Regulativa za kibernetičku sigurnost OT-a evoluira
Zadnjih nekoliko godina, u području sigurnosti operacijske tehnologije (OT), događaju se važne promjene potaknute sve većim prepoznavanjem širenja površine napada i ranjivosti kritične infrastrukture (CI) te industrijskih kontrolnih sustava (ICS). Regulatori i vlade postali su zabrinuti zbog opasnosti po svoju kritičnu infrastrukturu, što pokreće nekoliko trenutnih inicijativa koje će utjecati na odluke glavnih službenika za informacijsku sigurnost.
Evolucija propisa i standarda
Prvo, propisi i standardi postaju sve značajniji i sveprisutniji:
NIST Okvir za kibernetičku sigurnost (CSF) upravo je ažuriran s verzije 1.1 na verziju 2.0, s širim obuhvatom koji obuhvaća i IT i OT sustave. Važno je to što CSF sada naglašava ključnu ulogu upravljanja kibernetičkom sigurnošću. Uvođenjem nove funkcije "Upravljaj", CSF obuhvaća niz aspekata, uključujući organizacijski kontekst, strategiju upravljanja rizikom, rizik opskrbe kibernetičkom sigurnošću, uloge i odgovornosti, politike, procese i nadzor.
Međunarodna elektrotehnička komisija (IEC) 62443 sve više prihvaćen standard jer pruža sveobuhvatne smjernice za osiguranje ICS okoline. Jedan od temeljnih aspekata IEC 62443 poziva na provođenje temeljitih, periodičnih procjena rizika koje uključuju identifikaciju potencijalnih ranjivosti, procjenu njihovog utjecaja i određivanje vjerojatnosti iskorištavanja.
Nadolazeća EU direktiva NIS2 možda je najrelevantnija za lokalnu regiju: sada se implementira u državama članicama EU-a i očekuje se da će se provoditi najkasnije do listopada 2024. Ažurirana verzija usmjerena je na upravljanje rizikom kibernetičke sigurnosti i zahtjeve za izvještavanjem o kibernetičkim napadima. Elementi direktive također će utjecati na zakonodavstvo u susjednim zemljama koje možda nisu u EU-u (još).
Proširenje pokrivenosti regulative
Na primjer, NIS2 više od trostruko povećava broj sektora i vrsta subjekata koji su pogođeni u usporedbi s trenutnim NIS režimom, što uključuje veliki dio nacionalnog gospodarstva. Također uvodi koncept korporativne odgovornosti i mjere upravljanja rizikom.
Zahtjevi za izvještavanjem o incidentima
Regulativni okviri sve više naglašavaju važnost brzog i učinkovitog odgovora na incidente i naknadnog izvješćivanja o svakom kršenju nadležnom regulatornom tijelu. Na primjer, NIS 2 Direktiva uključuje obvezu da organizacije pogođene kibernetičkim napadom prijave incident nadležnom tijelu u roku od 24 sata od saznanja o incidentu. Nedavno je američka Komisija za vrijednosne papire i burze (SEC) upravo donijela nove propise koji zahtijevaju stroža izvješća o kibernetičkim sigurnosnim obavijestima od organizacija.
Fokus na sigurnosti opskrbnog lanca
Regulacije su konkretnije što se tiče mjera upravljanja rizikom koje treba primijeniti. Jedna od njih je sigurnost opskrbnog lanca i povezani zahtjevi za smanjenje rizika od dobavljača i dobavljača trećih strana. Da bi bili usklađeni, organizacije moraju provoditi temeljito istraživanje, primjenjivati procese upravljanja rizikom dobavljača i osigurati sigurnost komponenata njihovog opskrbnog lanca.
Konvergencija IT i OT regulativa
Regulatorna tijela prepoznaju sve veću povezanost informacijske tehnologije (IT) i operacijske tehnologije (OT) sustava i mreža te razmjenu informacija. Prepoznaju potrebu za holističkim pristupom kibernetičkoj sigurnosti koji prelazi nekadašnju granicu između IT i OT. Među ostalim zahtjevima, regulacije sada uključuju usklađivanje struktura upravljanja, procesa upravljanja rizikom i sigurnosnih kontrola između IT i OT područja.
Više informacija možete pronaći ovdje.