Warum sollten Anlagenbetreiber die Cybersicherheit in ihre Sicherheitsbewertung einbeziehen?
Oft haben Anlagen Maschinen, die in verschiedenen Epochen der technologischen Entwicklung und Vorschriften in Betrieb genommen wurden. Die Sicherheitsinspektionen konzentrieren sich meist auf die Arbeitssicherheit und der Aspekt der Cybersicherheit steht nicht im Mittelpunkt. Es ist ein kultureller Wandel erforderlich, um sicherzustellen, dass die Anlagenbetreiber die Bedeutung der Cybersicherheit in den Anlagen erkennen. Die Lösung hierfür ist eine Änderung der Prozesse und Methoden im Zusammenhang mit der Sicherheit, beginnend damit, dass die Cybersicherheit als Teil der technischen Sicherheitsbewertung der Anlage betrachtet wird.
Verordnungen sind nicht das Allheilmittel
Die Bedrohungen der Cybersicherheit für die Geschäftskontinuität nehmen zu. Cybersicherheitsverordnungen wie die NIS2 und die neue Maschinenverordnung geben den Unternehmen Hinweise, wie sie diese Bedrohungen kontrollieren und bewältigen können. Dennoch erfordert die Berücksichtigung der Cybersicherheit mehr von den Organisationen.
"Die Berücksichtigung der Cybersicherheit bei der Bewertung der technischen Sicherheit erfordert eine Änderung der Kultur und der Art und Weise, wie wir derzeit vorgehen", sagt Jari Laurila, Leiter der Sicherheitsabteilung bei Etteplan. "Es ist möglich und sogar unerlässlich, die richtigen Änderungen im Voraus und bereits beim Kauf der Ausrüstung vorzunehmen."
Technische Risikobewertungen für Maschinen und Anlagen gehören für Anlagenbesitzer zur Routine. Leider wird die Cybersicherheit in diesem Stadium oft vergessen. Ein gemischter Maschinenpark aus verschiedenen Epochen ist dabei nicht hilfreich.
"Maschinen werden in der Regel über USB-Sticks aktualisiert und SPS haben freien Zugang zu den Produktionsanlagen. Diese traditionellen Vorgehensweisen bergen erhebliche Risiken für die Cybersicherheit", fährt Jari fort.
Sicherheitskonzept einschließlich Cybersicherheit
Das Sicherheitskonzept von Etteplan dient der Erstellung detaillierter Informationen über die Sicherheitsbedingungen am Arbeitsplatz. Der Service ist ein zielgerichteter Weg zur Erstellung einer maschinen- oder produktionslinienbasierten und detaillierten Risikobewertung. Aktualisierung bestehender Anlagen, Maschinen und Produktionslinien, um sie an die aktuelle Gesetzgebung anzupassen.
Abbildung 1. Sicherheitskonzept in verschiedenen Phasen der Wertschöpfungskette und des Basisprozesses
Abbildung 1 zeigt, dass das Sicherheitskonzept in jeder Phase des Prozesses eine wichtige Rolle spielt, unabhängig davon, ob es sich um einen Maschinenhersteller, einen Systemintegrator oder einen Anlagenbesitzer handelt. Das Sicherheitskonzept deckt kritische Sicherheitsmängel von Maschinen, Prozessen oder Produktionslinien auf. Es bietet einen Ausgangspunkt für die Detailplanung einschließlich technischer Realisierungsvorschläge. Das Sicherheitskonzept wird von den Sicherheitsexperten von Etteplan zusammen mit dem Kunden durchgeführt. Etteplan fügt der allgemeinen Risikobewertung auch eine Bewertung der Cybersicherheit hinzu.
"Cybersicherheit ist in allen Phasen wichtig, wird aber meist in den Phasen vergessen, die dem Eigentümer der Anlage zugewiesen sind. Als Teil unseres Sicherheitskonzepts führen wir eine detaillierte Bewertung der Cybersicherheitsrisiken durch und unterbreiten Vorschläge für das Management dieser Risiken", fährt Jari fort. "Durch die Betrachtung des Prozesses unter dem Aspekt der Cybersicherheit und die kontinuierliche Wiederholung des Prozesses können Anlagenbesitzer die Cybersicherheit in die alltäglichen Funktionen ihrer Anlage integrieren."
Benötigen Sie Hilfe bei der Bewertung von Sicherheit und Cybersicherheit in Ihrer Anlage? Zögern Sie nicht, uns zu kontaktieren.