Načrt odzivanja na incidente, ko vašo tovarno prizadene izsiljevalska programska oprema

Nimate dovolj časa, da bi prebrali celoten članek? Poslušajte povzetek v 2 minutah.

Ko izgubite več kot le podatke

Linija se ni ustavila zaradi pokvarjenega stroja. Ustavila se je, ker se nihče ni mogel prijaviti.

Prikazovalniki HMI so zamrznili. MES je utihnil. Na polovici zaslonov se je pojavilo sporočilo o odkupnini. Operaterji so izvlekli liste papirja in se poskušali spomniti, kako ročno zagnati stiskalnico. Vodje izmene so iskali nekoga, kogar koli, ki bi vedel, kaj storiti.

Ni šlo za kršitev informacijske tehnologije. Šlo je za izpad električne energije v tovarni.

Ransomware v proizvodnji je drugačen. Ne izgubite le datotek. Izgubite čas, varnostno vidljivost, nadzor nad procesi, povezljivost z dobavitelji in v nekaterih primerih tudi zaupanje strank. Ko je celoten obrat odvisen od sinhroniziranega, digitaliziranega delovanja in to nenadoma izgine, vam priročnik za odzivanje ERP ne bo pomagal.

Tovarne, ki preživijo te udarce, niso tiste z najdražjo kibernetsko varnostjo.
Ti imajo jasen in praktičen načrt, ki povezuje IT, OT, pravno službo, vodstvo in osebje v realnem času in pod resničnim pritiskom.

Kdo in kdaj odloča?

V prvih 60 minutah napada z izsiljevalsko programsko opremo je treba odločitve sprejemati hitro.

Toda v večini proizvodnih podjetij ni jasno, kdo jih bo izdelal.

Oddelek IT želi izklopiti sisteme. Operativne službe želijo zaščititi premik. Pravna služba zahteva molk. Centrala zahteva številke o vplivu. Vodstvo obrata želi, da bi linija delovala varno.

Tu se zalomi.

Mnoga podjetja privzamejo odzivni načrt, ki ga vodi IT, vendar morajo biti v tovarnah varnost, celovitost receptov in neprekinjenost proizvodnje odločilni za vsako potezo. Če za ta scenarij niste nikoli dodelili pravic odločanja, bo napad to razkril v nekaj minutah.

Opredelite vsaj:

  • Kdo razglasi kibernetsko izredne razmere v obratu
  • Kdo nadzoruje dostop do OT okolij med obnovitvijo
  • Kdo govori s strankami, sindikati in regulatorji
  • Kdo odobri ponovni zagon proizvodnje

In kdo prevzame delo, ko je nekdo na dopustu.

Kadar vodstvo ni prisotno, se ne strinja ali je pod pritiskom, CE Interim lahko napoti začasnega poveljnika nesreče, ki je usposobljen za OT, da vzpostavi povezavo med funkcijami, uskladi odzivne ukrepe in vodi operacijo, dokler stalna ekipa ne prevzame nadzora.

5 točk pritiska, ki uničijo večino tovarn

Večina načrtov izsiljevalske programske opreme se osredotoča na strežnike in datoteke. Toda kaj dejansko povzroča kaos v tovarni?

Tukaj je pet točk pritiska, na katerih se razvijejo resnični incidenti:

I. Izguba vidljivosti - Izginejo zasloni MES, zgodovinski podatki in zapisi o serijah. Operaterji so slepi.

II. Prekinitev komunikacije - Telefoni VoIP, Outlook in celo radijske postaje ne delujejo. Ekipe ne morejo stopnjevati težav.

III. Nepreverjena logika recepta - Brez zaupanja vrednih sistemov obstaja tveganje, da boste v stroje vnesli napačne nastavitve.

IV. Blokada prodajalca - Podpora na daljavo proizvajalca OEM ne more vstopiti ali, kar je še huje, je lahko vektor napada.

V. Panika delovne sile - Brez informacij se širi strah. Vodje izmene izgubijo avtoriteto. Širijo se govorice.

Tega ne morete odpraviti. Lahko le strukturirate sistem tako, da se ne zrušijo vsi naenkrat.

Ali lahko še vedno zagotavljate storitve? Kako teči v temi

Prvo vprašanje, ki si ga po napadu zastavijo nadzorni odbori, je:
Ali lahko še vedno pošiljamo?

Iskren odgovor: odvisno od tega.

Tovarne lahko včasih izvajajo delne operacije z ročnimi varnostnimi kopijami, natisnjenimi SOP in dobrim nadzorom izmene.

Vendar to deluje le, če:

  • Varnostne blokade so fizične ali varne pred odpovedjo.
  • Linija se ne zanaša na recepturo v realnem času.
  • Ekipe vedo, kako preklopiti na ročni menjalnik, in so to že storile.

