NIS2 OT-turve: vastendus ISO 27001 ja IEC 62443-ga

Esmaspäeval kell 02.17 saab veepuhastusjaama operaator doseerimissüsteemilt häire. Kemikaali etteanne püsib ohutuspiirides, kuid üks PLC edastab ebakorrapäraseid käske, inseneritööjaam näitab tarnija VPN-konto ebaõnnestunud sisselogimisi ning valves olev SOC-i analüütik küsib küsimuse, millele keegi ei taha surve all vastata.

Kas see on IT-intsident, OT-intsident, ohutussündmus või NIS2 alusel teatamiskohustusega oluline intsident?

Tehasel on tulemüürid. Tal on ISO dokumentatsioon. Tal on tarnijate register. Tal on isegi intsidentidele reageerimise plaan. Kuid see plaan koostati e-posti kompromiteerumise ja pilveteenuste katkestuste jaoks, mitte pärandkontrolleri jaoks, mida ei saa tootmise ajal paigata, tarnija jaoks, kes vajab teenuse taastamiseks kaugjuurdepääsu, ega järelevalveasutuse jaoks, kes ootab NIS2 teavitamistähtaegade jooksul tõendusmaterjali.

Sama probleem ilmneb ka juhatuse tasandil. Piirkondliku energiateenuse osutaja infoturbejuhil võib ettevõtte IT jaoks olla ISO/IEC 27001:2022 alusel sertifitseeritud infoturbe juhtimissüsteem (ISMS), samal ajal kui operatiivtehnoloogia keskkond on jätkuvalt PLC-de, RTU-de, HMI-de, historian-süsteemide, inseneritööjaamade, tööstuskommutaatorite ja tarnijate juurdepääsukanalite keerukas põiming. Tegevjuhi küsimus on lihtne: „Kas oleme kaetud? Kas saad seda tõendada?”

Paljude oluliste ja tähtsate üksuste jaoks on aus vastus ebamugav. Nad on osaliselt kaetud. Nad suudavad seda osaliselt tõendada. Kuid NIS2 OT-turve nõuab enamat kui üldist IT vastavust.

See nõuab ühtset tegevusmudelit, mis ühendab ISO/IEC 27001:2022 juhtimise, ISO/IEC 27002:2022 kontrollimeetmete keele, IEC 62443 tööstusinseneeria praktikad, NIS2 Article 21 küberturbe riskijuhtimise meetmed ja NIS2 Article 23 intsidentidest teavitamise tõendusmaterjali.

Selle silla see juhend loobki.

Miks NIS2 OT-turve erineb tavapärasest IT vastavusest

NIS2 kohaldub paljudele avaliku ja erasektori üksustele, kes osutavad EL-is kohaldamisalasse kuuluvaid teenuseid, sealhulgas olulistele ja tähtsatele üksustele sellistes sektorites nagu energeetika, transport, pangandus, finantsturu taristu, tervishoid, joogivesi, reovesi, digitaristu, IKT-teenuste haldus, avalik haldus, kosmos, postiteenused, jäätmekäitlus, tootmine, kemikaalid, toit, digiteenuste osutajad ja teadustegevus.

Direktiiv nõuab asjakohaseid ja proportsionaalseid tehnilisi, operatiivseid ja korralduslikke meetmeid küberriskide juhtimiseks, intsidendi mõju ennetamiseks või minimeerimiseks ning teenuste järjepidevuse kaitsmiseks. Article 21 hõlmab kõiki ohte arvestavat lähenemist, mis katab riskianalüüsi, turbepoliitikad, intsidentide käsitlemise, talitluspidevuse, kriisijuhtimise, tarneahela turbe, turvalise hankimise ja hoolduse, haavatavuste käsitlemise ja avalikustamise, tõhususe hindamise, küberhügieeni, koolituse, krüptograafia, personaliturbe, juurdepääsukontrolli, varahalduse, MFA või pideva autentimise, turvalise side ning vajaduse korral hädaolukorra side.

Need nõuded kõlavad ISO/IEC 27001:2022 meeskonnale tuttavalt. OT-s käitub igaüks neist teisiti.

