Bezpieczeństwo informacji przy wdrożeniu systemów wspomagających produkcję w przemyśle kosmetycznym

W minionym roku mogliśmy usłyszeć o wielu incydentach związanych z wyciekiem lub utratą danych, jakie miały miejsce w polskich przedsiębiorstwach. Niestety liczba takich zdarzeń wciąż rośnie i to pomimo rosnącej świadomości użytkowników oraz ciągłego wzrostu nakładów na cyberbezpieczeństwo.

Aby zminimalizować prawdopodobieństwo wystąpienia incydentu oraz ograniczyć jego wpływ na funkcjonowanie organizacji coraz więcej firm decyduje się wdrożyć system zarządzania bezpieczeństwem informacji (SZBI) bazując na wytycznych, jakie daje norma ISO 27001 [1].  Jednym z podstawowych założeń systemu SZBI jest regularne zarządzanie ryzykiem związanym z zasobami, które obejmuje. Ponieważ mówimy tutaj o środkach organizacyjnych i technicznych mających objąć całość przedsiębiorstwa, nie mogą zostać pominięte w tym procesie niezbędne w branży kosmetycznej narzędzia wspomagające zarządzenie produkcją takie jak MES (Manufacturing Execution System) oraz APS (Advanced Planning and Scheduling).

Poprzez zarządzanie ryzykiem rozumie się identyfikację możliwych zdarzeń zagrażających bezpieczeństwu informacji, ocenę prawdopodobieństwa i skutków takiego zdarzenia oraz podjęcie odpowiednich działań mających je zminimalizować. W przypadku wdrożenia nowego rozwiązania IT już na etapie wyboru oprogramowania i dostawcy należy przeprowadzić taką ocenę obejmującą sam produkt, jego producenta oraz firmę, która miałaby dane rozwiązanie wdrażać w organizacji.

Bezpieczeństwo informacji i incydenty

Bezpieczeństwo informacji rozumiemy jako zapewnienie nienaruszalności trzech składowych: poufności, dostępności i integralności danych. Jest to tzw. triada CIA – Confidentiality, Integrity, Availability. Poufność oznacza, że dostęp do informacji mają tylko osoby, które są do tego upoważnione. Jako dostępność rozumiemy możliwość korzystania z informacji wtedy, gdy jest ona niezbędna, a integralność to kompletność i prawdziwość danych. Z incydentem bezpieczeństwa informacji będziemy mieli do czynienia przy każdym zdarzeniu związanym z faktem lub uzasadnionym podejrzeniem naruszenia jednej z trzech powyżej opisanych składowych, bez względu na formę, w jakiej występuje informacja. Mając tak zdefiniowane pojęcia łatwiej jest wyobrazić sobie, na co trzeba zwrócić uwagę przy określaniu potencjalnych zagrożeń i możliwych środków zapobiegawczych.

Warto zaznaczyć, że bezpieczeństwo informacji opiera się na filarach, którymi są: ludzie, procedury i rozwiązania technologiczne. Niestety to człowiek jest zazwyczaj tym najsłabszym ogniwem i dlatego wymaga uwagi oraz odpowiedniego przygotowania. Wdrożenie dużego systemu informatycznego to stres związany z odpowiedzialnością nie tylko za uruchomienie nowego rozwiązania, ale też za utrzymanie ciągłości działania zainteresowanej komórki w etapie przejściowym. W połączeniu z naciskiem na dotrzymanie terminów może to przyczynić się do utraty koncentracji, a tym samym do błędu lub zwykłego niedopatrzenia.

Zakres danych, jakimi posługują się systemy MES i APS

Szczegółowe informacje mówiące o tym jakimi danymi posługuje się wdrażany system IT i z jakimi innymi systemami są one wymieniane, zazwyczaj dostarczane są przez dostawcę rozwiązania po zakończeniu analizy przedwdrożeniowej. Możemy jednak założyć, że zakres ten obejmuje dane osobowe oraz te mające znaczenie biznesowe.

