Ασφάλεια OT κατά NIS2: χαρτογράφηση ISO 27001 και IEC 62443

Στις 02:17 ένα πρωινό Δευτέρας, ένας χειριστής εγκατάστασης επεξεργασίας νερού λαμβάνει συναγερμό από σύστημα δοσομέτρησης. Η τροφοδοσία χημικών παραμένει εντός των ορίων ασφάλειας, όμως ένα PLC αναφέρει ακανόνιστες εντολές, ο σταθμός εργασίας μηχανικών εμφανίζει αποτυχημένες συνδέσεις από λογαριασμό VPN προμηθευτή, και ο αναλυτής SOC σε βάρδια θέτει ένα ερώτημα που κανείς δεν θέλει να απαντήσει υπό πίεση.

Πρόκειται για περιστατικό IT, περιστατικό OT, συμβάν ασφάλειας διεργασιών ή σημαντικό περιστατικό κοινοποιητέο κατά NIS2;

Η εγκατάσταση διαθέτει τείχη προστασίας. Διαθέτει τεκμηρίωση ISO. Διαθέτει υπολογιστικό φύλλο προμηθευτών. Διαθέτει ακόμη και σχέδιο απόκρισης σε περιστατικά. Όμως το σχέδιο συντάχθηκε για παραβίαση ηλεκτρονικού ταχυδρομείου και διακοπές υπηρεσιών νέφους, όχι για έναν ελεγκτή παλαιού τύπου που δεν μπορεί να επιδιορθωθεί κατά την παραγωγή, για έναν προμηθευτή που χρειάζεται απομακρυσμένη πρόσβαση για να αποκαταστήσει την υπηρεσία και για μια αρμόδια αρχή που αναμένει τεκμήρια εντός των προθεσμιών αναφοράς της NIS2.

Το ίδιο πρόβλημα εμφανίζεται και στις αίθουσες διοίκησης. Ένας CISO σε περιφερειακό πάροχο ενέργειας μπορεί να διαθέτει πιστοποιημένο κατά ISO/IEC 27001:2022 Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών για την εταιρική πληροφορική, ενώ το περιβάλλον λειτουργικής τεχνολογίας παραμένει ένα πολύπλοκο πλέγμα από PLCs, RTUs, HMIs, historians, σταθμούς εργασίας μηχανικών, βιομηχανικούς μεταγωγείς και διαδρομές πρόσβασης προμηθευτών. Το ερώτημα του Διευθύνοντος Συμβούλου είναι απλό: «Είμαστε καλυμμένοι; Μπορείτε να το αποδείξετε;»

Για πολλές ουσιώδεις και σημαντικές οντότητες, η ειλικρινής απάντηση είναι άβολη. Είναι μερικώς καλυμμένες. Μπορούν να το αποδείξουν μερικώς. Όμως η ασφάλεια OT κατά NIS2 απαιτεί περισσότερα από γενική συμμόρφωση IT.

Απαιτεί ενιαίο λειτουργικό μοντέλο που συνδέει τη διακυβέρνηση του ISO/IEC 27001:2022, τη γλώσσα ελέγχων του ISO/IEC 27002:2022, τις πρακτικές βιομηχανικής μηχανικής του IEC 62443, τα μέτρα διαχείρισης κινδύνων κυβερνοασφάλειας του NIS2 Article 21 και τα τεκμήρια αναφοράς περιστατικών του NIS2 Article 23.

Αυτή είναι η γέφυρα που δημιουργεί ο παρών οδηγός.

Γιατί η ασφάλεια OT κατά NIS2 διαφέρει από τη συνήθη συμμόρφωση IT

Η NIS2 εφαρμόζεται σε πολλές δημόσιες και ιδιωτικές οντότητες που παρέχουν εντός πεδίου υπηρεσίες στην ΕΕ, συμπεριλαμβανομένων ουσιωδών και σημαντικών οντοτήτων σε τομείς όπως ενέργεια, μεταφορές, τραπεζική, υποδομές χρηματοπιστωτικών αγορών, υγεία, πόσιμο νερό, λύματα, ψηφιακή υποδομή, διαχείριση υπηρεσιών ΤΠΕ, δημόσια διοίκηση, διάστημα, ταχυδρομικές υπηρεσίες, διαχείριση αποβλήτων, μεταποίηση, χημικά, τρόφιμα, ψηφιακοί πάροχοι και έρευνα.

Η Οδηγία απαιτεί κατάλληλα και αναλογικά τεχνικά, επιχειρησιακά και οργανωτικά μέτρα για τη διαχείριση κυβερνοκινδύνων, την αποτροπή ή ελαχιστοποίηση του αντικτύπου περιστατικών και την προστασία της συνέχειας των υπηρεσιών. Το Article 21 περιλαμβάνει προσέγγιση όλων των κινδύνων που καλύπτει ανάλυση κινδύνων, πολιτικές ασφάλειας, χειρισμό περιστατικών, επιχειρησιακή συνέχεια, διαχείριση κρίσεων, ασφάλεια εφοδιαστικής αλυσίδας, ασφαλή απόκτηση και συντήρηση, χειρισμό και γνωστοποίηση ευπαθειών, αξιολόγηση αποτελεσματικότητας, κυβερνοϋγιεινή, εκπαίδευση, κρυπτογραφία, ασφάλεια ανθρώπινου δυναμικού, έλεγχο πρόσβασης, διαχείριση περιουσιακών στοιχείων, MFA ή συνεχή αυθεντικοποίηση, ασφαλείς επικοινωνίες και επικοινωνίες έκτακτης ανάγκης, όπου απαιτείται.

Οι απαιτήσεις αυτές ακούγονται οικείες σε μια ομάδα ISO/IEC 27001:2022. Στο OT, καθεμία από αυτές λειτουργεί διαφορετικά.

Μια ευπάθεια σε web server μπορεί συχνά να επιδιορθωθεί μέσα σε λίγες ημέρες. Μια ευπάθεια σε ελεγκτή στροβίλου μπορεί να απαιτεί επικύρωση από προμηθευτή, παράθυρο συντήρησης, ανασκόπηση ασφάλειας και εφεδρικές επιχειρησιακές διαδικασίες. Ένας φορητός υπολογιστής μπορεί να ανακατασκευαστεί. Ένα HMI παραγωγής μπορεί να εξαρτάται από λειτουργικό σύστημα παλαιού τύπου, επειδή η βιομηχανική εφαρμογή δεν έχει πιστοποιηθεί για νεότερη πλατφόρμα. Ένα εγχειρίδιο απόκρισης SOC μπορεί να αναφέρει «απομονώστε τον κεντρικό υπολογιστή», ενώ ο μηχανικός OT απαντά: «όχι πριν γνωρίζουμε αν η απομόνωση επηρεάζει τον έλεγχο πίεσης».