Veebiserveri haavatavuse saab sageli paigata päevade jooksul. Turbiinikontrolleri haavatavus võib nõuda tarnija valideerimist, hooldusakent, ohutusülevaatust ja varuprotseduure. Sülearvuti saab uuesti üles ehitada. Tootmiskeskkonna HMI võib sõltuda pärandoperatsioonisüsteemist, sest tööstusrakendus ei ole uuema platvormi jaoks sertifitseeritud. SOC-i tööjuhis võib öelda „isoleeri host”, samal ajal kui OT-insener vastab: „mitte enne, kui teame, kas isoleerimine mõjutab rõhu juhtimist.”

Erinevus ei ole ainult tehniline. IT seab tavaliselt esikohale konfidentsiaalsuse, tervikluse ja käideldavuse. OT seab esikohale käideldavuse, protsessi tervikluse ja ohutuse. Turbekontroll, mis lisab latentsust, nõuab taaskäivitust või katkestab füüsilise protsessi, võib ilma insenertehnilise heakskiiduta olla vastuvõetamatu.

NIS2 ei vabasta OT-d küberturbe riskijuhtimisest. Organisatsioonilt eeldatakse tõendamist, et kontrollimeetmed on riski suhtes asjakohased ja operatiivse tegelikkusega proportsionaalsed.

Kontrollimeetmete kihtmudel: NIS2, ISO/IEC 27001:2022, ISO/IEC 27002:2022 ja IEC 62443

Kaitstav NIS2 OT-turbe programm algab kihilisest kontrollimeetmete mudelist.

ISO/IEC 27001:2022 annab juhtimissüsteemi. See nõuab, et organisatsioon määratleks konteksti, huvitatud osapooled, regulatiivsed kohustused, ISMS-i kohaldamisala, liidesed ja sõltuvused. Samuti nõuab see juhtkonna vastutust, infoturbepoliitikat, riskihindamist, riskikäsitlust, kohaldatavusdeklaratsiooni, dokumenteeritud teavet, siseauditit, juhtkonna läbivaatamist ja pidevat täiustamist.

ISO/IEC 27002:2022 annab kontrollimeetmete sõnavara. OT jaoks on sageli kõige olulisemad kontrollimeetmed tarnijate turve, IKT tarneahela riskijuhtimine, intsidentide planeerimine, talitluspidevuse valmisolek, õiguslikud ja lepingulised nõuded, varahaldus, juurdepääsukontroll, haavatavuste haldus, varukoopiad, logimine, seire, võrguturve ja võrkude eraldamine.

IEC 62443 annab tööstusliku turbeinseneeria mudeli. See aitab teisendada juhtimissüsteemi nõuded OT praktikateks, nagu tsoonid, kanalid, turbetasemed, varaomaniku vastutused, süsteemiintegraatori vastutused, toote tarnija ootused, kaugjuurdepääsu piirangud, minimaalne funktsionaalsus, kontode elutsükli haldus, kõvendamine ja elutsükli kontrollimeetmed.

Clarysec kasutab seda kihtmudelit, sest see väldib kahte levinud ebaõnnestumist. Esiteks takistab see ISO rakendusel muutumast OT jaoks liiga üldiseks. Teiseks takistab see IEC 62443 insenertehnilisel tööl irdumast juhatuse aruandekohustusest, NIS2 teavitamiskohustustest ja audititõendusest.

Clarysec’i IoT / OT Security Policy sõnastab selle silla otse:

Tagada, et kõik juurutused oleksid kooskõlas ISO/IEC 27001 kontrollimeetmete ja kohaldatavate sektoripõhiste suunistega (nt IEC 62443, ISO 27019, NIST SP 800-82).

See lause on oluline. Poliitika ei ole üksnes seadmete kõvendamise kontrollnimekiri. See ühendab ISO juhtimise, OT sektorijuhised ja operatiivse turbe.

Alusta kohaldamisalast: millist OT-teenust tuleb kaitsta?

Enne kontrollimeetmete vastendamist tuleb OT-teenus määratleda ärilises ja regulatiivses keeles.

