Nettsikkerhet på industrianlegg med IIoT

Når en IIoT-løsning implementeres i et industrielt anlegg, inneholder den sensitive opplysninger som krever en særlig kapslingsgrad. Dessuten krever tilkoblingen til internett permanent oppmerksomhet og aktsomhet. Teknologien utvikler seg svært rask, og hvert system må kontinuerlig følge utviklingen av nettsikkerheten – i et industrianlegg og et annet sted.

Pålitelig administrasjon av informasjonssikkerhet omfatter ikke bare datakryptering, det krever også en samlet strategi som omfatter følgende:

• Overholdelse av lovgivning og standarder: Relevante juridiske retningslinjer og anbefalte normer bør være oppfylt (f.eks. ISO 27001, ISO 27017, GDPR).
• Datasikkerhet: Det er innlysende at en IIoT-løsning vil inneholde sensitive opplysninger. Disse må behandles forsiktig i samsvar med strenge prosesser.
• Serverplasseringer: Når skyteknologien brukes, lagres data på servere hos leverandøren. På grunn av det lokale landet eller området indikerer plasseringen av serverne et høyere eller lavere nettsikkerhetsnivå. Plasseringer i Europa tilbyr de strengeste standardene takket være personvernlovgivningen.
• Organisatoriske prosesser: Nettsikkerhet er ikke mulig uten å benytte organisatoriske prosesser som definerer hvilke data som bør behandles av hvem, på hvilke måter, og når.
• Åpenhet: Pålitelige leverandører av digitale løsninger har et klart og gjennomsiktig støttesystem som til enhver tid viser kunden status for henvendelsen.
• Applikasjonsfunksjoner: Alle kravene i ISO 27001 og ISO 27017 ble implementert av Endress+Hauser. I alt 121 tiltak dekker selskapets fullstendige virksomhet. De blir kontinuerlig overvåket og oppdatert når det er nødvendig.

Alle disse punktene må tas i betraktning, implementeres og regelmessig kontrolleres ved levering av en IIoT-teknologi. Eksisterende revisjons- og standardiseringsrammer, lovverk og beste praksis kan være en praktisk støtte under implementeringen.

Endress+Hauser har bevist at IIoT-økosystemet Netilion oppfyller strenge informasjonssikkerhetsstandarder gjennom vurdering av eksterne sertifiseringsorganer. Fra første dag fikk kriterier knyttet til administrasjon av informasjonssikkerhet den ytterste oppmerksomhet og fungerer som en nyttig veiledning for å implementere digitale tjenester og sikre god nettsikkerhet i industrien.

• Overholdelse av lovverk og standarder: Ved opprettelsen av en profesjonell administrasjon av informasjonssikkerhet ved hjelp av IIoT-teknologier fikk Endress+Hauser følgende sertifiseringer for administrasjon av Netilion:
• ISO 27001 Ledelsessystemer for informasjonssikkerhet
• ISO 27017 Tiltak for informasjonssikring for skytjenester
• ISO 9001 Ledelsessystem for kvalitet
• Datasikkerhet: Kundedata lagret og behandlet i Netilion-økosystemet blir alltid behandlet svært forsiktig. Brukere har rett til å angi, få tilgang til, oppdatere og slette sine data. Alle tiltak oppfyller kravene i GDPR.
• Serverplasseringer: Serverne som Netilion-økosystemet er basert på, er plassert i Frankfurt og Dublin. Fra et nettsikkerhetsperspektiv regnes servere i EU som svært sikre.
• Organisatoriske prosesser: Endress+Hauser har satt opp prosesser for å reagere raskt ved datasikkerhetskriser, og alle oppfyller kravene i GDPR. De aktuelle partene vil bli informert umiddelbart, og det vil bli iverksatt mottiltak.
• Åpenhet: Endress+Hauser har implementert en gjennomsiktig støtteprosess som informerer kunden på en klar måte om hvordan kundens henvendelse behandles.
• Applikasjonsfunksjoner: Brukergrensesnittet i Netilion IIoT-økosystemet har alle nødvendige funksjoner, herunder moderne passordregler, automatisert passordadministrasjon, tidsstyrt avlogging og eksportfunksjoner.

Det finnes en rekke kriterier som anses som vesentlige for en profesjonell administrasjon av informasjonssikkerhet, og som er dekket av Netilion-økosystemet:

• Kryptering av sensitive opplysninger: IIoT-økosystemet Netilion fra Endress+Hauser tilbyr profesjonell beskyttelse av informasjon:
• Passord er kryptert med «bcrypt + salt + pepper».
• Brukeridentifikasjon fungerer med OAuth2-aktivert tokenprosedyrer.
• Kommunikasjonen er https-kryptert.
• Overføring av prosessdata via gatewayer: Ved vurdering av nettsikkerhet i industrianlegg er det ett punkt som krever den største oppmerksomhet, og det er gatewayen, selve tilgangspunktet. De Netilion-aktiverte gatewayene bruker enveiskommunikasjon: Feltdata passeres av gatewayen og sendes til skyen, men kommunikasjon i den andre retningen er forbudt. Denne arkitekturen er utviklet for å beskytte felten mot manipulering.
• Sertifisering: Et tredjeparts sertifiseringsorgan har bekreftet at Netilion IIoT-økosystemet oppfyller kravene i ISO 27017. Den internasjonale standarden inneholder krav til skyplattformer. Etterlevelse av kravene i ISO 27017 sikrer at kunder kan stole på at Netilion-økosystemet vil gi dataene deres en trygg havn. Og Endress+Hauser Digital Solutions, selskapet som utvikler IIoT-økosystemet Netilion, ble ISO 27001-sertifisert for informasjonssikkerhet.