MEDDELELSE FRA KOMMISSIONEN TIL EUROPA

IT sikkerhed i produktionen
Hvad stiller det af krav til systemer
og organisation?
IT sikkerhed
i produktionen
SESAM nr. 91 seminar ●
27. oktober 2010
Bliv introduceret til forskellige metoder til at
gennemføre IT sikkerheds
analyser, som ser på systemer, procedure og organisation.
Høre om de erfaringer
forskellige danske virksomheder har gjort sig i
forbindelse med IT sikkerhed og vedligeholdelse af
netværk i produktionen.
Hvad stiller LEAN produktion af krav til IT sikkerhed ?
Seminaret afholdes hos:
Hotel Pejsegården
, Søndergade
112
8740 Brædstrup
Seminaret er udarbejdet i samarbejde med
IT sikkerhed i produktionen - 27. oktober
Hvad stiller det af krav til systemer og organisation?
Seminaret har til formål at give en viden om og forståelse for de
problemstillinger, der er til IT udstyr og netværk i et produktionsmiljøet. Mødet vil have fokus på praktiske løsninger, og mulighed,
og der bliver mulighed for at høre om de erfaringer forskellige
danske virksomheder har gjort sig i forbindelse med sikkerhed og
vedligeholdelse af netværk i produktionen. På mødet vil problemstillingen om åbenhed for medarbejdernes adgang til system, kontra den nødvendige sikkerhed for at forhindre andres adgang til
systemerne.
Temaer på mødet
• Hvor stor åbenhed kan der være i et produktions IT miljø,
for at have et ”sikkert” system?
• Hvad er udfordringerne med Windows update?
• Hvilke problemer er der med vedligehold og opdateringer?
• Hvorledes håndteres opdateringer af IT udstyr?
• Sikkerhed mod fjendtlige angreb, både internt og eksternt
• Hvem administrere netværket i produktionen, og hvilke
problemer og muligheder giver det ?
• Automationsleverandørens bud på sikkerhedssystem
• Verifikation og dokumentation af IT udstyr i produktionen.
• Er der forskel på netværket i produktionen og administrationen?
• Ét IP netværk – hvad kræver det af sikkerhed?
• Gennemgang af IT-sikkerhed og de tilhørende sikkerhedsteknologier
• Procedure for rigtig anvendelse af IT udstyr og tilhørende
netværk
• Hvorledes sikres bruger fejl ved f.eks. netværksadresse fejl
mm.?
• Kan der gennemføres en sikkerhedsanalyse og hvad vil det
kræve?
• Sikkerhedspolitik
• Gode og dårlige erfaringer med netværkssikkerhed
• Hvor ligger de største IT risici i forbindelse med produktionsmiljøet?
• Har LEAN indflydelse på kravene til IT sikkerhed?
På mødet vil forskellige sikkerhedsteknologier blive gennemgået,
og der vil blive givet praktiske anvisninger på, hvordan man implementerer dem. Mødet vil bl.a. se på de sikringsmetoder og teknologier, der med fordel kan anvendes på IT udstyr i produktionsmiljøet mod forskellige typer af angreb. Design af netværk
med en eller flere firewalls, VPN, tunneltyper mm. vil også blive
berørt på mødet. Derudover vil hacking og sikkerhed i trådløse
netværk blive berørt. Et blik på de forskellige krypteringsformer
og authenticationprotocoller. Hvordan de virker og hvilke styrker
de har hver især i forhold til kravene i produktionsmiljøet.
Få indblik i de procedure, der kan blive nødvendige i forbindelse
med anvendelse af IT udstyr på netværket, for at opretholde et
givet IT sikkerhedsniveau. F.eks. Anvendelse af IP adresser til
download til produktionsudstyr.
Bliv introduceret til forskellige metoder til at gennemføre IT sikkerheds analyser, som ser på systemer, procedure og organisation.
Kom og hør om erfaringerne og tal med specialister og kolleger.