Dane osobowe objęte są prawnym obowiązkiem ochrony na mocy Rozporządzania Parlamentu Europejskiego i RE nr 2016/267 znanego jako RODO [2]. Z czysto biznesowego punktu widzenia informacje te mogą mieć również wartość dającą przewagę konkurencyjną np. w przypadku wymaganej obszernej wiedzy specjalistycznej na konkretnym stanowisku pracy.

Warunkiem utrzymania wspomnianej przewagi konkurencyjnej jest również zachowanie w tajemnicy wiedzy o możliwościach produkcyjnych zakładu. Informacje o nich przetwarzane są m.in. przez systemy klasy ERP, MES i APS w postaci zapisów obejmujących m.in. technologie i receptury, wielkość i składniki parku maszynowego oraz wolumeny, na które opiewają zlecenia produkcyjne. Zdarza się, że w systemie MES, w powiązaniu ze zleceniem produkcyjnym, występują także niezakodowane nazwy klientów. W połączeniu z wcześniej wymienionymi danymi są to informacje, które ujawnione publicznie lub przechwycone przez konkurencję mogą ostatecznie doprowadzić do wyeliminowania firmy z rynku.

Odpowiedzialność prawna zamawiającego

Częścią każdego projektu, do którego zatrudniani są zewnętrzni dostawcy, są odpowiednie zapisy umowne zobowiązujące podmiot zewnętrzny do należytego wykonania zlecenia przy uwzględnieniu bezpieczeństwa powierzonych informacji. Niestety zabezpieczenia prawne, takie jak umowa NDA (Non Disclosure Agreement) oraz pozostałe klauzule dotyczące bezpieczeństwa informacji nie dają 100% pewności, że dane będą bezpieczne i nie zdejmują odpowiedzialności za skutki incydentów z podmiotu zlecającego. Niektóre z przepisów prawa dotyczących zarządzania bezpieczeństwem informacji oraz wymagań dla produkcji kosmetycznej mówią o tym wprost.

Każda organizacja jest administratorem danych osobowych więc jest odpowiedzialna za bezpieczeństwo danych oraz zobowiązana do ich przetwarzania z uwzględnieniem odpowiednich środków zabezpieczających, o czym mówi art. 24.§1 RODO. Dotyczy to także sytuacji, gdy przetwarzanie jest zlecane firmie zewnętrznej na podstawie odpowiedniej umowy powierzenia. Prezes Urzędu Ochrony Danych Osobowych podkreśla to w uzasadnieniach dla kar administracyjnych nakładanych na mocy art. 83 RODO na podmioty zlecające przetwarzanie.

System MES wdrożony w zakładzie produkującym kosmetyki będzie odpowiadać za generowanie i przechowywanie informacji pozwalającej na śledzenie partii oraz dokumentującej parametry jakościowe produktu. Są to dane, których przechowywanie oraz udostępnianie na żądanie jest wymagane przez przepisy prawa takie jak Rozporządzania Parlamentu Europejskiego i RE nr 1223/2009 dotyczące produktów kosmetycznych [3]. Branżowy standard IFS HCP wskazuje z kolei, że informacje dotyczące produktu powinny być przechowywane z zapewnieniem poufności i autentyczności danych [4].

Często zdarza się, że zakład produkujący kosmetyki wytwarza również produkty medyczne i wówczas w grę wchodzą wytyczne dyrektywy PE nr 2022/2555 „W sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa”, tzw. NIS2 [5]. Dyrektywa ta będzie wprowadzona do polskiego porządku prawnego poprzez nowelizację Ustawy o Krajowym Systemie Cyberbezpieczeństwa [6]. W myśl art. 8c projektu nowelizacji to najwyższe kierownictwo podmiotu wg definicji z ustawy o rachunkowości [7], czyli członkowie Zarządu, odpowiadają osobiście za dochowanie obowiązków związanych z bezpieczeństwem informacji w podmiotach z grupy kluczowych lub ważnych. Dzieje się tak również wtedy, gdy obowiązki w tym zakresie zostały delegowane na inne osoby i podobnie jak w przypadku RODO, przewidziane są wysokie kary finansowe za brak spełnienia wymagań dotyczących zarządzania bezpieczeństwem informacji.