Η διαφορά δεν είναι μόνο τεχνική. Η πληροφορική συνήθως δίνει προτεραιότητα στην εμπιστευτικότητα, την ακεραιότητα και τη διαθεσιμότητα. Το OT δίνει προτεραιότητα στη διαθεσιμότητα, την ακεραιότητα διεργασιών και την ασφάλεια ανθρώπων και εγκαταστάσεων. Ένας έλεγχος ασφάλειας που εισάγει καθυστέρηση, απαιτεί επανεκκίνηση ή διακόπτει φυσική διεργασία μπορεί να είναι μη αποδεκτός χωρίς έγκριση μηχανικής.

Η NIS2 δεν εξαιρεί το OT από τη διαχείριση κινδύνων κυβερνοασφάλειας. Αναμένει από τον οργανισμό να αποδεικνύει ότι οι έλεγχοι είναι κατάλληλοι για τον κίνδυνο και αναλογικοί προς την επιχειρησιακή πραγματικότητα.

Η στοίβα ελέγχων: NIS2, ISO/IEC 27001:2022, ISO/IEC 27002:2022 και IEC 62443

Ένα τεκμηριώσιμο πρόγραμμα ασφάλειας OT κατά NIS2 ξεκινά με πολυεπίπεδη στοίβα ελέγχων.

Το ISO/IEC 27001:2022 παρέχει το σύστημα διαχείρισης. Απαιτεί από τον οργανισμό να ορίζει το πλαίσιο, τα ενδιαφερόμενα μέρη, τις ρυθμιστικές υποχρεώσεις, το πεδίο εφαρμογής του ISMS, τις διεπαφές και τις εξαρτήσεις. Απαιτεί επίσης ιδιοκτησία από την ηγεσία, πολιτική ασφάλειας πληροφοριών, αξιολόγηση κινδύνων, αντιμετώπιση κινδύνων, Δήλωση Εφαρμοσιμότητας, τεκμηριωμένες πληροφορίες, εσωτερικό έλεγχο, ανασκόπηση από τη διοίκηση και συνεχή βελτίωση.

Το ISO/IEC 27002:2022 παρέχει το λεξιλόγιο ελέγχων. Για το OT, οι σημαντικότεροι έλεγχοι συχνά περιλαμβάνουν ασφάλεια προμηθευτών, διαχείριση κινδύνων της εφοδιαστικής αλυσίδας ΤΠΕ, σχεδιασμό περιστατικών, ετοιμότητα επιχειρησιακής συνέχειας, νομικές και συμβατικές απαιτήσεις, διαχείριση περιουσιακών στοιχείων, έλεγχο πρόσβασης, διαχείριση ευπαθειών, αντίγραφα ασφαλείας, καταγραφή, παρακολούθηση, ασφάλεια δικτύου και διαχωρισμό δικτύων.

Το IEC 62443 παρέχει το μοντέλο βιομηχανικής μηχανικής ασφάλειας. Βοηθά στη μετάφραση των απαιτήσεων του συστήματος διαχείρισης σε πρακτικές OT, όπως ζώνες, δίαυλοι επικοινωνίας, επίπεδα ασφάλειας, αρμοδιότητες ιδιοκτήτη περιουσιακού στοιχείου, αρμοδιότητες ολοκληρωτή συστημάτων, προσδοκίες από προμηθευτές προϊόντων, περιορισμοί απομακρυσμένης πρόσβασης, ελάχιστη λειτουργικότητα, διαχείριση λογαριασμών, σκλήρυνση και έλεγχοι κύκλου ζωής.

Η Clarysec χρησιμοποιεί αυτή τη στοίβα επειδή αποφεύγει δύο συχνές αστοχίες. Πρώτον, αποτρέπει την υπερβολικά γενική εφαρμογή ISO στο OT. Δεύτερον, αποτρέπει την αποσύνδεση της μηχανικής εργασίας IEC 62443 από τη λογοδοσία του Διοικητικού Συμβουλίου, τις υποχρεώσεις αναφοράς της NIS2 και τα ελεγκτικά τεκμήρια.

Η Πολιτική Ασφάλειας IoT / OT της Clarysec διατυπώνει άμεσα τη γέφυρα:

Να διασφαλίζεται ότι όλες οι υλοποιήσεις ευθυγραμμίζονται με τους ελέγχους ISO/IEC 27001 και τις εφαρμοστέες τομεακές οδηγίες (π.χ. IEC 62443, ISO 27019, NIST SP 800-82).

Αυτή η πρόταση έχει σημασία. Η πολιτική δεν είναι απλώς κατάλογος ελέγχου σκλήρυνσης συσκευών. Συνδέει τη διακυβέρνηση ISO, την τομεακή καθοδήγηση OT και την επιχειρησιακή ασφάλεια.

Ξεκινήστε από το πεδίο εφαρμογής: ποια υπηρεσία OT πρέπει να προστατευθεί;

Πριν από τη χαρτογράφηση ελέγχων, ορίστε την υπηρεσία OT σε επιχειρησιακή και ρυθμιστική γλώσσα.

Ένας διευθυντής εγκατάστασης μπορεί να πει: «Λειτουργούμε τη γραμμή συσκευασίας». Μια αξιολόγηση NIS2 πρέπει να αναφέρει: «Η παραγωγική αυτή διεργασία υποστηρίζει ουσιώδη ή σημαντική υπηρεσία και εξαρτάται από PLCs, HMIs, σταθμούς εργασίας μηχανικών, historians, βιομηχανικούς μεταγωγείς, απομακρυσμένη πρόσβαση προμηθευτών, ανάδοχο συντήρησης, τροφοδοσία αναλυτικών δεδομένων από υπηρεσία νέφους και εταιρική υπηρεσία ταυτότητας».

Οι ρήτρες 4.1 έως 4.4 του ISO/IEC 27001:2022 είναι χρήσιμες, επειδή υποχρεώνουν τον οργανισμό να αναγνωρίζει εσωτερικά και εξωτερικά ζητήματα, ενδιαφερόμενα μέρη, νομικές και συμβατικές απαιτήσεις, όρια του ISMS, διεπαφές και εξαρτήσεις. Για την ασφάλεια OT κατά NIS2, αυτό σημαίνει χαρτογράφηση όχι μόνο του δικτύου των κεντρικών γραφείων, αλλά και των βιομηχανικών συστημάτων και των εξαρτήσεων υπηρεσιών που επηρεάζουν τη συνέχεια, την ασφάλεια και τη ρυθμιζόμενη παροχή.