Program
08:30
Registrering og kaffe
09:00
Velkomst
v/ Carsten Nøkleby, SESAM-World
09:15
IT sikkerhed i produktionen
v/ Tina H. Christensen, i2r
10:00
Danish Crowns erfaringer med analyse af it sikkerheden i produktionsmiljøet?
v/ Thomas Page Pedersen, Danish Crown
10:45
Udstilling & networking
11:30
SCADA Security Best Practice
v/Martin Kiær, Logica Danmark
12:15
Udstilling, networking & frokost
13:30
Nye vinde blæser mod sikkerheden i produktions IT systemer
v/ Jens Roed Andersen, Arla Foods
14:15
Ondsindet angreb på SCADA server - Hvad er nyt og hvordan sker dette?
v/ Johan Peder Møller, CSIS
15:00
Udstilling & networking
15:45
IT sikkerhed i producerende virksomhed
v/ Peter Hvilshøj Jensen, Grundfos
16:30
Debat om de fremtidige it sikkerhedskrav til automationsløsninger
v/ Carsten Nøkleby, SESAM-World
17:00
Aftensmad
IT sikkerhed i produktionen - 27. oktober
09.15 - 10.00
IT sikkerhed i produktionen
Tina H. Christesen, i2r
i2r er systemintegrator, der ofte står over for at sikre, at produktions IT systemer er sikret mod tab af data eller fejl på data og
dermed afledt produktionstab. På den baggrund har i2r udviklet en metode til risikovurdering af produktions IT systemer og tilhørende automationsløsninger. I konkrete cases har arbejdet haft til formål at afdække sårbarheden for produktionsforstyrrelser
som følge af manglende sikkerhed i produktionens automationssystemer. Præsentation vil komme omkring følgende emner:
• Baggrund og formål for IT sikkerhedsprojektet hos en kunde.
• Hvad var motivationen til projekt, omfanget af projektet og hvad var det ønskede gevinst.
• Metode og arbejdsform - hvilke værktøjer er udviklet og hvordan anvendes de.
• Hvorledes gennemføres og planlægges selv analysen
• Hvilke resultater, reaktioner og erfaringer er opnået.
• Hvad er de typiske anbefalinger, reaktioner fra produktionen
• Erfaringer med projektgennemførelsen
• Hvordan overdrages ansvaret for IT Sikkerhed til produktionen?
10.00 - 10.45
Danish Crowns erfaringer med analyse af it sikkerheden i produktionsmiljøet?
Thomas Page Pedersen, Danish Crown
Danish Crown wil prøve at give et billede af den proces de har været igennem i forbindelse med en analyse af IT sikkerheden i produktionsmiljøet. Indlægget vil fokusere på følgende elementer:
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Hvor stor åbenhed kan der være i et produktions IT miljø, for at have et ”sikkert” system?
Hvad er udfordringerne med Windows update?
Hvilke problemer er der med vedligehold og opdateringer?
Hvorledes håndteres opdateringer af IT udstyr?
Sikkerhed mod fjendtlige angreb, både internt og eksternt
Hvem administrere netværket i produktionen, og hvilke problemer og muligheder giver det ?
Automationsleverandørens bud på sikkerhedssystem
Verifikation og dokumentation af IT udstyr i produktionen.
Er der forskel på netværket i produktionen og administrationen?
Ét IP netværk – hvad kræver det af sikkerhed?
Gennemgang af IT-sikkerhed og de tilhørende sikkerhedsteknologier
Procedure for rigtig anvendelse af IT udstyr og tilhørende netværk
Hvorledes sikres bruger fejl ved f.eks. netværksadresse fejl mm.?
Kan der gennemføres en sikkerhedsanalyse og hvad vil det kræve?
Sikkerhedspolitik
Gode og dårlige erfaringer med netværkssikkerhed
Hvor ligger de største IT risici i forbindelse med produktionsmiljøet?
11.15 - 12.00
SCADA Security Best Practice
Martin Kiær, Logica Danmark
IT sikkerhed er mest kendt fra administrative it-netværk og -miljøer, hvor det i dag er en helt naturlig og yderst nødvendig proces i
forbindelse med håndtering af netværksadgang og datasikkerhed. Denne sikkerhedsproces er nu også blevet aktuel for ’de nederste’ it-lag, nemlig de it-lag der eksempelvis er rettet mod en virksomheds automatiserede produktionsmiljøer og dennes SCADAsystemer. På denne session vil Logica dele ud af deres erfaringer i forbindelse med sikkerhed af SCADA-systemer og komme med
deres bud på hvordan de ser det fremtidige trusselsbillede i forbindelse med SCADA-systemer.
