Fragen und Antworten zur Cybersicherheit für GxP-Überwachungssysteme

Cybersicherheit in GxP-Überwachungssystemen
Life-Science
Willkommen zu einem weiteren F&A-Video aus unserem Webinar „Cybersicherheit in Ihrem GxP-Überwachungssystem“. In diesem Video beantwortet Paul Daniel, unser Senior GxP Regulatory Expert, Fragen (auf Englisch), für die wir während des Webinars keine Zeit mehr hatten. Wenn Sie das Live-Webinar verpasst haben, können Sie es jetzt ansehen.
 
Wenn Sie weitere Fragen haben, geben Sie diese einfach im Kommentarbereich unterhalb des Videotranskripts ein.

[00:00:05] Hallo, und willkommen zu einem weiteren Vaisala-Videoblog. Im heutigen Blog werden Fragen beantwortet, die wir in einem aktuellen Webinar zu „Cybersicherheit in Ihrem GxP-Überwachungssystem“ erhalten haben.
 
Willkommen bei Paul Daniel, unserem Senior Regulatory Expert ([email protected]).
 
Erste Frage:
 
„Ich muss auf viele verschiedene Systeme zugreifen, jedes mit einem anderen Passwort. Kann ich einen Passwortmanager verwenden, um meine Passwörter in einer GMP-Einrichtung zu verwalten?“
Paul Daniel: Oh, ich liebe Passwortmanager und verwende sie privat. Auf diese Weise kann ich komplexe sichere Passwörter für alle meine Online-Konten nutzen. So muss ich mir nur das eine Passwort merken, um in den Manager zu gelangen. Ich habe jedoch nicht wirklich darüber nachgedacht, ihn in der Arbeit zu verwenden, da für die meisten unserer Systeme Single Sign-On (SSO) oder Active Directory eingesetzt wird. Ich würde davon ausgehen, dass Sie in einem großen Unternehmen auch Single Sign-On nutzen würden und sich nicht eine Reihe von Passwörtern merken müssten. Wenn Sie jedoch Teil eines kleineren Unternehmens wären, könnten Sie in diese Situation geraten. Ich sehe konzeptionell nichts Falsches daran, einen Passwortmanager für vier GMP-Passwörter zu verwenden, solange
 
  • Sie die Anforderungen an die Passwortkomplexität erfüllen,
  • Sie keine Passwörter weitergeben,
  • Sie diese nicht auf Papier schreiben.
Da Passwörter virtuell in Ihrem Passwortmanager gespeichert werden, einer passwortgeschützten Umgebung mit einem komplexen Passwort, haben Sie den Sinn der GMP-Anforderungen technisch erfüllt. Hier liegt jedoch möglicherweise ein logistisches Problem vor, da Ihr Passwortmanager auf Ihrer Computerarbeitsstation installiert werden müsste. Das könnte gegen eine Unternehmensrichtlinie verstoßen. Die sicherste Möglichkeit ist wahrscheinlich, die Idee den Qualitäts- und IT-Gruppen vorzubringen und zu sehen, was sie dazu sagen.
 
Nächste Frage:
 
„Steigt das Risiko, in einem Cloud-basierten Überwachungssystem gehackt zu werden? Ist die Sicherheit in der Cloud besser oder schlechter?“
Paul Daniel: Das ist eine bedeutende Frage, da es so viele [Arten] von Clouds gibt. Es ist schwierig zu wissen, wo man anfangen soll. Im Allgemeinen ist die Sicherheit in der Cloud besser. Angenommen, es handelt sich um Software as a Service (SaaS). In diesem Fall wird Ihre Anwendung auf einem öffentlichen Cloud-Dienst wie Microsoft Azure oder Amazon Web Services (AWS) ausgeführt.
 
Einerseits wird Ihr Risiko reduziert, da ein guter Teil der Infrastruktur und Programmierung direkt von Amazon oder Microsoft stammt. Sie verfügen über mehr Ressourcen, Erfahrung und Kompetenz als die durchschnittliche IT-Abteilung, insbesondere in Bezug auf Sicherheit.
 
Auf der anderen Seite bleibt das Risiko gleich, da Sie weiterhin sicherstellen müssen, dass Ihre eigene Implementierung des Cloud-Tools sicher ist. Am Ende müssen Sie dieselben vier grundlegenden Sicherheitsverfahren befolgen, die wir im Webinar behandelt haben:
 
  • Bewährte Verfahren mit Passwörtern befolgen
  • Sicherheitsfunktionen von Anbietern in Ihren Benutzungsanforderungsdokumenten anfordern
  • Kompetente Anbieter auswählen und prüfen
  • Bewährte Verfahren für Backup, Wiederherstellung und Steuerung befolgen
Insgesamt sind Sie mit einem Cloud-Dienst wahrscheinlich sicher, müssen jedoch weiterhin bewährte Verfahren befolgen.  Wenn es sich nun um eine Cloud handelt, die auf Infrastructure as a Service beschränkt ist, sind Sie weiterhin für Ihre Serverbereitstellung und alle damit verbundenen Verantwortlichkeiten zuständig. In dieser Situation ist das Risiko nicht so gering wie bei SaaS, aber wahrscheinlich immer noch geringer als bei einem herkömmlichen lokalen System.
 