Το NIST CSF 2.0 ενισχύει την ίδια λογική. Η λειτουργία GOVERN απαιτεί κατανόηση της αποστολής, των ενδιαφερόμενων μερών, των εξαρτήσεων, των νομικών και ρυθμιστικών υποχρεώσεων, των κρίσιμων υπηρεσιών και των υπηρεσιών από τις οποίες εξαρτάται ο οργανισμός. Τα Organizational Profiles παρέχουν πρακτική μέθοδο για τον καθορισμό της τρέχουσας κατάστασης, τον ορισμό της επιθυμητής κατάστασης, την ανάλυση κενών και τη δημιουργία ιεραρχημένου σχεδίου ενεργειών.

Για ένα περιβάλλον OT, η Clarysec συνήθως ξεκινά με πέντε ερωτήματα:

1. Ποια ρυθμιζόμενη ή κρίσιμη υπηρεσία υποστηρίζει αυτό το περιβάλλον OT;
2. Ποια περιουσιακά στοιχεία OT, δίκτυα, ροές δεδομένων και τρίτα μέρη απαιτούνται για την υπηρεσία αυτή;
3. Ποιοι περιορισμοί ασφάλειας, διαθεσιμότητας και λειτουργίας επηρεάζουν τους ελέγχους ασφάλειας;
4. Ποιες νομικές, συμβατικές και τομεακές υποχρεώσεις εφαρμόζονται, συμπεριλαμβανομένων των NIS2, GDPR, DORA όπου είναι συναφείς, συμβάσεων πελατών και εθνικών κανόνων;
5. Ποια τμήματα του περιβάλλοντος βρίσκονται εντός του ISMS και ποιες είναι εξωτερικές εξαρτήσεις που απαιτούν ελέγχους προμηθευτών;

Πολλά προγράμματα NIS2 αποτυγχάνουν σε αυτό το σημείο. Ορίζουν το πεδίο γύρω από την εταιρική πληροφορική επειδή είναι ευκολότερη στην απογραφή. Οι ελεγκτές και οι αρμόδιες αρχές δεν θα εντυπωσιαστούν αν η πιο κρίσιμη εξάρτηση υπηρεσίας εμφανίζεται μόνο ως ασαφής γραμμή με τίτλο «δίκτυο εργοστασίου».

Πρακτικός χάρτης ελέγχων OT κατά NIS2

Ο παρακάτω πίνακας δείχνει πώς μπορούν να μετατραπούν τα θέματα του NIS2 Article 21 σε τεκμήρια ISO/IEC 27001:2022, ISO/IEC 27002:2022 και IEC 62443. Δεν αντικαθιστά μια επίσημη αξιολόγηση κινδύνων, αλλά παρέχει σε CISOs, διευθυντές OT και ομάδες συμμόρφωσης ένα πρακτικό σημείο εκκίνησης.

Ο χάρτης αυτός εστιάζει σκόπιμα στα τεκμήρια. Στο πλαίσιο της NIS2, η δήλωση «έχουμε τμηματοποίηση» δεν αρκεί. Πρέπει να δείξετε γιατί η τμηματοποίηση είναι κατάλληλη, πώς έχει υλοποιηθεί, πώς εγκρίνονται οι εξαιρέσεις και πώς ο σχεδιασμός μειώνει τον αντίκτυπο στη ρυθμιζόμενη υπηρεσία.

Τμηματοποίηση: ο πρώτος έλεγχος OT που θα δοκιμάσουν οι ελεγκτές

Αν το περιστατικό των 02:17 περιλάμβανε μετακίνηση επιτιθέμενου από φορητό υπολογιστή γραφείου σε σταθμό εργασίας μηχανικών, το πρώτο ελεγκτικό ερώτημα θα ήταν προφανές: γιατί μπορούσε να υπάρχει αυτή η διαδρομή;

Η Πολιτική Ασφάλειας IoT / OT είναι σαφής:

Τα συστήματα OT πρέπει να λειτουργούν εντός ειδικών δικτύων απομονωμένων από την εταιρική πληροφορική και τα συστήματα εκτεθειμένα στο διαδίκτυο.

Για μικρότερα περιβάλλοντα, η Πολιτική Ασφάλειας Internet of Things (IoT) / Operational Technology (OT) - SME παρέχει πρακτική βασική γραμμή:

Όλες οι συσκευές Internet of Things (IoT) και Operational Technology (OT) πρέπει να τοποθετούνται σε ξεχωριστό δίκτυο Wi‑Fi ή VLAN

Για έναν ώριμο φορέα κρίσιμων υποδομών, η τμηματοποίηση πρέπει να σχεδιάζεται γύρω από ζώνες και διαύλους επικοινωνίας OT. Οι εταιρικοί χρήστες δεν πρέπει να έχουν άμεση πρόσβαση σε δίκτυα PLC. Οι συνδέσεις προμηθευτών πρέπει να τερματίζουν σε ελεγχόμενες ζώνες πρόσβασης. Η αναπαραγωγή historian πρέπει να χρησιμοποιεί εγκεκριμένες διαδρομές. Τα συστήματα ασφάλειας πρέπει να απομονώνονται σύμφωνα με τον κίνδυνο και τις απαιτήσεις μηχανικής. Τα ασύρματα δίκτυα OT πρέπει να αιτιολογούνται, να σκληρύνονται και να παρακολουθούνται.

Το Zenith Blueprint: οδικός χάρτης 30 βημάτων για ελεγκτές, στη φάση Controls in Action, Step 20, εξηγεί την αρχή πίσω από την ασφάλεια δικτύου του ISO/IEC 27002:2022:

Τα συστήματα βιομηχανικού ελέγχου πρέπει να απομονώνονται από την κίνηση γραφείου.

Προειδοποιεί επίσης ότι η ασφάλεια δικτύου απαιτεί ασφαλή αρχιτεκτονική, τμηματοποίηση, έλεγχο πρόσβασης, κρυπτογράφηση κατά τη μεταφορά, παρακολούθηση και άμυνα σε βάθος.