IT sikkerhed i produktionen - 27. oktober
13.30 - 14.15
Nye vinde blæser mod sikkerheden i produktions IT systemer
Jens Roed Andersen, Arla Foods
Trusselsbilledet har ændret sig hen over sommeren 2010. Nu er det muligt for hackere at ramme hele produktions IT-systemer og
ikke som tidligere "blot" platforme som fx WinXP, WinServer osv. Og det kritiske er, at systemerne der er under angreb er kritiske
SCADA systemer, som de fleste virksomheder og samfundet som sådan, er ved at være 100 % afhængige af.
Der vil være en gennemgang af en metode der bygger på IRAM fra ISF til vurdering af virksomhedens afhængighed af IT systemer.
Dermed præsenteres deltagerne for en metode og værktøj der kan tegne et billede af sammenhængen mellem virksomhedens
forretningsprocesser, IT systemplatforme og de tilhørende software applikationer.
Vedligehold af IT systemer er interessant i forhold til industri applikationer, især hvis produktionen er trimmet iht. Lean principper.
Her bliver det interessant at se på Business Value Risk Assessment, der er en metode til at vurdere forretningskonsekvensen ved at
givet udstyr ikke er tilgængeligt for produktionen, eller den givne forretningsproces. Metoden består i at se på konsekvensen for
forretningen ved et evt. nedbrud, og sammenholde det med en sårbarheds- og trusselsanalyse af systemerne. Få information om
hvorledes Business Value Risk Assessment metoden kan være med til at identificere kritiske komponenter i forhold til forretningen,
og hvorledes der kan fastlægges en handlingsplan og et tilhørende beredskab.
14.15 - 15.00
Ondsindet angreb på SCADA server - Hvad er nyt og hvordan sker dette?
v/ Johan Peder Møller, CSIS
I sommeren 2010 stiftede en dansk virksomhed bekendtskab med en virus, der går målrettet efter produktionssystemer og forsyningsvirksomheder. Det er en virus der kan gøre de it-kriminelle i stand til at overtage kontrollen med systemerne. CSIS har sammen med andre sikkerhedsfirmaer analyseret denne virus. Koden der udgør en virus er målrettet SCADA systemer. Analysen afslører at det står slemt til med sikkerheden i SCADA systemerne, bl.a. fordi systemerne anvender statiske password som passer til
samtlige systemer.
Hør om hvorledes systemerne bør opbygges for at øge IT sikkerheden i produktionsmiljøerne, ift. Windows opdateringer, ekstern
adgang til systemerne og password politik.
15.45 - 16.30
IT sikkerhed i producerende virksomhed
v/ Peter Hvilshøj Jensen, Grundfos
Grundfos producere pumper 24-7, hvilket stiller store krav til IT løsningerne, der skal være robuste og sikre. I dag hvor alt bygger
på ét netværk, er der store krav til hvorledes opdateringer af operativsystemer er struktureret for at sikre, at de nyeste service
patches er installeret. Hør om de udfordringer der har været og er i forbindelse med opdateringer og vedligeholdelse af IT udstyr.
Det er fastlagt hvor åben Grundfos er over for anvendelse af eksternt IT udstyr. Der er opsat regler og instruktioner for hvorledes
en leverandør client kobles på netværket. Ligeledes stilles der krav til leverandørens udstyr og sikkerheds software. Der arbejdes
på at øge modenheden i produktionen i forhold til IT sikkerhed. Målet er at få skabt en gensidig forståelse mellem IT afdelingen og
produktionen for de forretningskonsekvenserne og sandsynligheder, der er ved en given IT løsning. Hør om IT sikkerhedspolitikken
og hvorledes Grundfos arbejder med IT sikkerhed som producerende virksomhed og hvorledes arbejdet struktureres og organiseres.