Nächste Frage:
 
„Das industrielle Internet der Dinge (IIoT) macht die Menschen nervös, weil Systeme dadurch Purdue-Modellebenen, das ist Ebene 2, direkt mit dem Internet verbinden. Was können Sie mir dazu sagen, damit ich mit dem IIoT vertraut werde?“
Paul Daniel: Wenn Sie so wie ich gerade erst von Purdue-Modellen gehört haben, denken Sie, was ist das? Grundsätzlich ist die Purdue Enterprise Reference Architecture (PERA) eine Methode zum Verständnis und System zur industriellen Steuerung, indem die Teile in der Ebene getrennt werden. Auf Ebene 2 befinden sich Steuerungen und Sensoren beispielsweise in Ihrer Fertigungslinie. Das Internet liegt irgendwo viel höher auf Ebene 5. Diese Frage lautet also im Grunde: „Wenn ich das IIoT verwende und die Sensoren in der Fertigungslinie aktiviere, öffne ich ein Portal zwischen dem Internet und meiner Fertigungslinie?“
 
Ich stimme zu, dass es riskant klingt. In unserem Webinar ging es darum, wie ein komplexes serverbasiertes System vor Cyberangriffen geschützt werden kann. Unsere eigene Software – das kontinuierliche Überwachungssystem viewLinc – umfasst viele bekannte Korrekturen und Ressourcen, um Fehler leicht zu beheben.
 
Bei IIoT haben Sie es jedoch möglicherweise mit zahlreichen Geräten von Drittanbietern zu tun, die nicht über viele Ressourcen für Sicherheitssteuerungen oder Aktualisierbarkeit verfügen. Ich bin auch der Ansicht, dass wir diese Geräte dadurch potenziellen Angriffen über das Internet aussetzen. Ich glaube nicht, dass ich irgendetwas dazu sagen kann, damit Sie mit dem IIoT vertraut werden, weil ich bin es ebenso nicht. Solange es noch keine Standardisierung der Sicherheitsverfahren für IoT-Geräte gibt, besteht meines Erachtens einfach ein zu hohes Risiko. Ich liebe die Idee, Dinge zu vernetzen. Wir können die Produktivität durch Vernetzung in einem privaten Netzwerk steigern, aber ich mag den Gedanken nicht, kritische industrielle Geräte dem Internet auszusetzen.
 
Zweifellos werden wir hier in den nächsten Jahren weitere Fortschritte sehen. Ich meine, es hat mehr als 30 Jahre gedauert, bis die Internetsicherheit dort angekommen ist, wo sie heute ist. Die IIoT-Sicherheit braucht nur einige Zeit, um aufzuholen.
 
Letzte Frage:
 
„Bezahlt Vaisala Sicherheitsunternehmen, um viewLinc auf Exploits zu überprüfen, oder bietet es Prämien für gefundene Fehler?“
Paul Daniel: Nein. Vaisala ist nicht an Vereinbarungen beteiligt, Prämien für in unseren Systemen gefundene Fehler zu zahlen. Ja, wir beauftragen externe Sicherheitsberatungsunternehmen, unsere Systeme zu überprüfen, um Schwachstellen erkennen und unsere Software verbessern zu können. Unsere letzte Runde von Sicherheitsupdates basiert auf vier spezifischen Problemen, die wir mithilfe eines Sicherheitsberatungsunternehmens festgestellt haben. Normalerweise würde ich dies nicht als Suche nach Exploits beschreiben, aber es hat uns dabei geholfen, unsere Software zu verbessern. Ich nehme an, es ist falsch zu sagen, dass wir sie beauftragt haben, um Exploits zu finden.

Fazit:  Vielen Dank an alle, die an unserem Live-Webinar teilgenommen haben. Wenn Sie sich das aufgezeichnete Webinar ansehen und Fragen haben, schreiben Sie eine E-Mail an Paul Daniel, oder hinterlassen Sie Kommentare in den Feldern unten.
Erfahren Sie mehr über die spezifischen Sicherheitsupdates in viewLinc 5.1, indem Sie hier klicken.
 
 

Weltraumtaugliche Messtechnik

Wie können Ihre GxP-Mess- und Überwachungsprozesse von Vaisalas weltraumtauglicher Technik profitieren? Erfahren Sie mehr darüber, wie Vaisala-Lösungen im Mars Exploration Program der NASA eingesetzt werden.

Jetzt ansehen

 

Neuen Kommentar absenden