Στο Zenith Controls: ο οδηγός διασταυρούμενης συμμόρφωσης, ο έλεγχος 8.22 του ISO/IEC 27002:2022, Segregation of Networks, αντιμετωπίζεται ως προληπτικός έλεγχος που υποστηρίζει την εμπιστευτικότητα, την ακεραιότητα και τη διαθεσιμότητα, ευθυγραμμίζεται με την έννοια κυβερνοασφάλειας Protect, έχει ως επιχειρησιακή ικανότητα την ασφάλεια συστημάτων και δικτύων και ως τομέα ασφάλειας την Protection.

Η ταξινόμηση αυτή είναι χρήσιμη για τα τεκμήρια NIS2, επειδή η τμηματοποίηση δεν είναι διακοσμητικό διάγραμμα. Είναι προληπτικός έλεγχος σχεδιασμένος να μειώνει την ακτίνα επίδρασης και να διατηρεί τη συνέχεια ουσιωδών υπηρεσιών.

Διαχείριση ευπαθειών όταν τα συστήματα OT δεν μπορούν απλώς να επιδιορθωθούν

Η NIS2 απαιτεί ασφαλή απόκτηση, ανάπτυξη και συντήρηση δικτύων και πληροφοριακών συστημάτων, συμπεριλαμβανομένου του χειρισμού και της γνωστοποίησης ευπαθειών. Στην πληροφορική, η διαχείριση ευπαθειών συχνά σημαίνει σάρωση, ιεράρχηση, εφαρμογή διόρθωσης και επαλήθευση. Το OT προσθέτει περιορισμούς.

Ένα κρίσιμο HMI μπορεί να επιδιορθώνεται μόνο κατά τη διάρκεια προγραμματισμένης διακοπής. Μια ενημέρωση firmware PLC μπορεί να απαιτεί συμμετοχή προμηθευτή. Ένα πιστοποιημένο ως προς την ασφάλεια σύστημα μπορεί να χάσει την πιστοποίησή του αν τροποποιηθεί εσφαλμένα. Ορισμένες συσκευές παλαιού τύπου μπορεί να μην έχουν πλέον υποστήριξη προμηθευτή.

Το Zenith Blueprint, στη φάση Controls in Action, Step 19, παρέχει τη σωστή ελεγκτική λογική για τις τεχνικές ευπάθειες:

Για συστήματα που δεν μπορούν να επιδιορθωθούν άμεσα, ίσως λόγω λογισμικού παλαιού τύπου ή περιορισμών διακοπής λειτουργίας, εφαρμόστε αντισταθμιστικούς ελέγχους. Αυτό μπορεί να περιλαμβάνει απομόνωση του συστήματος πίσω από τείχος προστασίας, περιορισμό πρόσβασης ή αύξηση της παρακολούθησης. Σε κάθε περίπτωση, καταγράψτε και αποδεχθείτε επίσημα τον υπολειπόμενο κίνδυνο, δείχνοντας ότι το ζήτημα δεν έχει ξεχαστεί.

Η βασική γραμμή της πολιτικής SME είναι εξίσου πρακτική:

Το μητρώο πρέπει να ανασκοπείται ανά τρίμηνο για τον εντοπισμό παρωχημένων, μη υποστηριζόμενων ή μη επιδιορθωμένων συσκευών

Στο Zenith Controls, ο έλεγχος 8.8 του ISO/IEC 27002:2022, Management of Technical Vulnerabilities, χαρτογραφείται ως προληπτικός έλεγχος που υποστηρίζει την εμπιστευτικότητα, την ακεραιότητα και τη διαθεσιμότητα, ευθυγραμμίζεται με Identify και Protect, και έχει ως επιχειρησιακή ικανότητα τη διαχείριση απειλών και ευπαθειών στους τομείς Governance, Ecosystem, Protection και Defense.

Ένας ισχυρός φάκελος ευπάθειας OT πρέπει να περιλαμβάνει:

• Αναγνωριστικό περιουσιακού στοιχείου, ιδιοκτήτη, ζώνη και κρισιμότητα
• Πηγή ευπάθειας, όπως δελτίο προμηθευτή, σαρωτή, ειδοποίηση ολοκληρωτή ή πληροφορίες απειλών
• Περιορισμούς ασφάλειας και διαθεσιμότητας
• Δυνατότητα εφαρμογής διόρθωσης και προγραμματισμένο παράθυρο συντήρησης
• Αντισταθμιστικούς ελέγχους, όπως απομόνωση, λίστες ελέγχου πρόσβασης, απενεργοποιημένες υπηρεσίες ή αυξημένη παρακολούθηση
• Έγκριση ιδιοκτήτη κινδύνου και αποδοχή υπολειπόμενου κινδύνου
• Τεκμήρια επαλήθευσης μετά την αποκατάσταση ή την εφαρμογή αντισταθμιστικού ελέγχου

Έτσι, το «δεν μπορούμε να εφαρμόσουμε διόρθωση» μετατρέπεται από δικαιολογία σε ελέγξιμη αντιμετώπιση κινδύνου.

Απομακρυσμένη πρόσβαση προμηθευτών: το κρίσιμο σημείο NIS2 και IEC 62443

Τα περισσότερα περιστατικά OT έχουν κάπου διάσταση τρίτου μέρους. Έναν λογαριασμό προμηθευτή. Έναν φορητό υπολογιστή ολοκληρωτή. Ένα εργαλείο απομακρυσμένης συντήρησης. Κοινόχρηστα διαπιστευτήρια. Μια εξαίρεση τείχους προστασίας που ήταν προσωρινή πριν από τρία χρόνια.

Το NIS2 Article 21 περιλαμβάνει ρητά ασφάλεια εφοδιαστικής αλυσίδας, ευπάθειες ειδικές ανά προμηθευτή, πρακτικές κυβερνοασφάλειας προμηθευτών και διαδικασίες ασφαλούς ανάπτυξης. Το NIST CSF 2.0 είναι επίσης λεπτομερές σε αυτό το σημείο, μέσω κρισιμότητας προμηθευτών, συμβατικών απαιτήσεων, δέουσας επιμέλειας, συνεχούς παρακολούθησης, συντονισμού περιστατικών και προβλέψεων εξόδου.

Η Πολιτική Ασφάλειας Τρίτων Μερών και Προμηθευτών - SME της Clarysec διατυπώνει την αρχή με απλή γλώσσα:

Στους προμηθευτές πρέπει να χορηγείται πρόσβαση μόνο στα ελάχιστα συστήματα και δεδομένα που απαιτούνται για την εκτέλεση της λειτουργίας τους.