Tilmelding
www.sesam-world.dk eller telefon 8681 5015
Pris
Pris for deltagelse 1.650 kr. ekskl. moms for medlemmer. Ikke medlemmer 4.100 kr.
Program 25. oktober
Sikkerhed i vedligeholdelsesarbejdet - et ledelsesansvar
08.30
Registrering og morgenkaffe
09.00
Velkomst
v/ Svend Åge West, formand for Præsidiet i DDV
09.10
Vedligeholdets betydning for arbejdsbetinget sundhed og sikkerhed (Occupational Safety at Work)
v/ EU´s Arbejdsmiljøagentur OSHA i Bilbao, Arbejdstilsynet og Svend Aage West, DDV´s repræsentant i HSE arbejdsgruppen i
EFNMS.
I 2010 og 2011 gennemfører EU´s Arbejdsmiljøagentur OSHA en kampagne med særlig fokus på vedligeholdets betydning
for virksomhedernes arbejdsrelaterede sikkerhedsproblemer. Europæiske og nationale undersøgelser dokumenterer, at
vedligeholdsarbejdet er en af de absolut største bidragsydere, når vi ser på ulykker i virksomhederne. Indlægget vil omhandle kampagnens mål og lægge op til initiativerne i Danmark, hvor undersøgelsen blandt DDV’s medlemmer vil få en central placering.
10.30
Pause og udstilling
11.10
Hvordan ser Dansk Industri på produktivitet, sikkerhed og arbejdsmiljø?
v/ Kåre Sørensen, Dansk Industri
Vedligehold af materiel og produktionsudstyr er i dag en vigtig del af virksomhedens arbejdsmiljøarbejde. Effektive og sikre
vedligeholdsprocedurer bidrager nemlig både til at forbedre virksomhedens lønsomhed og til at nedsætte risikoen for arbejdsulykker.
11.50
Risikostyring - et moderne ledelsesprincip
v/Henrik Gluver, Norske Veritas
Risikostyring er et ofte anvendt begreb i relation til mange facetter af nutidens erhvervsliv. Og det at inddrage risiko som
parameter i beslutninger og prioriteringer, giver mening for de fleste. Men alligevel er det ofte en stor udfordring få det
grebet an i praksis. Der gives inspiration til processen, samt forslag til metoder og værktøjer.
12.30
Frokost og udstilling
13.40
Integrity Management
v/ John Middelboe, teknisk chef, A/S Dansk Shell, Shell Raffinaderiet
Indlægget handler om en struktureret metode, som raffinaderiet anvender til kontinuert udvikling af HSE performance –
herunder kritiske processer, anvendelse af Risk Assessment Matrix, høj-risiko scenarier samt barriereopbygning.
14.20
Pause og udstilling
15.00
Vi vil ikke ha` det…
v/Rasmus C. Graversen, tapperichef og Jens Hansen, miljøkoordinator på Carlsberg Danmark
”Vi vil ikke ha` det…" er det helt klare og entydige budskab, når Ledelsen af Carlsbergs Læsk fabrik i Fredericia, skal udtrykke
deres holdning til manglende brug af værnemidler eller anden adfærd, der kan resultere i arbejdsskader. Resultat af fokus
er, at antallet af arbejdsskader, både med og uden fravær, er nedbragt markant.
15.40
Menneskelige faktorer - svagheden og styrken i systemet
v/ Nikolaj Hyll, Human Factor, Force Technolog
Der indgår mennesker på et eller andet niveau i alle systemer vi opbygger. Indlægget handler om hvordan menneskelige
faktorer kan udgøre en svaghed og risiko i systemer. Men det beskriver også en ny forståelse og udvikling af systemers og
organisationers evne til at nå nye niveauer af modstandskraft over for det uventede.
