Plán reakcie na incidenty, keď vašu továreň zasiahne ransomvér

Nemáte dosť času na prečítanie celého článku? Vypočujte si zhrnutie za 2 minúty.

Keď stratíte viac ako len údaje

Linka sa nezastavila kvôli pokazenému stroju. Zastavila sa, pretože sa nikto nemohol prihlásiť.

HMI zamrzli. MES sa odmlčal. Na polovici obrazoviek sa objavila správa o výkupnom. Operátori vytiahli papierové hárky a snažili sa spomenúť si, ako spustiť lis ručne. Vedúci zmeny hľadali niekoho, kohokoľvek, kto by vedel, čo má robiť.

Nešlo o narušenie IT. Išlo o výpadok prúdu v továrni.

Ransomvér vo výrobe je iný. Neprídete len o súbory. Strácate čas, bezpečnostný prehľad, kontrolu procesov, prepojenie s dodávateľmi a v niektorých prípadoch aj dôveru zákazníkov. Keď celý váš závod závisí od synchronizovanej, digitalizovanej prevádzky a tá náhle zmizne, nepomôže vám ani príručka na reakciu ERP.

Továrne, ktoré tieto zásahy prežijú, nie sú tie s najdrahším kybernetickým zabezpečením.
Sú to tí, ktorí majú jasný, praktický plán, ktorý spája IT, OT, právne oddelenie, vedenie a pracovisko v reálnom čase a pod skutočným tlakom.

Kto a kedy rozhoduje?

V prvých 60 minútach útoku ransomvéru je potrebné prijímať rýchle rozhodnutia.

Vo väčšine výrobných spoločností však nie je jasné, kto ich bude vyrábať.

IT oddelenie chce vypnúť systémy. Operačné oddelenie chce chrániť zmenu. Právny odbor požaduje mlčanie. Centrála žiada čísla dopadov. Vedenie závodu chce len bezpečný chod linky.

Tam sa to zlomí.

Mnohé spoločnosti sa štandardne riadia plánom reakcie založeným na IT, ale v továrňach musí každý krok určovať bezpečnosť závodu, integrita receptúr a kontinuita výroby. Ak ste nikdy nepridelili rozhodovacie práva pre tento scenár, útok to odhalí v priebehu niekoľkých minút.

Minimálne definujte:

  • Kto vyhlási kybernetickú pohotovosť v celom závode
  • Kto kontroluje prístup k prostrediam OT počas obnovy
  • Kto hovorí so zákazníkmi, odbormi a regulačnými orgánmi
  • Kto povoľuje reštart výroby

A kto prevezme prácu, keď je niekto na dovolenke.

Keď vedenie chýba, nesúhlasí alebo je pod tlakom, CE Interim môže nasadiť dočasného veliteľa incidentu, ktorý ovláda OT, aby zabezpečil prepojenie medzi jednotlivými funkciami, zosúladil reakčné činnosti a riadil operáciu, kým stály tím nezíska kontrolu.

5 tlakových bodov, ktoré rozbíjajú väčšinu tovární

Väčšina plánov ransomvéru sa zameriava na servery a súbory. Čo však v skutočnosti spôsobuje chaos v továrni?

Tu je päť tlakových bodov, v ktorých sa odohrávajú skutočné incidenty:

I. Strata viditeľnosti - Obrazovky MES, historické údaje a záznamy o dávkach zmiznú. Operátori sú slepí.

II. Zlyhanie komunikácie - Telefóny VoIP, Outlook a dokonca aj rádiá zlyhávajú. Tímy nemôžu eskalovať.

III. Neoverený recept Logika - Bez dôveryhodných systémov hrozí, že do strojov vložíte nesprávne nastavenia.

IV. Zablokovanie predajcu - Vzdialená podpora vášho výrobcu OEM sa k nemu nemôže dostať, alebo ešte horšie, môže byť vektorom útoku.

V. Pracovná panika - Bez informácií sa šíri strach. Vedúci zmeny strácajú autoritu. Rozširujú sa fámy.

Nemôžete ich vycvičiť. Môžete len štruktúrovať systém tak, aby sa všetky naraz nezrútili.

Dokážete to ešte doručiť? Ako bežať v tme

Prvá otázka, ktorú si po útoku kladú palubné dosky, je:
Môžeme ešte odosielať?

Úprimná odpoveď: záleží na tom.

Továrne môžu niekedy vykonávať čiastočné operácie s manuálnymi zálohami, tlačenými SOP a dobrým dohľadom nad zmenami.