Για το OT, η ελάχιστη πρόσβαση σημαίνει περισσότερα από πρόσβαση βάσει ρόλων σε μια εφαρμογή. Η πρόσβαση προμηθευτών πρέπει να είναι:

• Προεγκεκριμένη για καθορισμένο σκοπό συντήρησης
• Χρονικά περιορισμένη και απενεργοποιημένη εξ ορισμού
• Προστατευμένη με MFA ή συνεχή αυθεντικοποίηση όπου απαιτείται
• Δρομολογημένη μέσω ασφαλούς jump host ή ελεγχόμενης πλατφόρμας απομακρυσμένης πρόσβασης
• Περιορισμένη στη σχετική ζώνη ή στο σχετικό περιουσιακό στοιχείο OT
• Καταγεγραμμένη, παρακολουθούμενη και, για πρόσβαση υψηλού κινδύνου, με καταγραφή συνεδρίας
• Ανασκοπημένη μετά την ολοκλήρωση
• Καλυπτόμενη από συμβατικές υποχρεώσεις ασφάλειας και ειδοποίησης περιστατικών

Η εταιρική Πολιτική Ασφάλειας IoT / OT περιλαμβάνει ειδική απαίτηση απομακρυσμένης πρόσβασης:

Η απομακρυσμένη πρόσβαση (για διαχείριση ή εξυπηρέτηση από προμηθευτή) πρέπει:

Η ρήτρα αυτή εδραιώνει το σημείο διακυβέρνησης, ενώ οι αναλυτικές απαιτήσεις πρέπει να υλοποιούνται σε διαδικασίες πρόσβασης, συμφωνίες προμηθευτών, τεχνικές ρυθμίσεις και ροές εργασιών παρακολούθησης.

Στο Zenith Controls, ο έλεγχος 5.21 του ISO/IEC 27002:2022, Managing information security in the ICT supply chain, ταξινομείται ως προληπτικός έλεγχος που υποστηρίζει την εμπιστευτικότητα, την ακεραιότητα και τη διαθεσιμότητα, ευθυγραμμίζεται με την έννοια Identify, έχει ως επιχειρησιακή ικανότητα την ασφάλεια σχέσεων με προμηθευτές και ως τομείς τους Governance, Ecosystem και Protection.

Για το OT, η χαρτογράφηση αυτή βοηθά να εξηγηθεί γιατί τα τεκμήρια απομακρυσμένης πρόσβασης ανήκουν ταυτόχρονα σε φακέλους κινδύνου προμηθευτών, διακυβέρνησης ταυτοτήτων, ασφάλειας δικτύου, απόκρισης σε περιστατικά και συνέχειας.

Απόκριση σε περιστατικά: το ρολόι της NIS2 συναντά την αίθουσα ελέγχου

Επιστροφή στον συναγερμό των 02:17. Ο οργανισμός πρέπει να αποφασίσει αν το συμβάν είναι σημαντικό κατά NIS2. Το Article 23 απαιτεί κοινοποίηση χωρίς αδικαιολόγητη καθυστέρηση σημαντικών περιστατικών που επηρεάζουν την παροχή υπηρεσιών. Η ακολουθία περιλαμβάνει έγκαιρη προειδοποίηση εντός 24 ωρών από τη γνώση του περιστατικού, κοινοποίηση περιστατικού εντός 72 ωρών, ενδιάμεσες ενημερώσεις εφόσον ζητηθούν και τελική έκθεση το αργότερο εντός ενός μήνα από την κοινοποίηση του περιστατικού, ή έκθεση προόδου αν το περιστατικό βρίσκεται ακόμη σε εξέλιξη.

Στο OT, η απόκριση σε περιστατικά πρέπει να απαντά σε ερωτήματα που τα εγχειρίδια απόκρισης IT συχνά αγνοούν:

• Μπορεί η επηρεαζόμενη συσκευή να απομονωθεί χωρίς να δημιουργηθεί κίνδυνος ασφάλειας;
• Ποιος έχει την αρμοδιότητα να σταματήσει την παραγωγή ή να μεταβεί σε χειροκίνητη λειτουργία;
• Ποια αρχεία καταγραφής είναι πτητικά και χρειάζονται άμεση διατήρηση;
• Ποιος προμηθευτής ή ολοκληρωτής πρέπει να ειδοποιηθεί;
• Είναι το συμβάν κακόβουλο, τυχαίο, περιβαλλοντικό ή προκαλείται από εσφαλμένη ρύθμιση παραμέτρων;
• Θα μπορούσε να υπάρξει διασυνοριακός αντίκτυπος ή αντίκτυπος στους αποδέκτες υπηρεσιών;
• Εμπλέκονται δεδομένα προσωπικού χαρακτήρα, όπως αρχεία πρόσβασης με κάρτες, CCTV, δεδομένα εργαζομένων ή αρχεία εξυπηρέτησης πελατών;

Η πολιτική OT για SME δίνει έναν απλό κανόνα κλιμάκωσης ανωμαλιών:

Οποιεσδήποτε ανωμαλίες πρέπει να αναφέρονται άμεσα στον Γενικό Διευθυντή για περαιτέρω ενέργεια

Περιλαμβάνει επίσης αρχή περιορισμού με επίγνωση της ασφάλειας:

Η συσκευή πρέπει να αποσυνδέεται άμεσα από το δίκτυο, εφόσον αυτό μπορεί να γίνει με ασφάλεια

Οι τελευταίες πέντε λέξεις είναι κρίσιμες. Η απόκριση OT δεν μπορεί να αντιγράφει τυφλά τις ενέργειες περιορισμού IT. Το «εφόσον αυτό μπορεί να γίνει με ασφάλεια» πρέπει να αποτυπώνεται σε runbooks, μήτρες κλιμάκωσης, εκπαίδευση και ασκήσεις επιτραπέζιων σεναρίων.

Το NIST CSF 2.0 χαρτογραφείται καλά εδώ. Τα αποτελέσματα Respond και Recover καλύπτουν αρχική αξιολόγηση περιστατικών, κατηγοριοποίηση, κλιμάκωση, ανάλυση βασικής αιτίας, ακεραιότητα των τεκμηρίων, γνωστοποιήσεις προς τα ενδιαφερόμενα μέρη, περιορισμό, εξάλειψη, αποκατάσταση, ελέγχους ακεραιότητας αντιγράφων ασφαλείας και επικοινωνίες ανάκαμψης.

Δημιουργήστε μία γραμμή τεκμηρίωσης από τον κίνδυνο έως τον έλεγχο

Ένας πρακτικός τρόπος να αποφευχθεί η κατακερματισμένη συμμόρφωση είναι η δημιουργία μίας γραμμής τεκμηρίωσης από τον κίνδυνο προς τη ρύθμιση, τον έλεγχο και την απόδειξη.

