Środa, 07 lutego 2024

Bezpieczeństwo biznesowe: chmura czy "zero chmur"?

Departament Bezpieczeństwa Stanów Zjednoczonych (DoD) wymusza na wszystkich współpracujących poddostawcach usług, komponentów i urządzeń konieczność przejścia audytu certyfikacyjnego w zakresie zapewnianego stopnia dojrzałości organizacji w cyberbezpieczeństwie (Cybersecurity Maturity Model Certification, CMMC). Ma to na celu poprawę ochrony informacji zastrzeżonych powiązanych z realizowaną dla tamtejszego wojska produkcją.

Bezpieczeństwo biznesowe: chmura czy "zero chmur"?

Informacja ta niekoniecznie wydaje się bardzo istotna i z pewnością jest nieco lakoniczna, ale dotyka ona dużego i szybko narastającego problemu z niedostatecznym bezpieczeństwem danych produkcyjnych.

Jak sygnalizują eksperci, producenci elektroniki nie tylko nie dbają o to, aby przekazywane do partnerów dane produkcyjne były bezpieczne, nie kontrolują, komu są udostępniane i jak przechowywane, jak długo, nie mają też wdrożonej polityki ustalającej reguły współpracy z firmami zewnętrznymi. Projekty płytek, dane CAD/CAM dotyczące montażu, listy komponentów wysyłane są e-mailami do przypadkowych firm w celu wyceny zlecenia, a potem nikt się nie interesuje, jak długo są one przechowywane i jak zabezpieczone. Często wcale.

Problem jest z zarządzaniem dużymi zbiorami danych, wygenerowanych przez maszyny produkcyjne w ramach traceability, z komunikacją między zespołem projektantów a fabryką, informacjami na temat zaistniałych problemów, statystykami, które tworzą aplikacje Przemysłu 4.0 i podobnymi. Ochrona kodu firmware i własności IP też bywa iluzoryczna, bo bardzo często firmy produkcyjne wykorzystują starsze systemy komputerowe i oprogramowanie, które nie są aktualizowane oraz modernizowane i stają się podatne na włamania.

Wyciek około 250 GB danych medycznych obejmujących wiele lat działalności z laboratorium diagnostycznego Alab w Polsce nie dotyczy wprawdzie elektroniki, niemniej jest to spektakularny przykład panującej beztroski w tym zakresie.

Producenci elektroniki nie do końca rozumieją, w jakim stopniu dane są rozpowszechniane na całym świecie, zwłaszcza jeśli chodzi o przekazywanie ich za granicę. Większość ekspertów ds. cyberbezpieczeństwa również nie ma pojęcia, co się dzieje z danymi. Bo skoro istnieją dobrze znane podstawowe kroki ochrony danych, w tym uwierzytelnianie dwuskładnikowe, szyfrowanie wiadomości e-mail, segmentacja sieci, tworzenie kopii zapasowych, zarządzanie urządzeniami mobilnymi i formułowanie planu reagowania na incydenty, to takie wycieki, jaki mieliśmy w Alabie, nie powinny mieć miejsca.

Ochrona danych projektowych wymaga stałej czujności, ponieważ zagrożenia ciągle się zmieniają. Zdaniem ekspertów błędem jest mieć zaufanie do starego oprogramowania zarządzającego maszynami, gdyż ma ono zbyt wiele wrażliwych miejsc (dziur). Innym częstym błędnym i stereotypowym przekonaniem jest to, że przechowywanie danych na miejscu w firmie jest bezpieczniejsze niż wysyłanie ich do chmury. Wiele firm ma nawet politykę „zero chmur”, gdyż uważa, że wysyłając dane do chmury, zarządzanej przez trzecią stronę, udostępniają je do wglądu podmiotom nieuprawnionym. Badania pokazują, że kompletnie rozmija się to z rzeczywistością, a dostawcy usług w chmurze bardzo poważnie podchodzą do bezpieczeństwa i znają się na tym znacznie lepiej od producentów OEM i firm EMS.

Może zatem na początku roku warto przemyśleć, czy przechowywanie na dyskach lokalnych w firmie danych o zleceniach i projektach sprzed lat jest do czegokolwiek potrzebne. Nie wszystko w zakresie cyberbezpieczeństwa naprawimy od razu, ale może warto wymontować dysk z archiwaliami i schować go do szafy?

Robert Magdziak

Zapytania ofertowe
Unikalny branżowy system komunikacji B2B Znajdź produkty i usługi, których potrzebujesz Katalog ponad 7000 firm i 60 tys. produktów
Dowiedz się więcej

Polecane

Nowe produkty

Zobacz również