Bezpieczeństwo cybernetyczne w przemyśle farmaceutycznym

| Technika

W roku 2010 pierwszy cyfrowy atak wymierzony w urządzenia automatyki przemysłowej na zawsze zmienił sytuację w sferze bezpieczeństwa produkcji. Zamiast uderzyć w elementy infrastruktury informatycznej, jak to w owym czasie czyniła większość wirusów, ten złośliwy wirus komputerowy o nazwie Stuxnet opanował programowalne sterowniki logiczne (PLC), zebrał informacje o systemach przemysłowych i uszkodził wirówki zakładu wzbogacania uranu w Natanz, w Iranie. Atak wirusem Stuxnet był dzwonkiem alarmowym, który ukazał luki w systemach zabezpieczeń cyfrowych instalacji przemysłowych.

Bezpieczeństwo cybernetyczne w przemyśle farmaceutycznym

Dziś każda branża przemysłowa zmaga się z rosną liczbą zagrożeń cybernetycznych. Aby efektywnie zminimalizować zagrożenie, firmy musiały zmienić sposób, w jaki działają i umieścić bezpieczeństwo cybernetyczne na samym szczycie działalności biznesowej. COPA-DATA odnotowuje te zmiany, obserwując chociażby wzrost znaczenia osób odpowiedzialnych za bezpieczeństwo informatyczne w firmach oraz rosnącą świadomość co do zastosowania najlepszych praktyk w dziedzinie zabezpieczeń cyfrowych, obowiązujących w danej branży.

Dotyczy to również przemysłu farmaceutycznego, który jest bardzo atrakcyjnym celem dla cyberataków. Celem tego artykułu jest przedstawienie firmom farmaceutycznym na czym polega cyberbezpieczeństwo, aby pomóc im zidentyfikować słabe punkty i wdrożyć odpowiednie zabezpieczenia. Opisano niektóre z najbardziej skutecznych zabezpieczeń dla przemysłu farmaceutycznego w dobie Smart Factory i Industry 4.0.

RYZYKO

BITSIGHT - organizacja, która bada zagrożenie cyberatakami przedsiębiorstw i branż przemysłowych, poinformowała, że cyberataki wymierzone w firmy sektora medycznego i farmaceutycznego przybierają na sile w znacznie szybszym tempie niż te wymierzone w inne sektory przemysłu.

Ponadto raport przygotowany przez organizację OCISIA, we współpracy z ekspertami w zakresie wywiadu elektronicznego z firmy BAE Systems Detica, szacuje, że straty ponoszone przez gospodarkę Wielkiej Brytanii, a wynikające z cyberprzestępczości, sięgają 27 miliardów funtów w skali roku. Ten sam raport wymienia branżę farmaceutyczną i biotechnologiczną pośród sektorów najmocniej dotkniętych tym problemem.

W oczach cyberprzestępcy przemysł farmaceutyczny to skarbnica niezwykle cennych informacji. Organizacje funkcjonujące w tej branży - od firm zajmujących się dystrybucją leków po laboratoria badawczo-rozwojowe - mogą być w posiadaniu tak zwanych danych wrażliwych, takich jak dane osobowe pacjentów czy poufne dane dotyczące nowych leków oraz przeprowadzanych testów. To wszystko sprawia, że przemysł farmaceutyczny jest atrakcyjnym celem dla ataków cybernetycznych.

OCHRONA PRZEZ ZGODNOŚĆ Z WYTYCZNYMI

Działając w jednym z najściślej regulowanych sektorów przemysłowych na świecie, firmy farmaceutyczne muszą przestrzegać skomplikowanych przepisów prawnych, zarządzeń i wytycznych. Czasem mogą one stanowić podstawę opracowania skutecznej strategii w zakresie przemysłowego bezpieczeństwa.

Jednym z najbardziej znanych zbiorów wytycznych dotyczących tej branży jest amerykański dokument The Food and Drug Administration (FDA) 21 CFR część 11. Dokument ten nakłada na organizacje farmaceutyczne obowiązek prowadzenia kontroli, elektronicznego audytu oraz weryfikacji systemów. Ustanawia on standardowe wymagania dla zachowania bezpieczeństwa w przemyśle poprzez prowadzenie wiarygodnej dokumentacji elektronicznej procesu produkcji wyrobów farmaceutycznych.

W przeważającej części zalecenia zawarte w dokumencie FDA 21 CFR część 11 idą w parze z podstawowymi wymogami w zakresie bezpieczeństwa nowoczesnych zakładów produkcyjnych.

Przeglądając bowiem archiwalne dokumenty i rekordy, zakłady mogą ustalić, gdzie wystąpiły przypadki naruszenia bezpieczeństwa, a to z kolei pozwoli zidentyfikować i lepiej zabezpieczyć najbardziej wrażliwe punkty systemu. W ten sposób dane techniczne i produkcyjne są chronione przed nieautoryzowanym dostępem, zmianą ustawień czy ich skasowaniem, co pozwala zapewnić dokładność, spójność i kompletność procesów. Docelowo wdrożenie zgodności z wytycznymi dokumentu FDA 21 CFR część 11 zaowocuje lepiej zorganizowanym, sprawniejszym i bardziej bezpiecznym procesem produkcji.

Zapisy elektroniczne zapewniają, upraszczając to, bezpieczeństwo danych. Uwierzytelnione podpisy elektroniczne sprawiają, że zarówno operatorzy, jak i ich przełożeni potwierdzają swoją tożsamość, wprowadzając jakiekolwiek zmiany do procesu produkcyjnego.

