IT-säkerhet i det tillverkande företaget Henrik Carnborg System Service Engineer, Sweden Operations Joakim Moby IS Security Assurance & Business Engagement Lead, Corporate IS 2011-09-28
Kort introduktion AstraZenecas tillverkning AstraZeneca har 9100 anställda i Sverige Varav ca 5000 i Södertälje och 2500 i Mölndal Tillverkning av läkemedel sysselsätter ca 2600 personer i Sverige Tillverkningsenheter i Södertälje Snäckviken (substanser, flytande, turbuhaler, m m) Gärtuna (tabletter, packning) Världens största tablettfabrik 2 AstraZeneca 2011-09-28
Vi har 23 produktionsanläggningar i 16 länder. Sverige Snäckviken Gärtuna USA Newark Westborough Storbritannien Avlon Macclesfield Puerto Rico Canovanas Japan Maihara Kina Wuxi Frankrike Reims Dunquerque Italien Caponago Tyskland Wedel Australien North Ryde
Kort introduktion Bakgrund Säkerhet Hela logistikkedjan sitter ihop globalt, information måste kunna gå från varje enskild tillverkningsenhet upp genom hela informationskedjan (jämför ISA95) Myndighetskrav på att elektronisk information måste hanteras säkert CIA-modellen (Confidentiality, Integrity, Availability) fokuserar kraftigt på integritet för läkemedelsindustrin.
Vilka är våra risker? En översikt Automation vs IT Standarder Leverantörer DOS/NT4/ Win XP Större del av logistikkedjan utanför AZ 24 / 7 / 365 Internet Olika ägarskap MES/ERP/ SCADA 5 Henrik Carnborg / Joakim Moby 2011-09-28
Den vanliga uppfattningen IT vs Automation IT:s syn på Automation: De är samarbetsovilliga och jobbar inte på ett IT-säkert sätt Deras system är osäkra Deras system uppfyller inte företagsövergripande standarder och policys De motverkar förändring IT-personal anser att uppkoppling av automationssystem på företagsnätverket utgör en risk för driften av centrala IT-system och därmed verksamheten Automations syn på IT: De förstår inte hur verksamheten fungerar De insisterar på åtgärder som riskerar eller påverkar fabrikens verksamhet Automationspersonal anser att uppkoppling av styrsystemen på företagsnätverket utgör en risk för verksamheten 6 Källa: Homeland Security Henrik Carnborg / Joakim Moby 2011-09-28
Säkerhet är en process - - inte en produkt Jobba nära leverantörer och IT och visa tydligt att säkerhet är en prioriterad fråga Håll er uppdaterade på senaste hot och sårbarheter och de incidenter som sker, det finns både bloggar och hemsidor Engagera er! Gå med i arbetsgrupper för standarder och policys, gör automations krav hörda. 7 Henrik Carnborg / Joakim Moby 2011-09-28
Standarder & Policys För vem finns de? Viktigt att veta var man är och var man vill vara. Ska säkerhet vara polis eller handledare? Finns standarderna till för att öka säkerheten eller klara interna och externa kontroller? IT vill applicera standarder på automation? 8 Henrik Carnborg / Joakim Moby 2011-09-28
Standarder & Policys Hur ska man göra? Bryt ner standarder & policys till konkreta förbättringar, men bli aldrig färdig. Hellre tydliga rutiner än rigorösa standarder! Berätta varför rutinerna finns, hota inte alltid med virusspöket! Skapa effektiv avvikelsehantering som alla förstår och använder. Nyckeln till att få reda på var riskerna finns. Uppmuntra alla medarbetare och konsulter att berätta vad som händer, enkel avvikelserapportering! Sila inte mygg och svälj kameler! Varför pratar vi alltid lösenordslängd? Fokusera inte på tekniska lösningar, men var inte rädda för tekniken! 9 Henrik Carnborg / Joakim Moby 2011-09-28
Hur går vi från osäkert till säkert? Förebygg Informera Utbilda Kommunicera Incidenthantera 10 Henrik Carnborg / Joakim Moby 2011-09-28
Brandväggar - är säkert bra, men Hellre många små murar än en stor! 11 Henrik Carnborg & Joakim Moby 2011-09-28
Kostnader Vad kostar säkerhet? Bra säkerhet kostar pengar Ingen säkerhet kostar mer pengar Är en investering i säkerhet en IT-investering eller en säkerhetskostnad? Viktigt att se på hotbilden, kanske är en plan för hur man ska återställa utslagna system både enklare, billigare och mer effektivt än en ny teknisk plattform? 12 Henrik Carnborg / Joakim Moby 2011-09-28
Confidentiality Notice This file is private and may contain confidential and proprietary information. If you have received this file in error, please notify us and remove it from your system and note that you must not copy, distribute or take any action in reliance on it. Any unauthorized use or disclosure of the contents of this file is not permitted and may be unlawful. AstraZeneca PLC, 2 Kingdom Street, London, W2 6BD, UK, T: +44(0)20 7604 8000, F: +44 (0)20 7604 8151, www.astrazeneca.com 13