כיצד משלבת שניידר אלקטריק הגנת סייבר במוצריה?

לשניידר אלקטריק, חברה גלובאלית רב-לאומית הפעילה בעולמות של ניהול אנרגיה ואוטומציה תעשייתית, ישנם עשרות אלפי לקוחות מסביב לעולם הפעילים בעולמות של התשתיות הקריטיות. למעשה אין כמעט שירות חיוני אחד בו מוצריה של שניידר אינם משולבים בדרך כזו או אחרת, ומכאן גם עלה הצורך של החברה לייצר מענה מקיף ומתמשך המשלב עמידות של מוצריה בכל הנוגע למתקפות סייבר.

בבסיס של אסטרטגיית הגנת הסייבר של שניידר אלקטריק עומד הצורך לייצר אמון – Trust - מירבי בחברה ומוצריה מצידו של השוק – לקוחות, שותפים עסקיים ושותפי אינטגרציה. הסיבה היא פשוטה - אמון הוא קריטריון מרכזי כאשר ארגון הנדרש לספק שירותים קריטיים בא לבחור מוצרים שישמשו אותו בליבה של פעילותו העסקית. במקרים רבים לקוחותיה של שניידר אלקטריק גם נדרשים לעמוד בתקנים ורגולציות קפדניות ואלו מחייבות בחירה בספקים שעמידות המוצרים שלהם נמצאת ברמה הגבוהה ביותר האפשרית.

כדי להגיע לרמות הגבוהות ביותר האפשריות של אבטחת מידע במוצריה אימצה שניידר אלקטריק אסטרטגיית פעילות רחבה הנוגעת בכל תחום של פעילותה – החל מהגנה פיזית על מתקני החברה, עבור בהגנה על המידע הארגוני, העלאת מודעות העובדים לסכנות הסייבר, ועוד.

אחד הנדבכים המרכזיים של אסטרטגיית הגנה זו נוגע בשילוב אבטחת סייבר על המוצרים כבר משלבי הפיתוח הראשונים שלהם – התהליך הזה נקרא בשניידר אלקטריק: שילוב הגנת סייבר ישירות מה-DNA של המוצר או השירות. כדי לעשות זאת אימצה החברה את האסטרטגיה הבאה:

● שילוב תקן אבטחת מידע בכלל תהליכי ניהול חיי המוצר (Secure Lifecycle Management) – מדובר על שילוב כולל ומקיף של אבטחת המידע לכל אורך חיי המוצר משלב הפיתוח שלו ועד סיום חייו. שניידר אלקטריק עושה זאת בתאימות לתקן ייעודי ISA/IEC 62443-4-1 Secure Development Lifecycle – שהיא גם תרמה לו לאורך העשור האחרון.

● ביצוע של מבדקי חדירה לגילוי פרצות אבטחה במוצרים – שניידר אלקטריק מפעילה מעבדה ייעודית לביצוע של מבדקי חדירה למוצריה המיועדים לגילוי מוקדם של פרצות אבטחת מידע במוצריה. מבדקים אלו, המבוצעים גם בשיתוף פעולה עם גופי מקצוע חיצוניים, מבצעים סקירת אבטחת מידע לכל מוצר או שירות של החברה, בין אם מדובר על מוצר פיזי או שירות מבוסס תוכנה בענן.

● סרטיפיקציה ייעודית בתחום הגנת המידע לכל סביבות הייצור של שניידר אלקטריק – כל המפעלים ומרכזי הלוגיסטיקה וההפצה של שניידר אלקטריק ברחבי העולם כוללים רכיבים מהודקים של הגנת סייבר, כולל ממונה אבטחת מידע האחראי לניטור כל ההיבטים הנוגעים לתחום. יתירה על כך, משנת 2022 כל קו ייצור חדש כולל תאימות לשני תקני אבטחת מידע ייעודיים. הראשון, ISA/IEC 62443-3-3; והשני, ISA/IEC 62443-2-4 Security Level 2.

● ניהול פגיעויות במוצרי החברה – שניידר אלקטריק מפעילה מערך שלם שמטרתו איתור וטיפול בפגיעות המתגלות במוצרי החברה, וזאת בהתאם לתקנים ייעודיים לנושא ISO/IEC 29147 ו- ISO/IEC 30111. לצורך כך מפעילה החברה גוף ייעודי – Corporate Product Cyber Emergency Response Team ר"ת CPCERT. שניידר אלקטריק פועלת בתחום הזה בשיתוף פעולה עם גופי מחקר, גופי הגנת סייבר לאומיים של המדינות השונות וגופי תעשייה גדולים במטרה להביא לאיתור של פגיעויות ופיתוח מהיר של שדרוגי תוכנה הנדרשים לסגירתן של פרצות אלה.

● הצהרה על SBOM (Software Bill of Materials) – שניידר אלקטריק מפעילה סטנדרטים גבוהים בתחום של תיעוד מוצריה.

● הגנה על IP וקוד מקור – שניידר אלקטריק מפעילה סט שלם של תהליכים שמטרתם להגן בצורה שלמה וכוללת על ה-IP של החברה או על קוד המקור של מוצריה. החברה מפעילה חומות הגנה סביב רכיבים אלו, כולל בקרות, הכול ברמה הגבוהה ביותר הנהוגה בתעשייה.

● התקנות תואמות לסטנדרטים של אבטחת מידע – גם בשלבי ההתקנה של פתרונות ומוצרי שניידר אלקטריק ניתן דגש על תחום אבטחת המידע, כאשר צוותי השירות של החברה עוברים הסמכות ייעודיות לתחום, ותקנים ייעודיים בתחום אבטחת המידע.

לסיכום, שניידר אלקטריק הבינה והפנימה ברמה העמוקה ביותר של הארגון את הצורך להטמיע סטנדרטים גבוהים בכל הנוגע לתחום אבטחת המידע. זה נכון גם לעולמות של ניהול חיי המוצרים – משלב הפיתוח, עבור בהטמעה, בהפעלת המוצרים וכלה בסיום חייהם. כחברה שמוצריה מוטמעים בקשת רחבה של תשתיות קריטיות קיימת הבנה שלקוחותיה צריכים לסמוך על המוצרים, וזה נכון בין השאר גם בכל הנוגע לתחום הגנת הסייבר.