GxP & IT-Praxistipps für den Mittelstand | Blog Christof Layher

Digitalisierung first, Sicherheit second?

Geschrieben von Christof Layher | Nov 7, 2018 7:44:53 AM

Sicherheit ist für pharmazeutische Digitalisierungsprojekte noch wichtiger, als für jedes andere mittelständische Unternehmen. Nach Auswertungen des Cybercrime Magazine haben alleine Erpressungstrojaner 2017 bereits fünf Milliarden USD an Kosten verursacht. Für 2019 werden 11,5 Mrd erwartet. Hinzu kommt in unserer Branche das Risiko Wissensvorsprung zu verlieren und natürlich unser Patient, für den wir produzieren, und von dem wir Schaden abwenden wollen.

Fragen zur Sicherheit im pharmazeutischen Mittelstand

  • Welchen Wert haben Trending und die Bewertung kritischer Prozess Attribute, wenn wir nicht sicher sind, dass die Daten, die wir angezeigt bekommen tatsächlich diejenigen sind, die der Sensor erzeugt hat?
  • Was bringt uns eine schöne dokumentierte Produktion, wenn unsere Patente inzwischen bei der Konkurrenz liegen?
  • Welchen Vorteil hätte ein Konkurrenz Unternehmen, wenn es durch das verändern eines Bits unsere Serialisierung stört?
  • Wie lange können wir den Betrieb aufrechterhalten, wenn digitale Systeme nicht verfügbar sind?
  • Wie argumentieren wir im Audit, wenn unsere Datenbank und das Backup durch einen Verschlüsselungs- Trojaner korrumpiert wurde?
  • Wie gewährleisten wir Datenintegrität, nachdem wir einen Virus auf dem Rechner hatten?

Diese und mehr Fragen machen klar, dass wir uns insbesondere um das Thema Sicherheit kümmern müssen.

Never Change a running system (and give no one access)

Das alte „Never Change a running system (and give no one access)“ funktioniert nicht mehr! Auch wenn viele immer noch das Bild der ISA 95 Schichten propagieren. Dieses Konzept trägt nicht mehr. Sensoren und Aktoren sind heute keine „dummen“ Geräte mehr, sondern sind als intelligente Systeme direkt in die Netze eingebunden. Operatoren müssen in der Bereitschaft von zu Hause aus den Status der Maschinen prüfen können. Die Beispiele sind vielfältig.

Auch die Reflexantwort: Dann macht halt Linux bringt nicht weiter. Zum einen gibt es viele Komponenten nicht für Linux Systeme; Viele Anlagenentwickler sind inzwischen auf Windows Systeme umgestiegen, zum anderen ist auch dort nicht alles Gold und es gibt Probleme mit der Integration. Viele „vor allem Techies“ sagen, dass mit Linux alles möglich ist, was auch mit Windows möglich ist. Von Benutzer Seite habe ich diese Aussage noch nie gehört…

Was tun um die Sicherheit zu steigern?

Wir führen digitale Prozesse ein und wollen uns auf diese verlassen können, damit das möglich ist, muss die Basis stimmen und Sicherheit gewährleistet sein. Ähnlich wie Qualität kann Sicherheit nicht nachträglich eingebaut werden. Sie muss von vorneherein in der System Architektur berücksichtigt sein. Damit meine ich nicht die Architektur eines einzelnen Systems, sondern die Architektur des Gesamt Systems des Unternehmens.

Wie sprechen Systeme miteinander, wie werden Daten ausgetauscht und wer muss mit wem reden, sind die Fragen ,die hier zu stellen sind. Hier ein paar Anregungen. Jede einzelne davon wird die Sicherheit weiter entwickeln.

Chefsache

Nichts wird Sicherheit bringen, wenn es nicht vorgelebt wird. Ein Mitarbeiter der mitbekommt, wie ein Vorgesetzter Sicherheitsregeln ignoriert wird sie selbst nicht einhalten. Hinzu kommt, dass Sicherheit Geld kostet und auch deswegen natürlich vom Management mit getragen werden muss.

Mitarbeiterschulung

Gut geschulte und wache Mitarbeiter sind das erste und wichtigste Mittel um Angriffe zu erkennen und zu verhindern. –> ca 70% der Angriffe werden über Mitarbeiter ins Unternehmen gebracht. Themen sind hier Fraud Atacken und Social Engineering.

Regelmässige Updates

Führen Sie eine strikte Update Policy ein. Regeln Sie Updates in SOPs um den qualifizierten Status zu gewährleisten und erstellen Sie ein System, in dem Systeme je näher Sie am Internet und am Office Benutzer sind früher gepatcht werden.

Service Segmentierung

Wir konfigurieren , Firewalls (auch die lokalen) dass Datenverkehr immer nur dort hin erlaubt ist, wo es auch benötigt wird. Der Datenbankserver der Produktionssteuerung benötigt im Normalfall keinen Zugriff auf die Ordner der Buchhaltung.

Einschränken der Dateiausführung

Wir erfassen den Sollzustand eines Systems und erlauben nur die Ausführung von Dateien, die in dieser positiv Liste erfasst sind. –> Zusätzlicher Benefit: Sicherstellen des qualifizierten Zustand.

Einschränken der Sichtbarkeit

Wenn jemand keinen Zugriff/Recht auf etwas hat, soll er es auch gar nicht sehen.

Verschlüsselung von Datenbank Inhalten

Hört sich komplizierter an, als es ist. Die meisten Datenbank Systeme bieten heute integrierte Möglichkeiten um Daten direkt  zu verschlüsseln.

Verschlüsselung von Festplatten

Verschlüsselung von Festplatten nicht nur auf mobilen Geräten, auch auf Servern.

Monitoring

Überwachen Sie Ihre Systeme. Dazu gehören Platten und CPU Auslastungen auf der einen Seite. Ein plötzliches Ansteigen der CPU Last kann z.B. bedeuten, dass jemand auf Ihre Kosten Bitcoin oder eine andere Kryptowährung schürft.

Aber auch die Kommunikation muss auf Anwendungsebene überwacht werden. Machen die Werte, die hier übermittelt werden Sinn? Ist der kritische Parameter bei der zweiten Übertragung noch der selbe wie bei der ersten?

Nutze die Gegenwart

Die bösen Jungs nutzen modernste Technologien, deswegen sollten wir das auch tun. Nutzen Sie Technologien wie Blockchain um Datenbestände zu sichern, oder KI Systeme um Auffälligkeiten im Netzwerk zu erkennen.

Fazit: Sicherheit ist weder Sprint noch Marathon

Sicherheit ist eher ein Ultra- Hindernislauf. Wenn wir starten wissen wir nicht, was wir auf unserer Reise alles erfahren werden. Wichtig ist es in Bewegung zu bleiben und sich beständig weiter zu entwickeln.

Mit chaotischen Grüße
Christof Layher
Vollständigen Beitrag anzeigen