Tek v temi ni pogumen. Brez varovalnih ograj je nevarno.

Zato številni uspešni proizvajalci v svoj načrt kibernetskega odzivanja vključijo oddelek za neprekinjeno delovanje obrata - ekipo, ki ni osredotočena na obnovo IT, temveč na varno dostavo tistega, kar je mogoče dostaviti, v nekaj urah po udaru.

CE Interim pogosto postavlja začasni vodja obrata za točno to: stabilizacijo osnovne proizvodnje, upravljanje komunikacije z dobavitelji in strankami ter usklajevanje obvozov na delovnem mestu, medtem ko so digitalni sistemi še vedno v okvari.

Kaj povedati navznoter in navzven

Incident z izsiljevalsko programsko opremo je deloma kibernetski napad, deloma kriza ugleda.

Ni vam treba vsega razkriti takoj. Pomembno pa je, kaj in kdaj boste povedali.

V notranjosti obrata, ljudje potrebujejo zagotovilo. Tišina povzroča paniko.

V prvi izmeni sporočite:

  • Kaj se je zgodilo, preprosto povedano
  • Kaj je bilo storjeno za zaščito varnosti in plač?
  • Kdo sprejema odločitve in na koga se lahko obrnete.

Za stranke, preglednost je pomembna. Če to vpliva na dobavo, to povejte zgodaj. Obljubite le tisto, kar lahko potrdite. Kupci si bolj zapomnijo jasnost kot zamude.

Regulatorji in sindikati če sistemi vplivajo na varnost, delovne dogovore ali postopke skladnosti, je treba o tem obvestiti. Izogibajte se omalovaževanju kršitve, zlasti če obstaja sum izpostavljenosti podatkov.

Hitro uskladite pravne zadeve, odnose z javnostmi in zavarovanje.
Ne pozabite, da lahko v skladu s pravili Združenega kraljestva in EU plačilo odkupnine povzroči dodatno odgovornost, zlasti če so vpleteni akterji, za katere veljajo sankcije.

Od omejevanja do utrjevanja brez krivde

Ko se proizvodnja nadaljuje in forenzična ekipa konča svoje poročilo, se začne pravo delo.

V fazi obnovitve ne gre za nameščanje popravkov programske opreme. Gre za ponovno vzpostavitev zaupanja v sistem - in v vaše vodstvo.

To pomeni:

  • Dokazovanje, da so varnostne kopije preizkušene in obnovljive
  • Segmentiranje območij OT in IT z uporabo IEC 62443 kot vaš vodnik
  • zaklepanje vseh privilegiranih dostopov s preverjeno identiteto
  • Pregledovanje in preoblikovanje pravilnikov o oddaljenem dostopu zunanjih prodajalcev
  • Vse je zajeto v tekoči knjigi z imeni, časovnimi okviri in odgovornostmi.

Najbolj spregledana prednost v tej fazi je nevtralnost vodstva. Potrebujete nekoga, ki lahko vodi obnovo, ne da bi kazal s prstom.

Tu se nahaja CE Interim lahko vključite vodjo PMO za obnovitev, nevtralnega strokovnjaka, ki je odgovoren za izvajanje, spremlja utrjevanje sistema, vodi testiranje in zagotavlja, da se nič ne premakne na področje "bomo to popravili pozneje".

Končna beseda: Odzivajte se, kot da vam bodo sodili, ker vam bodo sodili

Ransomware ne povzroča le motenj v delovanju sistemov. Preizkuša usklajenost, sprejemanje odločitev in operativno zrelost, vse hkrati.

Noben odbor ne želi slišati, da nihče ni bil odgovoren.
Nobena stranka ne želi, da bi o izpadu izvedela od tretje osebe.
Nobena ekipa v obratu ne želi imeti občutka, da je zadnja, ki ve, kaj se dogaja.

Kibernetsko zavarovanje lahko pomaga pri povračilu stroškov. Varnostne kopije lahko obnovijo datoteke.
Vendar lahko zaupanje povrnejo le vodstvo, pripravljenost in hitrost.

Privoščite si načrt odzivanja na incidente kot izdelek. Posodobite ga. Preizkusite ga. Dodelite imena. Natisnite ga.
Izvajajte simulacije, ki vključujejo tudi proizvodno halo, ne le IT.

Ker ob naslednjem napadu - in tudi bo - od prvih 30 minut bo odvisna vaša sposobnost zaščite ljudi, proizvodnje in ugleda.

To okno ne bo opremljeno z opozorilom.

Dodaj odgovor

Vaš e-naslov ne bo objavljen. * označuje zahtevana polja