машины неправильные настройки.

IV. Блокировка поставщика - Удаленная поддержка OEM-производителя не может войти в систему, или, что еще хуже, может быть вектором атаки.

V. Кадровая паника - Без информации страх распространяется. Руководители смен теряют авторитет. Распространяются слухи.

Вы не можете обучить их. Можно лишь выстроить систему так, чтобы они не рухнули все разом.

Можете ли вы все еще выполнять задания? Как бегать в темноте

Первый вопрос, который задают борта после нападения, - это:
Мы все еще можем отправить товар?

Честный ответ: все зависит от ситуации.

Фабрики иногда могут выполнять частичные операции с помощью ручного резервного копирования, печатных СОПов и хорошего контроля смены.

Но это работает только в том случае:

• Блокировки безопасности физические или отказоустойчивые
• Линия не полагается на рецепты в реальном времени.
• Команды знают, как переключиться на ручное управление, и уже делали это раньше

Бегать в темноте не смело. Это опасно без ограждений.

Именно поэтому многие успешные производители включают в план кибернетического реагирования направление по обеспечению непрерывности работы предприятия - команду, ориентированную не на восстановление ИТ, а на безопасную доставку того, что может быть доставлено, в течение нескольких часов после удара.

CE Interim часто размещает промежуточный руководитель завода именно это: стабилизация основного производства, управление связью с поставщиками и клиентами и координация обходных путей на уровне цеха, пока цифровые системы не работают.

Что говорить внутри и снаружи

Инцидент с вымогательством - это частично кибератака, частично репутационный кризис.

Вы не обязаны раскрывать все сразу. Но то, что вы скажете и когда, имеет значение.

Внутри заводаЛюдям нужны заверения. Молчание порождает панику.

В течение первой смены общайтесь:

• Что произошло, если говорить простым языком
• Что делается для обеспечения безопасности и оплаты труда
• Кто принимает решения и к кому следует обращаться

Для клиентовПрозрачность имеет значение. Если поставки затронуты, скажите об этом заранее. Обещайте только то, что можете подтвердить. Покупатели больше помнят ясность, чем задержки.

Регулирующие органы и профсоюзы Если системы влияют на безопасность, трудовые соглашения или процессы соблюдения нормативных требований, их необходимо проинформировать. Старайтесь не преуменьшать значение нарушения, особенно если есть подозрения, что данные подверглись опасности.

Быстрое согласование с юридическими, PR- и страховыми службами.
И помните, что в соответствии с правилами Великобритании и ЕС выплата выкупа может повлечь за собой дополнительную ответственность, особенно если к этому причастны лица, находящиеся под санкциями.

От сдерживания к закаливанию, без вины виноватые

Как только производство возобновится и команда криминалистов закончит свой отчет, начнется настоящая работа.

Фаза восстановления - это не установка программных исправлений. Речь идет о восстановлении доверия к системе - и к вашему руководству.

Это значит:

• Убедитесь, что резервные копии проверены и восстанавливаемы
• Разделение зон OT и IT с помощью IEC 62443 как ваш гид
• Блокировка всех привилегированных доступов с проверкой личности
• Анализ и переработка политик удаленного доступа внешних поставщиков
• Зафиксируйте все в живом рабочем журнале с именами, сроками и ответственностью

Самый упускаемый из виду актив на этом этапе - нейтральность руководства. Вам нужен человек, который сможет руководить перестройкой, не указывая пальцем.

Именно здесь CE Interim можно пригласить лидера PMO по восстановлению - нейтрального эксперта, который отвечает за выполнение, отслеживает укрепление системы, проводит тестирование и следит за тем, чтобы ничего не скатилось на территорию "мы исправим это позже".

Заключительное слово: Отвечайте так, будто вас будут судить, потому что так и будет

Ransomware не просто нарушает работу систем. Оно проверяет согласованность действий, принятие решений и операционную зрелость, причем все сразу.

Ни один совет директоров не хочет слышать, что никто не был главным.
Ни один клиент не захочет узнать об отключении от третьей стороны.
И ни одна команда завода не хочет чувствовать себя последней, кто знает, что происходит.

Киберстрахование может помочь возместить расходы. Резервные копии могут восстановить файлы.
Но только лидерство, готовность и скорость могут вернуть доверие.

Обращайтесь со своими план реагирования на инциденты как продукт. Обновляйте его. Тестируйте его. Присваивайте имена. Напечатайте его.
Выполняйте моделирование с участием сотрудников цеха, а не только ИТ-специалистов.

Потому что когда следующая атака попадает - И так оно и будет - ваша способность защитить людей, производство и репутацию будет зависеть от первых 30 минут.

Это окно не будет сопровождаться предупреждением.