To však funguje len vtedy, ak:

  • Bezpečnostné blokovania sú fyzické alebo bezpečnostné
  • Linka sa nespolieha na tlačenie receptov v reálnom čase
  • Tímy vedia, ako prepnúť na manuálny režim, a už to urobili.

Bežať v tme nie je odvážne. Bez zábradlia je nebezpečný.

Preto mnohí úspešní výrobcovia do svojho plánu reakcie na kybernetické útoky zakomponujú aj oddelenie kontinuity prevádzky - tím, ktorý sa nezameriava na obnovu IT, ale na bezpečné dodanie toho, čo sa dá dodať, v priebehu niekoľkých hodín po zásahu.

CE Interim často umiestňuje dočasný vedúci závodu presne toto: stabilizovať hlavnú výrobu, riadiť komunikáciu s dodávateľmi a zákazníkmi a koordinovať pracovné postupy na úrovni prevádzky, keď sú digitálne systémy stále nefunkčné.

Čo povedať interne a externe

Incident s ransomvérom je čiastočne kybernetický útok a čiastočne kríza reputácie.

Nemusíte všetko zverejniť okamžite. Záleží však na tom, čo a kedy poviete.

Vnútri závodu, ľudia potrebujú uistenie. Ticho plodí paniku.

Počas prvej zmeny komunikujte:

  • Čo sa stalo, jednoducho povedané
  • Čo sa robí na ochranu bezpečnosti a odmeňovania
  • Kto rozhoduje a na koho sa má obrátiť

Pre zákazníkov, transparentnosť je dôležitá. Ak sú dodávky ovplyvnené, povedzte to včas. Sľubujte len to, čo môžete potvrdiť. Kupujúci si viac pamätajú jasnosť ako oneskorenie.

Regulačné orgány a odbory musí byť informovaný, ak systémy ovplyvňujú bezpečnosť, pracovné dohody alebo procesy dodržiavania predpisov. Vyhnite sa bagatelizovaniu porušenia, najmä ak existuje podozrenie z ohrozenia údajov.

Rýchle zosúladenie právnych predpisov, PR a poistenia.
A nezabudnite, že podľa pravidiel Spojeného kráľovstva a EÚ môže zaplatenie výkupného viesť k ďalšej zodpovednosti, najmä ak ide o subjekty, na ktoré sa vzťahujú sankcie.

Od obmedzenia k sprísneniu bez obviňovania

Po obnovení výroby a dokončení správy forenzným tímom sa začína skutočná práca.

Fáza obnovy nie je o inštalácii softvérových záplat. Ide o obnovenie dôvery v systém - a vo vaše vedenie.

To znamená:

  • Dokázanie, že zálohy sú testované a obnoviteľné
  • Segmentácia zón OT a IT pomocou IEC 62443 ako váš sprievodca
  • Uzamknutie všetkých privilegovaných prístupov s overenou identitou
  • Preskúmanie a prepracovanie zásad vzdialeného prístupu externého dodávateľa
  • Zachytenie všetkého v živej knihe úloh s menami, časovými harmonogramami a zodpovednosťou

Najviac prehliadanou výhodou v tejto fáze je neutralita vedenia. Potrebujete niekoho, kto dokáže viesť prestavbu bez ukazovania prstom.

Tu sa CE Interim môže zapojiť vedúceho PMO obnovy, neutrálneho experta, ktorý je zodpovedný za realizáciu, sleduje spevňovanie systému, riadi testovanie a zabezpečuje, aby nič neskĺzlo do oblasti "opravíme to neskôr".

Záverečné slovo: Reagujte tak, ako keby ste mali byť súdení, pretože budete

Ransomvér nenarúša len systémy. Testuje zosúladenie, rozhodovanie a prevádzkovú vyspelosť, a to všetko naraz.

Žiadna rada nechce počuť, že nikto nebol zodpovedný.
Žiadny zákazník sa nechce dozvedieť o výpadku od tretej strany.
A žiadny tím závodu sa nechce cítiť ako posledný, kto vie, čo sa deje.

Kybernetické poistenie môže pomôcť pri náhrade nákladov. Zálohy môžu obnoviť súbory.
Dôveru však môže obnoviť len vedenie, pripravenosť a rýchlosť.

Doprajte si plán reakcie na incidenty ako produkt. Aktualizujte ho. Otestujte ho. Prideľte mu názvy. Vytlačte ho.
Vykonávajte simulácie, ktoré zahŕňajú celú výrobnú halu, nielen IT.

Pretože pri ďalšom útoku - a bude - vaša schopnosť chrániť ľudí, výrobu a povesť bude závisieť od prvých 30 minút.

Toto okno nebude obsahovať upozornenie.

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená. Vyžadované polia sú označené *