2025 年 7 月 7 日
GEA 首席信息安全官 Iskro Mollov(图片来源:GEA)
Iskro Mollov
GEA 首席信息安全官
Iskro Mollov (IM):广义而言,信息安全是指保护公司的各类信息,当然也包括数字数据。这些信息可能包含敏感的客户、供应商和业务合作伙伴信息,也包括我们自身的信息,例如知识产权、财务和战略定位以及员工个人信息。保护这些信息首先是一项全面的治理任务。其目标是避免黑客攻击、防止间谍活动、确保符合法规和合同要求、保护关键系统并防止任何形式的业务中断。我们的利益相关者理应获得保障,确保其信息在各种情况下都是安全的 – 不仅是在正常运营中,尤其是在网络攻击或自然灾害等特殊情况下。
IM:在 GEA,我们全面审视所有领域和职能,以了解公司面临的安全风险。在此基础上,我们实施有效且高效的安全措施。信息安全在以下方面尤其重要:信息技术 (IT)、运营技术 (OT)、我们的产品和产品开发流程、互联网运营、实体资产和场所、供应商以及人力资源。值得强调的是,安全还深深植根于企业文化之中:一个真正安全的组织,必须营造出一种安全意识成为每位员工本能反应的文化氛围 – 而不是仅仅将安全视为安全专家的职责范围。
IM:我有三项总体且相互关联的职责。首先是持续审查和完善 GEA 的信息安全治理。我们的团队正在推动多项措施以实现这一目标。这包括统筹全球信息安全管理体系 (ISMS),实现安全认证和合规性,监督安全风险管理、员工培训、身份和访问管理、安全事件响应、绩效评估、审计和渗透测试。我们还定期通过模拟黑客攻击来测试我们的数字系统和产品。
其次是确保业务连续性。也就是说,即使在特殊情况下,也要保持 GEA 平稳运行。这包括为各类潜在运营中断做好准备,例如勒索软件攻击、生产和供应链中断、自然灾害、公用设施中断、社会动荡、流行病或法律问题。
第三是危机管理。企业危机形式多样,过去我们曾面临新冠疫情以及国际(军事)冲突等挑战。一个我们目前高度重视并认真准备的场景,是全球范围的勒索软件攻击。归根结底,危机管理是一项高度复杂且紧迫的任务,往往需要多个企业职能部门的协同合作,并进行极高强度的统筹与协调。
IM:我认为非常多元化!我们的信息安全、业务连续性和危机管理团队由来自世界各地、拥有不同专业背景的专业人士组成。我们拥有各个安全领域的专家,例如物理安全、IT 安全、OT 安全、产品安全,以及业务连续性管理、通用安全治理和风险管理。他们的教育背景也十分多样,包括工程学、信息技术和工商管理等不同领域的学位。
IM:信息安全已从一个辅助职能演变为一个能为我们所在行业带来竞争优势的专门职能。如果实施得当,卓越的信息安全治理甚至可以成为赢得新业务的决定性因素。遗憾的是,网络安全事件正日益频发,间谍活动也愈加猖獗。例如,在 2024 年,全球十分之九的组织至少遭遇过一次勒索软件攻击。此外,勒索软件即服务等现象的出现,使得发起一次潜在破坏性极大的攻击仅需少量资金和极低门槛。几乎所有从事机械和工艺工程的公司,以及许多其他公司,都在积极拥抱互联技术、人工智能和云解决方案,以从数字化中获益。但问题在于:这同时也扩大了潜在的攻击面。此外,全球供应链变得更加脆弱,而我们所有人都亲眼目睹了过去几年地缘政治局势的持续动荡。
与此同时,监管环境也日益复杂:欧盟的《网络韧性法案》和 NIS2 等广泛法规,已将监管重点直接指向了工厂运营商和工厂建造商。而 GEA 正是两者兼具。我们不仅运营自己的设施,还为客户建造工厂和机械设备。从信息安全的角度来看,这对我们而言是一种优势组合:它使我们在众多行业中积累了关于各类需求、可能性和潜在挑战的全面实践经验。凭借我们独特的实践和经验,我们可以提供先进且高度定制的信息安全解决方案,以满足最新监管要求。
IM:当然,这一议题的重要性日益凸显。这在我们从各部门和各区域的销售同事那里收到的反馈中得到了清晰体现;他们都强调了信息安全在客户互动中日益重要的地位。客户希望借助我们的力量来推动自身业务发展。提供卓越的信息安全治理是建立和维护客户信任的关键,也使 GEA 能够赢得新的业务机会。
IM:许多客户明确表示更倾向于与具备相关认证的公司合作,例如通过 ISO/IEC 27001 认证的公司。这是信息安全管理体系的国际标准。它规定了在组织内建立、实施、维护和持续改进全面信息安全管理体系的要求。对越来越多的客户而言,这甚至是合作的先决条件。权威认证是信息安全领域的标准,能够为客户提供关于 GEA 所坚持的严格信息安全标准的客观且透明的见解。这些认证均由领先的检验机构颁发,就我们而言,是由德国 TÜV Rheinland 颁发。
2021 年,GEA 首次获得 ISO/IEC 27001 统一认证。此后每年不断扩展,涵盖更多 GEA 场所和法人实体。2024 年的最新一次重新认证是根据最新发布的 2022 版 ISO/IEC 27001 标准进行的,涵盖了全球 53 个 GEA 场所的所有业务活动。这是一项重要的成就,因为 ISO/IEC 27001 是信息安全管理体系的国际领先标准,受到各行业的广泛认可。我们的生产基地和产品开发流程也已通过 IEC 62443 2-1 和 4-1 认证,这两项是工业自动化和控制系统安全领域的领先标准。这些认证同样属于集团统一认证,我们每年逐步将更多地点纳入其中。
IM:我们的目标是在 GEA 的全球安全项目框架下,到 2027 年实现所有相关 GEA 场所和产品的安全认证。此外,为进一步提升我们在国际 ESG 标准中的评级,我们计划到 2025 年底,使认证范围覆盖超过 75% 的员工。另一个重点任务是让 GEA 为更多即将出台的法规做好准备。例如,欧盟的《网络韧性法案》(CRA) 将要求制造商在整个产品生命周期中贯彻网络安全理念,遵循严格标准并配合大量报告义务。
但比这些国际议题更重要的是支持我们的客户,帮助他们提升安全性、合规性,并为未来做好准备。因此,一方面,我们要提供安全的 GEA 产品和数字服务;另一方面,将专用的安全产品和服务纳入 GEA 整体解决方案中,例如 GEA Asset Care。
IM:这很简单:GEA 致力于不断加强信息安全治理,以促进创新和信任。正如我们在工程技术方面享有卓越声誉一样,我们也希望高标准的信息安全成为客户选择 GEA 的重要理由之一。随着我们在这一领域不断精益求精,我们未来还有可能将积累的丰富专业知识应用于其他行业。我们所面对的业务复杂性和法规环境,正好为此奠定了坚实的基础。