Σενάριο: ένας προμηθευτής απομακρυσμένης συντήρησης συμπιεστή χρειάζεται πρόσβαση σε σταθμό εργασίας μηχανικών στο δίκτυο OT. Ο σταθμός εργασίας μπορεί να τροποποιεί λογική PLC. Ο λογαριασμός προμηθευτή είναι πάντα ενεργοποιημένος, κοινόχρηστος από πολλούς μηχανικούς του προμηθευτή και προστατεύεται μόνο με κωδικό πρόσβασης. Ο σταθμός εργασίας εκτελεί λογισμικό που δεν μπορεί να αναβαθμιστεί έως την επόμενη διακοπή συντήρησης.

Καταγράψτε το σενάριο κινδύνου στο μητρώο κινδύνων:

«Μη εξουσιοδοτημένη ή παραβιασμένη απομακρυσμένη πρόσβαση προμηθευτή σε σταθμό εργασίας μηχανικών OT θα μπορούσε να οδηγήσει σε μη εξουσιοδοτημένες αλλαγές λογικής PLC, διακοπή παραγωγής, αντίκτυπο στην ασφάλεια και διακοπή υπηρεσίας κοινοποιητέα κατά NIS2.»

Στη συνέχεια χαρτογραφήστε τους ελέγχους και τις υποχρεώσεις.

Το σχέδιο αντιμετώπισης πρέπει να απενεργοποιεί τη μόνιμη πρόσβαση προμηθευτών, να απαιτεί ονομαστικές ταυτότητες προμηθευτών, να επιβάλλει MFA, να δρομολογεί την πρόσβαση μέσω ελεγχόμενου jump server, να περιορίζει την πρόσβαση στον σταθμό εργασίας μηχανικών, να απαιτεί έγκριση αιτήματος συντήρησης, να καταγράφει προνομιούχες συνεδρίες, να παρακολουθεί εντολές και ανώμαλη κίνηση, να τεκμηριώνει τον μη επιδιορθωμένο σταθμό εργασίας ως εξαίρεση ευπάθειας και να δοκιμάζει την απόκριση σε περιστατικά για ύποπτη δραστηριότητα προμηθευτή.

Το Zenith Blueprint, στη φάση Risk Management, Step 13, παρέχει τη λογική ιχνηλασιμότητας της SoA:

Διασταυρώστε τις ρυθμίσεις: Αν συγκεκριμένοι έλεγχοι υλοποιούνται ειδικά για συμμόρφωση με GDPR, NIS2 ή DORA, μπορείτε να το σημειώσετε είτε στο μητρώο κινδύνων (ως μέρος της αιτιολόγησης αντικτύπου κινδύνου) είτε στις σημειώσεις της SoA.

Το πρακτικό δίδαγμα είναι απλό. Μη διατηρείτε τα τεκμήρια NIS2, ISO και μηχανικής OT σε ξεχωριστά σιλό. Προσθέστε στήλες στο μητρώο κινδύνων και στη SoA για θέμα NIS2 Article 21, έλεγχο ISO/IEC 27002:2022, οικογένεια απαιτήσεων IEC 62443, ιδιοκτήτη τεκμηρίων και κατάσταση ελέγχου.

Πού εντάσσονται το GDPR και το DORA στην ασφάλεια OT

Η ασφάλεια OT δεν αφορά πάντα μόνο μηχανές. Τα περιβάλλοντα κρίσιμων υποδομών συχνά επεξεργάζονται δεδομένα προσωπικού χαρακτήρα μέσω CCTV, συστημάτων ελέγχου πρόσβασης, αρχείων πρόσβασης με κάρτες, συστημάτων ασφάλειας προσωπικού, αιτημάτων συντήρησης, παρακολούθησης οχημάτων, συστημάτων επισκεπτών και πλατφορμών εξυπηρέτησης πελατών.

Το GDPR απαιτεί τα δεδομένα προσωπικού χαρακτήρα να υποβάλλονται σε επεξεργασία νόμιμα, δίκαια και με διαφάνεια, να συλλέγονται για συγκεκριμένους σκοπούς, να περιορίζονται σε ό,τι είναι απαραίτητο, να διατηρούνται ακριβή, να τηρούνται μόνο όσο χρειάζεται και να προστατεύονται με κατάλληλα τεχνικά και οργανωτικά μέτρα. Απαιτεί επίσης λογοδοσία, δηλαδή ο υπεύθυνος επεξεργασίας πρέπει να μπορεί να αποδείξει τη συμμόρφωση.

Για το OT, αυτό σημαίνει ότι τα αρχεία καταγραφής πρόσβασης και τα αρχεία παρακολούθησης δεν πρέπει να μετατρέπονται σε ανεξέλεγκτες αποθήκες δεδομένων επιτήρησης. Η διατήρηση, τα δικαιώματα πρόσβασης, ο περιορισμός σκοπού και η αξιολόγηση παραβίασης πρέπει να ενσωματώνονται στην καταγραφή και την παρακολούθηση.

Το DORA μπορεί να εφαρμόζεται όταν εμπλέκονται χρηματοπιστωτικές οντότητες ή όταν πάροχος υπηρεσιών τρίτου μέρους ΤΠΕ υποστηρίζει λειτουργική ανθεκτικότητα του χρηματοπιστωτικού τομέα. Το DORA καλύπτει διαχείριση κινδύνων ΤΠΕ, αναφορά περιστατικών, δοκιμές ανθεκτικότητας και κίνδυνο τρίτων μερών ΤΠΕ. Για χρηματοπιστωτικές οντότητες που είναι επίσης ουσιώδεις ή σημαντικές οντότητες βάσει κανόνων μεταφοράς της NIS2, το DORA μπορεί να λειτουργεί ως τομεακό καθεστώς για επικαλυπτόμενες υποχρεώσεις, ενώ ο συντονισμός με τις αρχές NIS2 μπορεί να παραμένει συναφής.

Οι ίδιες πειθαρχίες τεκμηρίωσης εφαρμόζονται: αναγνώριση περιουσιακών στοιχείων, προστασία, ανίχνευση, συνέχεια, αντίγραφα ασφαλείας, κίνδυνος τρίτων μερών, δοκιμές, εκπαίδευση και εποπτεία από τη διοίκηση.

Η ελεγκτική οπτική: ένας έλεγχος, πολλαπλές προοπτικές διασφάλισης

Μια ισχυρή υλοποίηση ασφάλειας OT κατά NIS2 πρέπει να αντέχει σε πολλαπλές ελεγκτικές προοπτικές.

