Predpisi za kibernetsko varnost OT v razvoju
V samo nekaj zadnjih letih je kibernetska varnost operativne tehnologije (OT) doživela pomembne spremembe, ki jih je sprožilo povečano prepoznavanje širjenja površine napada in ranljivosti v kritični infrastrukturi (CI) ter industrijskih krmilnih sistemih (ICS). Regulatorji in vlade so postali zaskrbljeni zaradi nevarnosti za svojo kritično infrastrukturo, kar sproža več trajajočih pobud, ki bodo oblikovale izbire CISO-jev.
Razvijajoči se predpisi in standardi
Najprej rasteta pomembnost in sprejetost predpisov in standardov: 1. NIST Okvir za kibernetsko varnost (CSF) je bil pravkar posodobljen iz v1.1 na v2.0, z zdaj širšim obsegom, ki zajema tako IT kot tudi OT sisteme. Ključno je, da CSF zdaj poudarja ključno vlogo kibernetskega upravljanja. S predstavitvijo nove funkcije 'Upravljaj' CSF zajema vrsto vidikov, vključno z organizacijskim kontekstom, strategijo upravljanja tveganj, kibernetskim tveganjem v dobavni verigi, vlogami in odgovornostmi, politikami, procesi in nadzorom. 2. Mednarodna elektrotehniška komisija (IEC) 62443 postaja vedno bolj sprejet standard, saj zagotavlja celovita navodila za zavarovanje okolij ICS. Eden od temeljnih vidikov IEC 62443 zahteva izvajanje temeljitega periodičnega ocenjevanja tveganj, ki vključuje identifikacijo potencialnih ranljivosti, oceno njihovega vpliva in določitev verjetnosti izkoriščanja. 3. Prihajajoča direktiva EU NIS2 je morda najbolj relevantna za lokalno regijo: trenutno se izvaja v državah članicah EU in naj bi bila uveljavljena najkasneje do oktobra 2024. Posodobljena različica se osredotoča na upravljanje kibernetskih tveganj in zahteve za prijavo kibernetskih napadov. Elementi direktive bodo vplivali tudi na zakonodajo v sosednjih državah, ki morda niso del EU (še).
Razširitev regulativne pokritosti
Na primer, NIS2 več kot potroji število sektorjev in vrst subjektov, ki so prizadeti v primerjavi s trenutnim režimom NIS, kar zajema velik del nacionalnega gospodarstva. Prav tako uvaja odgovornost podjetij in ukrepe za upravljanje tveganj.
Zahteve za prijavo incidentov
Regulativni okviri postavljajo večji poudarek na hitrem in učinkovitem odzivu na incidente ter nato na prijavi morebitnih kršitev pristojnim regulativnim organom. Na primer, direktiva NIS 2 vključuje obveznost, da organizacije, ki jih prizadene kibernetski napad, incident prijavijo pristojnemu organu v 24 urah po tem, ko postanejo seznanjene z incidentom. Nedavno je ameriška komisija za vrednostne papirje in borzo (SEC) sprejela nova pravila, ki zahtevajo strožje razkritje kibernetske varnosti s strani organizacij.
Poudarek na varnosti dobavne verige
Predpisi so bolj izrecni glede ukrepov za upravljanje tveganj, ki jih je treba izvajati. Eden izmed njih je varnost dobavne verige in povezane zahteve za zmanjšanje tveganj s strani tretjih ponudnikov in dobaviteljev. Da bi bila skladna, morajo organizacije izvajati skrbnost, uvesti postopke upravljanja tveganj s ponudniki in zagotoviti varnost sestavin svoje dobavne verige.
Soočanje s konvergenco predpisov za IT in OT
Regulativni organi prepoznavajo naraščajočo povezanost informacijske tehnologije (IT) in operativne tehnologije (OT) sistemov in omrežij ter izmenjavo informacij. Vidijo naraščajočo potrebo po celostnem pristopu k kibernetski varnosti, ki presega nekoč ločeno področje med IT in OT. Med drugimi zahtevami se zdaj predpisi nanašajo tudi na usklajevanje struktur upravljanja, procesov upravljanja tveganj in varnostnih ukrepov med področji IT in OT.
Več si lahko preberete tukaj.