16.20
Afslutning
17.00
Aftensmad
Lemvigh-Müller A/S
Nyhavn 11
1051 København K
Tlf. 3695 7303 • www.lemu.dk • [email protected]
Program 26. oktober
Teknikeren i den moderne sikkerhedsorganisation
08.30
Registrering og morgenkaffe
09.00
Velkomst
v/ John C. Mikkelsen, Præsidiet i DDV
09.10
Vedligeholdsteknikeren – en vigtig person i den udviklende sikkerhedsorganisation
v/ Jørgen Bjerg, Vesko ApS
Udfordringen i en moderne sikkerhedsorganisation er at skabe en helhedsorienteret og udviklende tilgang til sikkerhedsarbejdet.
09.50
Maskindirektivet
v/ Sten Lønborg, Lemvigh-Müller A/S
Det nye Maskindirektiv trådte i kraft den 29 december 2009, hvilken betydning har det haft for maskinindustrien og hvad er
det vi skal huske når vi arbejder på og fremstille maskiner.
Det nye ATEX-direktiv 94/9/EF trådte i kraft 1 juli 2003, hvilke betydning har det haft og hvad skal vi huske når vi arbejder i
eksplosive miljøer.
10.30
Pause og udstilling
11.10
Hvordan ser du ulykken, før den sker?
v/ Mogens Bjerre, Westpharma og John C. Mikkelsen, Præsidiet i DDV
For hver gang der sker en ulykke, har der været 600 tilfælde, som kunne have forårsaget en ulykke. Sikkerhed og arbejdsmiljø er en del af vores hverdag
11.50
Frokost og udstilling
13.10
Arbejde i højden
v/ Sten Lønborg, Lemvigh-Müller
Hvilke krav er der til arbejde i højden, bruger vi stigen rigtigt og må vi bruge den til den opgave vi skal løse eller er der krav
om anden løsnings metode.
13.50
Hvorledes ser man på arbejdsmiljø og sikkerhed i Dansk Metal?
v/ Jan Toft, Dansk Metal
Præsentation af simple redskaber til optimalt vedligehold som integrerer arbejdsmiljø, produktivitet og kvalitet. Teknikeren
spiller her en central rolle i indsatsen for at holde tekniske hjælpemidler ved lige, optimere sit arbejde og produktionen,
undgå spild, ulykker og dårligt arbejdsmiljø.
Men de bedste resultater opnås, når der er tæt samarbejde og gensidig information mellem de forskellige medarbejdergrupper og ledelsen.
14.20
Pause og udstilling
15.00
Responsible Safety Culture
v/ Bolette Sillasen, HS advicer, Dong Energy Power
Der er mange parametre i spil for at udgå ulykker. Hos DONG Energy Power er implementering af en ansvarlig sikkerhedskultur i hele organisationen en grundlæggende forudsætning i forløbet.
15.40
Omlægninger blev starten til ny fokus
v/ Martin Sejer Lund, fabrikschef, DAKA Proteins
Ved etablering af et centralt kontrolrum i produktionen mistede operatørerne og vedligeholderne den direkte kontakt med
hinanden. Det gav situationer, hvor ulykken var ”tæt” på. I det forløb, der fulgte efter, er problemet blevet løst og holdningerne til sikkerheden skærpet.
16.20
Afslutning
17.00
Aftensmad
DDV - Netværk for Drift og Vedligehold
Købmagergade 86
7000 Frederica
Tlf. 7591 4455 • [email protected] • www.ddv.org
Sikkerhedsdage 2010
Vi vil ikke ha’ det...
Målgruppen
Så kort og markant kan det udtrykkes, når der fra en virksomheds
ledelse bliver signaleret, at medarbejderne ikke må kunne komme
til skade under udførelse af arbejdsopgaver.
1. dag (25. oktober) henvender sig til virksomhedsledelsen og
funktionschefer inden for produktion, vedligehold og logistik.
Ulykker påfører unødig smerte og afsavn, manglende indtjening,
ekstra planlægning, lavere produktivitet og dermed også forringet
konkurrenceevne – der er således mange gode grunde til at arbejde målrettet på at undgå ulykkerne og forbedre arbejdsmiljøet.
Dette sammenholdt med den kedelige kendsgerning om at der i
forbindelse med vedligeholdsopgaver optræder væsentlig flere
ulykker end andre steder har ført til, at SESAM i samarbejde Interesseorganisationen DDV og Lemvigh-Müller arrangerer et 3 dages
arrangement ”Sikkerhedsdage 2010” på Hotel Pejsegården i Brædstrup.