Tehasejuht võib öelda: „Me käitame pakendamisliini.” NIS2 hindamine peaks ütlema: „See tootmisprotsess toetab olulist või tähtsat teenust ning sõltub PLC-dest, HMI-dest, inseneritööjaamadest, historian-süsteemidest, tööstuskommutaatoritest, tarnija kaugjuurdepääsust, hooldustöövõtjast, pilveanalüütika voost ja ettevõtte identiteediteenusest.”

ISO/IEC 27001:2022 punktid 4.1 kuni 4.4 on kasulikud, sest need sunnivad organisatsiooni tuvastama sisemised ja välised asjaolud, huvitatud osapooled, õiguslikud ja lepingulised nõuded, ISMS-i piirid, liidesed ja sõltuvused. NIS2 OT-turbe puhul tähendab see mitte ainult peakontori võrgu, vaid ka nende tööstussüsteemide ja teenusesõltuvuste kaardistamist, mis mõjutavad järjepidevust, ohutust ja reguleeritud teenuse osutamist.

NIST CSF 2.0 tugevdab sama loogikat. Selle GOVERN-funktsioon nõuab missiooni, sidusrühmade, sõltuvuste, õiguslike ja regulatiivsete kohustuste, kriitiliste teenuste ning organisatsiooni sõltuvuses olevate teenuste mõistmist. Organisatsiooniprofiilid annavad praktilise meetodi hetkeseisu piiritlemiseks, sihtseisundi määratlemiseks, lünkade analüüsimiseks ja prioriseeritud tegevuskava koostamiseks.

OT-keskkonna puhul alustab Clarysec tavaliselt viie küsimusega:

1. Millist reguleeritud või kriitilist teenust see OT-keskkond toetab?
2. Millised OT-varad, võrgud, andmevood ja kolmandad osapooled on selle teenuse jaoks vajalikud?
3. Millised ohutuse, käideldavuse ja operatiivsed piirangud mõjutavad turbekontrolle?
4. Millised õiguslikud, lepingulised ja sektoripõhised kohustused kohalduvad, sealhulgas NIS2, GDPR, DORA asjakohastel juhtudel, kliendilepingud ja riiklikud nõuded?
5. Millised keskkonna osad kuuluvad ISMS-i sisse ning millised on välised sõltuvused, mis nõuavad tarnijate kontrollimeetmeid?

Paljud NIS2 programmid ebaõnnestuvad siin. Nad piiritlevad kohaldamisala ettevõtte IT ümber, sest seda on lihtsam inventeerida. Audiitoreid ja järelevalveasutusi ei veena see, kui kõige kriitilisem teenusesõltuvus esineb üksnes ebamäärase reana „tehasevõrk”.

Praktiline NIS2 OT kontrollimeetmete kaart

Allolev tabel näitab, kuidas teisendada NIS2 Article 21 teemad ISO/IEC 27001:2022, ISO/IEC 27002:2022 ja IEC 62443 tõendusmaterjaliks. See ei asenda ametlikku riskihindamist, kuid annab infoturbejuhtidele, OT-juhtidele ja vastavusmeeskondadele praktilise lähtepunkti.

See kaart on teadlikult tõendusmaterjalile keskendunud. NIS2 alusel ei piisa väitest „meil on segmentimine”. Tuleb näidata, miks segmentimine on asjakohane, kuidas see on rakendatud, kuidas erandid heaks kiidetakse ja kuidas lahendus vähendab mõju reguleeritud teenusele.

Segmentimine: esimene OT kontrollimeede, mida audiitorid testivad

Kui 02.17 intsident hõlmas ründaja liikumist kontorisülearvutist inseneritööjaama, oleks esimene auditiküsimus ilmne: miks selline tee üldse võimalik oli?

IoT / OT Security Policy on selgesõnaline:

OT süsteemid peavad töötama eraldatud võrkudes, mis on isoleeritud ettevõtte IT-st ja internetile avatud süsteemidest.