W połączeniu z wprowadzaniem inteligentnych maszyn i wynikającym z tego faktu napływem dużych zbiorów danych, osiągnięcie zgodności z wytycznymi w tym sektorze nie jest zadaniem łatwym. Ażeby spełnić wymagania tych skomplikowanych zaleceń i chronić swoje zakłady produkcyjne, myślący przyszłościowo producenci farmaceutyków zwracają się w kierunku aplikacji ułatwiających weryfikację danych i oprogramowania przeznaczonego dla przemysłu.

OCHRONA PRZEZ SYSTEM SMART SCADA

Smart (inteligentne) oprogramowanie typu SCADA, takie jak oprogramowanie zenon firmy COPA-DATA, zapewnia zgodność systemów HMI/SCADA z przepisami i normami farmaceutycznymi oraz zawiera wbudowane elementy zabezpieczeń cybernetycznych. Koncepcja "security by design" oznacza, że oprogramowanie i wszystkie jego elementy są tak zaprojektowane, aby gwarantować ich bezpieczne funkcjonowanie.

Wbudowane funkcje zabezpieczeń oprogramowania, które chronią firmy przed utratą danych oraz dostępem osób niepowołanych, obejmują funkcjonalność podpisu pliku, pozwalającą rozpoznać te pliki programowe, w których dokonano zmian, skuteczne szyfrowanie, bezpieczne uwierzytelnianie oraz automatyczną synchronizację plików w sieci z wykorzystaniem technologii "click-and-forget" ("kliknij i zapomnij").

Przykładem może być zintegrowane zarządzanie użytkownikami, które sprawia, że osoby nieposiadające autoryzacji nie mogą przejąć kontroli nad urządzeniami. Oznacza to, że można zablokować większość operacji dla danego użytkownika, nawet jego dostęp do pulpitu Windows. Dzięki temu, nawet jeśli nastąpi naruszenie zabezpieczeń, można je łatwo ograniczyć i uniemożliwić dostęp do innych aplikacji.

Reguła stosowania najlepszych praktyk podpowiada też, że producenci wyrobów farmaceutycznych powinni szyfrować cenne dane. Może to oznaczać kompresję danych produkcyjnych i przesyłanie ich po sieci oraz do klientów sieciowych w zaszyfrowanej formie, ale też stosowanie szyfrowanych haseł w celu ochrony określonych projektów badawczych czy firmowego know-how.

Niektóre programy HMI/SCADA używają własnego protokołu sieciowego do komunikacji pomiędzy poszczególnymi elementami oprogramowania. W ten sposób dane mogą być przesyłane w formie oddzielnych pakietów danych binarnych i informacje przeznaczone do odczytu maszynowego nigdy nie przybierają formy otwartego tekstu, w całej tej koncepcji komunikacji. Dodatkowe uwierzytelnianie klienta podczas konfigurowania połączenia również zapobiega niepowołanemu dostępowi do sieci.

Wszystko to sprawia, że hakerzy muszą pokonać wiele przeszkód, zanim będą w stanie dotrzeć do centrum systemu produkcyjnego. Ta ogólna strategia uzupełniana jest otwartym dialogiem oraz dokumentacją dotyczącą bezpieczeństwa. Dostawca oprogramowania typu HMI/SCADA powinien ściśle współpracować ze swoimi klientami po to, aby dopracować wytyczne w zakresie bezpieczeństwa i wykorzystać swoje doświadczenie w branży.

KOMUNIKACJA WEWNĄTRZ ORGANIZACJI

Wiedza i zrozumienie cybernetycznych zagrożeń nie powinny ograniczać się wyłącznie do personelu technicznego i informatycznego. W badaniach Global State of Information Security Survey 2016 najczęściej wymieniane słabe ogniwo systemów zabezpieczeń to… pracownicy.

Naruszenie wewnętrznych procedur bezpieczeństwa może być nieświadome, ale może okazać się równie szkodliwe, jak atak przeprowadzony z zewnątrz. Na początek organizacje powinny więc sprawdzić, ile przeciętny pracownik faktycznie wie o zachowaniu procedur bezpieczeństwa systemów przemysłowych. Po dokładnej analizie potencjalnych luk zabezpieczeń kolejnym krokiem powinno być wypracowanie odpowiedniej procedury oraz szkolenie załogi w zakresie zagadnień bezpieczeństwa w przemyśle.

PODSUMOWANIE

Technologia w przemyśle rozwija się w niesamowitym tempie. Choć nadchodzące trendy, takie jak operacje obliczeniowe w chmurze, Przemysłowy Internet Rzeczy (IIoT) czy Big Data z całą pewnością służą rozwojowi produkcji przemysłowej, to jednocześnie są nowym wyzwaniem dla osób zarządzających bezpieczeństwem w przemyśle oraz ochroną danych w organizacjach.

Czasy wirusa komputerowego Stuxnet mogą być już za nami, ale producenci wyrobów farmaceutycznych muszą zwyciężać w tej grze o zachowanie bezpieczeństwa w branży, jeśli chcą uniknąć złamania zabezpieczeń i wszystkich problemów z tym związanych. Najlepszym na to sposobem jest nawiązanie współpracy z doświadczonymi, wiarygodnymi partnerami, którzy znają ten sektor przemysłu i są jednocześnie liderami na rynku cybernetycznych zabezpieczeń tak jak COPA-DATA.

COPA-DATA
www.copadata.com/pl/