Γι’ αυτό η Clarysec αντιμετωπίζει το Zenith Controls ως πυξίδα διασταυρούμενης συμμόρφωσης. Τα χαρακτηριστικά ελέγχων του βοηθούν να εξηγηθεί ο σκοπός των επίσημων ελέγχων ISO/IEC 27002:2022, ενώ η προσέγγιση χαρτογράφησης συνδέει τους ελέγχους αυτούς με NIS2, NIST CSF, διακυβέρνηση προμηθευτών, συνέχεια και ελεγκτικά τεκμήρια.

Συνηθισμένες παγίδες υλοποίησης OT κατά NIS2

Οι συχνότερες αστοχίες ασφάλειας OT σπάνια προκαλούνται από έλλειψη εγγράφων. Προκαλούνται από έγγραφα που δεν αντιστοιχούν στην εγκατάσταση.

Παγίδα 1: Η πληροφορική κατέχει το πρόγραμμα NIS2, αλλά το OT κατέχει τον κίνδυνο. Οι λειτουργίες, η μηχανική, η ασφάλεια και η συντήρηση πρέπει να συμμετέχουν.

Παγίδα 2: Το μητρώο περιουσιακών στοιχείων σταματά στους διακομιστές. Ένα μητρώο OT πρέπει να περιλαμβάνει PLCs, RTUs, HMIs, historians, σταθμούς εργασίας μηχανικών, βιομηχανικούς μεταγωγείς, αισθητήρες, πύλες, συσκευές απομακρυσμένης πρόσβασης και στοιχεία που διαχειρίζονται προμηθευτές.

Παγίδα 3: Η τμηματοποίηση υπάρχει σε διάγραμμα αλλά όχι στους κανόνες τείχους προστασίας. Οι ελεγκτές θα ζητήσουν τεκμήρια εφαρμογής, ελέγχου αλλαγών και παρακολούθησης.

Παγίδα 4: Οι εξαιρέσεις ευπαθειών είναι ανεπίσημες. Οι περιορισμοί παλαιού τύπου είναι αποδεκτοί μόνο όταν τεκμηριώνονται, εγκρίνονται, παρακολουθούνται και επανεξετάζονται.

Παγίδα 5: Η πρόσβαση προμηθευτών αντιμετωπίζεται μόνο ως ζήτημα προμηθευτών. Είναι επίσης ζήτημα ελέγχου πρόσβασης, καταγραφής, παρακολούθησης, ασφάλειας δικτύου, απόκρισης σε περιστατικά και συνέχειας.

Παγίδα 6: Η απόκριση σε περιστατικά αγνοεί την ασφάλεια διεργασιών. Τα εγχειρίδια απόκρισης OT πρέπει να ορίζουν ποιος μπορεί να απομονώνει συσκευές, να σταματά διεργασίες, να αλλάζει λειτουργίες ή να επικοινωνεί με ρυθμιστικές αρχές.

Παγίδα 7: Η αναφορά NIS2 δεν έχει δοκιμαστεί. Η διαδικασία λήψης απόφασης για τις 24 και 72 ώρες πρέπει να δοκιμάζεται πριν από πραγματικό συμβάν.

Η διαδρομή υλοποίησης της Clarysec από τη λογοδοσία του Διοικητικού Συμβουλίου στα τεκμήρια OT

Μια πρακτική υλοποίηση ασφάλειας OT κατά NIS2 μπορεί να ακολουθήσει την εξής ακολουθία:

1. Επιβεβαιώστε το πεδίο εφαρμογής NIS2, την ταξινόμηση της οντότητας και την κρισιμότητα υπηρεσιών.
2. Ορίστε το πεδίο εφαρμογής OT εντός του ISMS, συμπεριλαμβανομένων διεπαφών και εξαρτήσεων.
3. Δημιουργήστε μητρώο περιουσιακών στοιχείων OT και ροών δεδομένων.
4. Αναγνωρίστε νομικές, συμβατικές, σχετικές με την ασφάλεια, την ιδιωτικότητα και τον τομέα υποχρεώσεις.
5. Διεξαγάγετε εργαστήρια αξιολόγησης κινδύνων ειδικά για OT με μηχανική, λειτουργίες, IT, SOC, προμήθειες και διοίκηση.
6. Χαρτογραφήστε την αντιμετώπιση κινδύνων σε ελέγχους ISO/IEC 27002:2022, θέματα NIS2 και πρότυπα υλοποίησης IEC 62443.
7. Επικαιροποιήστε τη Δήλωση Εφαρμοσιμότητας με αιτιολόγηση OT και ιδιοκτήτες τεκμηρίων.
8. Υλοποιήστε ελέγχους προτεραιότητας: τμηματοποίηση, πρόσβαση προμηθευτών, χειρισμό ευπαθειών, παρακολούθηση, αντίγραφα ασφαλείας και απόκριση σε περιστατικά.
9. Επικαιροποιήστε πολιτικές και διαδικασίες, συμπεριλαμβανομένων ασφάλειας OT, ασφάλειας προμηθευτών, απομακρυσμένης πρόσβασης, απόκρισης σε περιστατικά και επιχειρησιακής συνέχειας.
10. Διεξαγάγετε ασκήσεις επιτραπέζιων σεναρίων και τεχνικής επαλήθευσης.
11. Προετοιμάστε φακέλους ελέγχου για NIS2, ISO/IEC 27001:2022, διασφάλιση πελατών και εσωτερική διακυβέρνηση.
12. Τροφοδοτήστε τα ευρήματα στην ανασκόπηση από τη διοίκηση και στη συνεχή βελτίωση.

Αυτό αντικατοπτρίζει το λειτουργικό μοντέλο του Zenith Blueprint, ιδίως το Step 13 για αντιμετώπιση κινδύνου και ιχνηλασιμότητα SoA, το Step 14 για ανάπτυξη πολιτικών και διασταυρούμενες αναφορές σε ρυθμιστικές απαιτήσεις, το Step 19 για διαχείριση ευπαθειών και το Step 20 για ασφάλεια δικτύου.