Kolejnym ważnym źródłem odpowiedzialności strony zamawiającej wdrożenie rozwiązania IT są oczywiście wszelkie zobowiązania wynikające z umów z interesariuszami. Patrząc z tej perspektywy role się odwracają i teraz to organizacja będąca zamawiającym wdrożenie systemu musi zadbać o to, aby być wiarygodnym partnerem biznesowym dla swoich klientów, nie tylko pod kątem rzetelnej realizacji zamówień, ale też bezpieczeństwa powierzonych i przetwarzanych informacji.

Wdrożenie systemów IT w kontekście systemu zarządzania bezpieczeństwem informacji

Przy implementacji nowego rozwiązania IT warto posłużyć się wskazówkami, które dostarcza norma ISO 27001. Punkt 5.8 załącznika A tej normy wymaga, aby bezpieczeństwo informacji było uwzględniane przy zarządzaniu projektami, a sama norma mówi, że podejmowane działania powinny być oparte o zarządzanie ryzykiem. Ważne jest, aby zagadnienia te były brane pod uwagę od samego początku, czyli etapu przygotowania projektu, jeszcze przed formalnym startem przedsięwzięcia. Podejście takie zalecają również powszechnie stosowane metodyki prowadzenia projektów, takie jak PRINCE2 czy PMBOK.

Pierwszym i jednym z najważniejszych kroków w opartym o ryzyko zarządzaniu projektem IT jest inwentaryzacja zasobów informacyjnych, których wdrożenie dotyczy oraz możliwych ryzyk z nimi związanych. Należy przy tym uwzględnić informacje, elementy systemów informatycznych, w których są pozyskiwane i przetwarzane, poszczególne fazy wdrożenia oraz produkcyjnego użytkowania systemu, a także persony mające mieć do nich dostęp. Dla tak skomponowanej listy identyfikujemy możliwe zdarzenia mogące zakłócić jeden ze składników triady CIA, a następnie szacujemy poziom ryzyka będący wypadkową prawdopodobieństwa wystąpienia zdarzenia oraz konsekwencji możliwych negatywnych skutków. Innymi słowy tworzymy rejestr ryzyk. Do realizacji tego zadania należy wyznaczyć wewnętrzny zespół składający się m.in. z kierownika projektu, osoby odpowiedzialnej za bezpieczeństwo informacji w organizacji, przedstawiciela działu zajmującego się utrzymaniem firmowych systemów informatycznych oraz osób nadzorujących produkcję i kontrolę jakości.

Na tym etapie widać już obszary, na które należy zwrócić uwagę podczas dalszych prac nad projektem i jakie należy podjąć działania, aby maksymalnie zredukować prawdopodobieństwo wystąpienia oraz skutki potencjalnego incydentu. Warto w tym miejscu posłużyć się listą punktów kontrolnych z załącznika A normy ISO27001 tak, aby pokryć zabezpieczenia z wszystkich czterech grup – technologicznych, fizycznych, osobowych i organizacyjnych. Te ostatnie związane są z przydzielaniem ról w zespołach projektowych dostawcy i zamawiającego oraz zakresem informacji, do których te osoby powinny mieć dostęp. Szczególny nacisk warto położyć na ograniczenie tych zakresów do niezbędnego minimum wg zasady POLP (Principle of Least Privilege).

Z lektury tak sporządzonego rejestru ryzyk wynikać będzie również, czy obecne założenia projektu, w tym funkcjonalności wdrażanego systemu, spełniają wymagania stawianych regulacji prawnych i standardów branżowych.

Wymagania stawiane producentom oprogramowania i firmom wdrożeniowym

Przed rozpoczęciem projektu wdrożeniowego z zewnętrznym dostawcą należy już na etapie wyboru potencjalnego partnera sprawdzić, czy posiada on odpowiednie kompetencje w zakresie zarządzania bezpieczeństwem informacji. Najprostszą i najszybszą metodą oceny wiarygodności jest sprawdzenie, czy podmiot legitymuje się aktualnym certyfikatem wdrożenia ISO 27001 wydanym przez renomowaną jednostkę certyfikującą oraz czy certyfikacja obejmuje zakres zarządzania projektami wdrożeniowymi.