”Sikkerhedsdage 2010” byder på et konferenceprogram, hvor vi
sætter fokus på sikkerhed og arbejdsmiljøet gennem cases og metodemodeller – på førstedagen set ud fra lederens vinkel, og på
dag to med teknikerens praktisk orienterede tilgang. Konferencens
sidste dag behandler en anden form for sikkerhed – datasikkerheden i forbindelse med automation. Sideløbende med konferenceprogrammet er der en udstilling, hvor 20 leverandører inden for
arbejdsmiljøområdet udbyder produkter og ydelser.
”Sikkerhedsdage 2010” bliver startskuddet i Danmark på den Paneuropæiske kampagne, som OSHA - Det Europæiske Agentur for
Arbejdsmiljø - gennemfører i 2010 og 2011 for at sætte fokus og
aktiviteter på vedligeholdsarbejdet i privat og offentlig virksomhed. Målet er, at vedligeholdsopgaver i højere grad fremover tilrettelægges og udføres, så det høje antal ulykker i forbindelse hermed, bliver reduceret.
2. dag (26. oktober) er målrettet vedligeholdets arbejdsledere
og vedligeholdsteknikere
3. dag (27. oktober) er specifik rettet imod gruppen af teknikere,
der arbejder med automation og forholdene, der gælder her.
Formål og forventet udbytte
Konferencen skal skabe fornyet opmærksomhed om værdien af
det ”nødvendige” samarbejde på sikkerhedsområdet mellem
virksomhedens ledelse og de berørte medarbejdere.
Konferencen vil afdække de kommende trends i sikkerhedsarbejdet – herunder lovmæssige initiativer, metode- og analyseværktøjer samt ikke mindst erfaringer omkring nye samarbejdsformer.
Konferencen bringer indlæg fra virksomheder, der har gennemført projekter, som andre kan lære af. Og i indlæg fra fagspecialister og faglige organisationer vil der blive bragt vurderinger,
der målretter de aktuelle overvejelser, der skal foretages hjemme i virksomheden efter konferencen.
Den sideløbende udstilling af udbydere og leverandører af miljøydelser på markedet vil skabe fine muligheder for dialog og vurdering af markedsmulighederne.
Velkommen til SIKKERHEDSDAGE 2010.
Automation • Projektledelse • Networking
Praktiske oplysninger
Afholde hos
Hotel Pejsegården
Søndergade 112
8740 Brædstrup
Tilmelding
www.sesam-world.dk eller telefon 8681 5015
Pris
Konferencedag 1 – 25/10
Sikkerhed i vedligeholdsarbejdet – et ledelsesansvar
Pris for deltagelse 1.650 kr. ekskl. moms for medlemmer. Ikke
medlemmer 4.100 kr.
Konferencedag 2 – 26/10
Teknikeren i den moderne sikkerhedsorganisation
Pris for deltagelse 575 kr. ekskl. moms.
Konferencedag 3 – 27/10
IT sikkerhed i produktionen – Hvad stiller det af krav til systemer
og organisation?
Pris for deltagelse 1.650 kr. ekskl. moms for medlemmer. Ikke
medlemmer 4.100 kr.
Adgang til udstillingen er gratis
Hvis man udelukkende ønsker at deltage i udstillingen, er der mulighed for at købe frokost, kaffe samt aftensmads billetter på stedet. Hvis man deltager i konferencen inkluderer dette fuld forplejning, herunder let frokostbuffet samt aftensmad kl. 17.00 inden
hjemrejse.
Bekræftelse og faktura udsendes umiddelbart efter tilmeldingen.
Afmelding
Ingen refusion ved afmeldinger senere end 1 uge før afviklingen.
Ønsker du at blive medlem af SESAM, og/eller ønsker du yderligere oplysninger, så kontakt os venligst
SESAM-WORLD - Automation, projektledelse og networking
Mommarkvej 2
8600 Silkeborg
Tel. 8681 5015
[email protected]
www.sesam-world.dk