Bedroht Digitalisierung die Industrial Security in der Pharmabranche?

Pharmahersteller verändern ihre Betriebsabläufe durch Digitalisierung, um ihre Wettbewerbsfähigkeit entscheidend zu verbessern.

Dank des Zugriffs auf mehr Daten und einfacherer Steuerungsarchitekturen lassen sich Umschaltzeiten verkürzen und Produktionsprozesse optimieren. Auch der Einsatz eines modernen MES kann dazu beitragen, die Anzahl der verarbeiteten Chargen um mehr als 50 Prozent zu steigern oder ganz und gar auf eine papierlose Arbeitsweise umzusteigen.

Es ist sehr wahrscheinlich, dass sich dieser Trend fortsetzen wird, da sich Pharmahersteller durch ständig neue Vorschriften, z. B. Gesetze gegen Produktpiraterie, veranlasst sehen, vernetzte und informationsbasierte Betriebsabläufe zu übernehmen.

Doch Digitalisierung in der Pharmaindustrie darf nicht getrennt vom Thema Industrial Security behandelt werden. Bereits heute fürchten viele Pharmaunternehmen, dass durch die zunehmende Konnektivität Risiken für ihr geistiges Eigentum und andere vertrauliche Informationen entstehen. Darüber hinaus beunruhigt sie, dass Außenstehende in die Produktion eingreifen und so die Produktqualität beeinträchtigen könnten.

Diese Sorgen sind durchaus begründet, doch sie müssen Ihre Digitalisierungspläne nicht vereiteln. Wenn Sie sich an bewährte Praktiken halten und branchenspezifische Ressourcen verwenden, können Sie Ihre Industrial Security-Strategie stärken und Geschäftsgeheimnisse, Betriebsabläufe und Produkte besser schützen.

Keine Patentlösung

Es gibt nicht die eine Sicherheitstechnologie und -verfahrensweise, die Pharmabetriebe vor jeder Bedrohung schützen kann.

Sie erwarten beispielsweise von einer Bank, dass sie nicht nur die Türen abschließt, um den Raub von Geld zu verhindern, sondern dass auch sensible Daten wie Finanzinformationen der Kunden geschützt werden. Sollte also ein vernetzter Pharmabetrieb – mit einem Jahresumsatz von mehreren Millionen oder Milliarden Dollar – nicht auch über ein vielschichtiges Konzept zum Schutz seiner physischen und digitalen Vermögenswerte verfügen?

Das ist die Logik, die hinter dem „Defense-in-Depth“-Sicherheitskonzept steckt. Das Konzept basiert auf der Vorstellung, dass jeder geschützte Punkt überwunden werden kann und wahrscheinlich auch wird. Daher kommen mehrere Schutzebenen zur Anwendung. Der in der Normenreihe IEC 62443 (ISA99) empfohlene Sicherheitsansatz fordert Schutzmaßnahmen auf sechs Ebenen:

1. Richtlinien und Verfahren
2. Physisch
3. Netzwerk
4. Computer
5. Anwendung
6. Gerät

Ein Rezept für die Pharmaindustrie

Bei der von Rockwell Automation ausgetragenen Automation Fair^® 2016 hielt Jim LaBonty, Direktor für globale Automatisierung bei Pfizer Global Engineering, eine Rede über den Einsatz umfassender Sicherheitsmaßnahmen in Pharmabetrieben.

LaBonty wies darauf hin, dass in seinem Unternehmen Sicherheitszonen eingerichtet wurden, die durch spezielle Firewalls voneinander getrennt sind, um für Schutz zwischen einzelnen Geschäftseinheiten zu sorgen. Er führte weiter aus, dass im Unternehmen ältere Ausrüstung von neueren Systemen getrennt ist und dass eine klare Trennung zwischen Automatisierungs- und IT-Teams erforderlich sei.

„Für die Sicherheit ist es gut, klare Rollen und Zuständigkeiten zu etablieren. Außerdem ist es hilfreich, wenn verschiedene Akteure miteinander sprechen müssen“, stellte er fest.

LaBonty sprach auch über den Einsatz von Software, um Muster des Netzwerkverkehrs zu analysieren. Software zur Erkennung von Unregelmäßigkeiten kann zum Beispiel eingesetzt werden, um den Verkehr zwischen industriellen Netzwerkressourcen passiv zu überwachen und die Kommunikation bis in die tiefste Ebene zu analysieren. Erkannte Anomalien können an das Sicherheitspersonal oder andere Mitarbeiter gemeldet werden, um eine effiziente Untersuchung, Reaktion oder Wiederherstellung zu fördern.

Eine Industrial Demilitarized Zone ist eine weitere wichtige Sicherheitsmaßnahme für die Pharmabranche. Es wird eine Barriere zwischen Produktions- und Unternehmenszonen eingerichtet, die den direkten Verkehr zwischen beiden Bereichen einschränkt. Mittels . Authentication-, Authorization- und Accounting-Software können ebenfalls Zugriff und Befugnisse im Netzwerk geregelt werden, und es wird eine vollständige Protokollierung aller Aktionen bereitgestellt.

Angstsymptome?

Angesichts der Gefahren für die industrielle Sicherheit kann einem leicht angst und bange werden. Manchmal ist es schon eine Herausforderung, überhaupt zu wissen, wo man anfangen soll. Machen Sie sich keine Sorgen. Es gibt eine Fülle von Ressourcen zu Ihrer Unterstützung, z. B.:

• Converged Plantwide Ethernet-Referenzarchitekturen bieten Orientierungshilfen für die Schaffung zukunftsfähiger Netzwerkarchitekturen und widmen sich auch den Sicherheitsrisiken.
• Schulungs- und Zertifizierungskurse verschaffen Ihrem IT- und OT-Personal das erforderliche Know-how, um vernetzte industrielle Steuerungssysteme sicher handhaben und verwalten zu können.
• Sicherheitsdienstleistungen unterstützen Sie bei der Durchführung von Sicherheitsbewertungen, beim Einsatz neuer Technologien oder auch beim Umgang mit Aspekten Ihres Sicherheitsprogramms auf fortlaufender Basis.

Wenn Sie mehr über diese Ressourcen erfahren möchten, besuchen Sie unsere Industrial-Security -Webseite.

Automation Fair ist eine Marke von Rockwell Automation Inc.