W każdej organizacji, która uruchomiła oraz certyfikowała SZBI wg normy ISO 27001 zasady zarządzania bezpieczeństwem informacji funkcjonują na co dzień i są częścią jej kultury. Organizacja taka wdrożyła już odpowiednie środki organizacyjne i techniczne oraz dba o wysoki poziom świadomości cyberbezpieczeństwa m.in. poprzez regularne szkolenia. Co więcej, zgodnie z wymaganym normą schematem PDCA, wszystkie powyższe działania są na bieżąco monitorowane i udoskonalane. W przypadku wdrożenia systemu MES lub APS jest to niezwykle istotne, gdyż, jak wykazano powyżej, konsultanci firmy wdrożeniowej będą pracować na danych krytycznych z punktu widzenia przedsiębiorstwa będącego klientem. Każdy taki dostęp powinien zatem odbywać się w sposób opisany i kontrolowany odpowiednim regulaminem, procedurami oraz instrukcjami.

Ostateczny wybór warto poprzedzić przeprowadzeniem audytu u potencjalnego partnera biznesowego w zakresie zagadnień związanych z cyberbezpieczeństwem, również w obszarze zarządzania projektem oraz sprawdzić podczas wizyty referencyjnej, jak powyższe zagadnienia zostały zaopiekowanie u jego obecnych klientów.

Podsumowanie

Wdrożenie systemu wspomagającego zarządzenie produkcją, takiego jak MES czy APS, jest dużym przedsięwzięciem wymagającym współpracy wielu interesariuszy wewnętrznych oraz zewnętrznych. Pojawiające się ryzyka związane z bezpieczeństwem informacji pochodzą zarówno z przebiegu samego procesu wdrożeniowego, wykorzystanych technologii, jak i funkcjonalności wdrażanego systemu. Bez względu jednak na źródła, wspomniane ryzyka powinny zostać zidentyfikowane na etapie przygotowania projektu i odpowiednio zarządzane podczas trwania wdrożenia, zarówno przez zamawiającego, jak i dostawcę. Tylko takie podejście pozwala zminimalizować prawdopodobieństwo wystąpienia incydentów bezpieczeństwa oraz ograniczyć do akceptowalnego minimum ich ewentualne skutki. Jest to niezwykle istotne, gdyż prawidłowo wdrożony system MES lub APS powinien przynieść poprawę wydajności procesów produkcyjnych, ale też poprawne funkcjonowanie tych systemów może okazać się warunkiem ciągłości działania całego przedsiębiorstwa.

Jest to jeden z powodów, dla którego tak ważny jest nie tylko wybór systemu, ale też zaufanego dostawcy, który potrafi wykazać, że poważnie traktuje zagadnienia związane z bezpieczeństwem informacji. Należy również pamiętać, że nie można oddelegować całej odpowiedzialności w tym zakresie na dostawcę. Pomijając obowiązki nakładane przez przepisy prawa, to ścisłe kierownictwo organizacji będącej klientem odpowiada za jej efektywne funkcjonowanie i dlatego też musi zadbać, aby strona zamawiająca aktywnie nadzorowała proces wdrożenia.

Warto w tym miejscu podkreślić raz jeszcze korzyści wynikające z wdrożenia i certyfikacji normy ISO 27001 w organizacji. Porządkuje ono zagadnienia związane z bezpieczeństwem informacji we wszystkich obszarach działalności przedsiębiorstwa i pomaga zapewnić zgodność z przepisami oraz wymaganiami branżowymi. Tworzy przejrzyste procedury i instrukcje postępowania również w przypadku wyboru nowych systemów, realizacji projektów wdrożeniowych i późniejszej eksploatacji. Podejście oparte o zarządzenie ryzykiem nie tylko znacznie ułatwia wybór docelowych rozwiązań, ale sprawia też, że w dłuższej perspektywie będą to wybory uzasadnione ekonomiczne.