Η ίδια προσέγγιση χρησιμοποιεί τις πολιτικές της Clarysec για τη μετατροπή της γλώσσας των frameworks σε επιχειρησιακούς κανόνες. Η εταιρική Πολιτική Ασφάλειας IoT / OT απαιτεί ανασκόπηση αρχιτεκτονικής ασφάλειας πριν από την ανάπτυξη:

Όλες οι νέες συσκευές IoT/OT πρέπει να υποβάλλονται σε ανασκόπηση αρχιτεκτονικής ασφάλειας πριν από την ανάπτυξη. Η ανασκόπηση αυτή πρέπει να επικυρώνει:

Αναφέρει επίσης:

Όλη η κίνηση εντός και μεταξύ δικτύων IoT/OT πρέπει να παρακολουθείται συνεχώς με χρήση:

Οι ρήτρες αυτές δημιουργούν άγκυρες διακυβέρνησης. Τα τεκμήρια υλοποίησης μπορεί να περιλαμβάνουν ειδοποιήσεις OT IDS, αρχεία καταγραφής τείχους προστασίας, συσχέτιση SIEM, προφίλ βασικής γραμμής κίνησης, αιτήματα ανωμαλιών και αρχεία απόκρισης.

Πώς μοιάζουν τα καλά τεκμήρια OT κατά NIS2

Ένας φάκελος τεκμηρίων OT κατά NIS2 πρέπει να είναι αρκετά πρακτικός για τους μηχανικούς και αρκετά δομημένος για τους ελεγκτές.

Για την τμηματοποίηση, περιλάβετε εγκεκριμένη αρχιτεκτονική, διαγράμματα ζωνών και διαύλων επικοινωνίας, εξαγωγές κανόνων τείχους προστασίας, αρχεία αλλαγών, περιοδικές ανασκοπήσεις κανόνων, αρχεία εξαιρέσεων και ειδοποιήσεις παρακολούθησης.

Για την πρόσβαση προμηθευτών, περιλάβετε αξιολόγηση κρισιμότητας προμηθευτή, συμβατικές ρήτρες, εγκεκριμένη διαδικασία πρόσβασης, ονομαστικούς λογαριασμούς, τεκμήρια MFA, αρχεία καταγραφής πρόσβασης, καταγραφές συνεδριών, περιοδική αναθεώρηση δικαιωμάτων πρόσβασης και αρχεία διαδικασίας αποχώρησης.

Για τη διαχείριση ευπαθειών, περιλάβετε μητρώο, πηγές ενημερώσεων, εξόδους παθητικού εντοπισμού, αιτήματα ευπαθειών, σχέδια διορθώσεων, αντισταθμιστικούς ελέγχους, αποδοχή κινδύνου και τεκμήρια κλεισίματος.

Για την απόκριση σε περιστατικά, περιλάβετε playbooks, επαφές κλιμάκωσης, δέντρο αποφάσεων αναφοράς NIS2, αποτελέσματα ασκήσεων επιτραπέζιων σεναρίων, αιτήματα περιστατικών, προσχέδια κοινοποίησης προς αρχές, κανόνες χειρισμού τεκμηρίων και διδάγματα που αντλήθηκαν.

Για τη συνέχεια, περιλάβετε στρατηγική αντιγράφων ασφαλείας OT, αντίγραφα ασφαλείας εκτός σύνδεσης ή προστατευμένα, αποτελέσματα δοκιμών επαναφοράς, κατάλογο κρίσιμων ανταλλακτικών, χειροκίνητες επιχειρησιακές διαδικασίες, προτεραιότητες ανάκαμψης και σχέδια επικοινωνίας σε κατάσταση κρίσης.

Για τη διακυβέρνηση, περιλάβετε έγκριση Διοικητικού Συμβουλίου ή διοίκησης, αναθέσεις ρόλων, αρχεία εκπαίδευσης, αποτελέσματα εσωτερικού ελέγχου, KPIs, πρακτικά ανασκόπησης κινδύνων και αποφάσεις ανασκόπησης από τη διοίκηση.

Το μοντέλο τεκμηρίων αυτό ευθυγραμμίζεται με το ISO/IEC 27001:2022 επειδή υποστηρίζει την αντιμετώπιση κινδύνων, τις τεκμηριωμένες πληροφορίες, την αξιολόγηση απόδοσης και τη συνεχή βελτίωση. Ευθυγραμμίζεται με τη NIS2 επειδή αποδεικνύει κατάλληλα και αναλογικά μέτρα. Ευθυγραμμίζεται με το IEC 62443 επειδή μπορεί να ιχνηλατηθεί προς την αρχιτεκτονική OT και τους ελέγχους μηχανικής.

Μετατρέψτε το πρόγραμμα ασφάλειας OT σε ελέγξιμη ετοιμότητα για NIS2

Αν το περιβάλλον OT σας υποστηρίζει κρίσιμη ή ρυθμιζόμενη υπηρεσία, η αναμονή μέχρι μια ρυθμιστική αρχή, ένας πελάτης ή ένα περιστατικό να αποκαλύψει τα κενά είναι λανθασμένη στρατηγική.

Ξεκινήστε με μία περίπτωση χρήσης υψηλού αντικτύπου: απομακρυσμένη πρόσβαση προμηθευτή σε κρίσιμη ζώνη OT, χειρισμό ευπαθειών για μη υποστηριζόμενα βιομηχανικά περιουσιακά στοιχεία ή τμηματοποίηση μεταξύ εταιρικής πληροφορικής και OT. Δημιουργήστε το σενάριο κινδύνου, χαρτογραφήστε το στο NIS2 Article 21, επιλέξτε ελέγχους ISO/IEC 27002:2022, μεταφράστε τους σε πρότυπα υλοποίησης IEC 62443 και συλλέξτε τα τεκμήρια.

Η Clarysec μπορεί να σας βοηθήσει να επιταχύνετε αυτή την εργασία με το Zenith Blueprint, το Zenith Controls, την Πολιτική Ασφάλειας IoT / OT, την Πολιτική Ασφάλειας Internet of Things (IoT) / Operational Technology (OT) - SME και την Πολιτική Ασφάλειας Τρίτων Μερών και Προμηθευτών - SME.

Η επόμενη ενέργειά σας: επιλέξτε μία υπηρεσία OT, χαρτογραφήστε τα περιουσιακά στοιχεία και τις εξαρτήσεις της, και δημιουργήστε αυτή την εβδομάδα μία γραμμή τεκμηρίωσης από τον κίνδυνο έως τον έλεγχο. Αν θέλετε δομημένη διαδρομή υλοποίησης, ο οδικός χάρτης 30 βημάτων και το εργαλείο διασταυρούμενης συμμόρφωσης της Clarysec μπορούν να μετατρέψουν αυτή την πρώτη γραμμή σε πλήρες πρόγραμμα ασφάλειας OT κατά NIS2.