Väiksemate keskkondade jaoks annab Internet of Things (IoT) / Operational Technology (OT) Security Policy - SME praktilise baastaseme:

Kõik Internet of Things (IoT) ja Operational Technology (OT) seadmed tuleb paigutada eraldi Wi-Fi või VLAN-võrku

Küpsel kriitilise taristu käitajal peaks segmentimine põhinema OT tsoonidel ja kanalitel. Ettevõtte kasutajatel ei tohiks olla otsest juurdepääsu PLC-võrkudele. Tarnijaühendused peaksid lõppema kontrollitud juurdepääsutsoonides. Historian-süsteemi replikatsioon peaks kasutama heakskiidetud teid. Ohutussüsteemid tuleb isoleerida vastavalt riskile ja insenertehnilistele nõuetele. Traadita OT-võrgud peavad olema põhjendatud, kõvendatud ja seiratud.

Zenith Blueprint: An Auditor’s 30-Step Roadmap selgitab jaotise „Kontrollimeetmed praktikas“ 20. sammus ISO/IEC 27002:2022 võrguturbe põhimõtet:

Tööstuslikud juhtimissüsteemid tuleks isoleerida kontoriliiklusest.

Samuti hoiatab see, et võrguturve nõuab turvalist arhitektuuri, segmentimist, juurdepääsukontrolli, edastatavate andmete krüptimist, seiret ja mitmekihilist kaitset.

Zenith Controls: The Cross-Compliance Guide käsitleb ISO/IEC 27002:2022 kontrollimeedet 8.22, võrkude eraldamine, ennetava kontrollimeetmena, mis toetab konfidentsiaalsust, terviklust ja käideldavust, on joondatud Protect küberturbe kontseptsiooniga, mille operatiivne võimekus on süsteemi- ja võrguturve ning turbevaldkond Protection.

See klassifikatsioon on NIS2 tõendusmaterjali jaoks kasulik, sest segmentimine ei ole dekoratiivne skeem. See on ennetav kontrollimeede, mille eesmärk on vähendada mõju ulatust ja säilitada olulise teenuse järjepidevus.

Haavatavuste haldus, kui OT süsteeme ei saa lihtsalt paigata

NIS2 nõuab võrgu- ja infosüsteemide turvalist hankimist, arendamist ja hooldust, sealhulgas haavatavuste käsitlemist ja avalikustamist. IT-s tähendab haavatavuste haldus sageli skannimist, prioriseerimist, paikamist ja kontrollimist. OT lisab piirangud.

Kriitilist HMI-d võib olla võimalik paigata ainult kavandatud seisaku ajal. PLC püsivara uuendus võib nõuda tarnija osalemist. Ohutussertifitseeritud süsteem võib vale muudatuse korral sertifikaadi kaotada. Mõnel pärandseadmel ei pruugi enam üldse tarnijatuge olla.

Zenith Blueprint annab jaotise „Kontrollimeetmed praktikas“ 19. sammus tehniliste haavatavuste jaoks õige auditi loogika:

Süsteemide puhul, mida ei saa kohe paigata, näiteks pärandtarkvara või seisaku piirangute tõttu, rakendage kompenseerivad kontrollimeetmed. See võib hõlmata süsteemi isoleerimist tulemüüri taha, juurdepääsu piiramist või seire suurendamist. Igal juhul registreerige ja ametlikult aktsepteerige jääkrisk, näidates, et probleemi ei ole unustatud.

SME poliitika baastase on sama praktiline:

Registrit tuleb kord kvartalis läbi vaadata, et tuvastada aegunud, toetuseta või paikamata seadmed

Zenith Controls vastendab ISO/IEC 27002:2022 kontrollimeetme 8.8, tehniliste haavatavuste haldus, ennetava kontrollimeetmena, mis toetab konfidentsiaalsust, terviklust ja käideldavust, on joondatud Identify ja Protect kontseptsioonidega ning mille operatiivne võimekus on ohtude ja haavatavuste haldus Governance, Ecosystem, Protection ja Defense domeenides.

Tugev OT haavatavuste toimik peaks sisaldama järgmist:

• Vara identifikaator, omanik, tsoon ja kriitilisus
• Haavatavuse allikas, näiteks tarnija turvateade, skanner, integraatori teade või ohuteave
• Ohutuse ja käideldavuse piirangud
• Paikamise teostatavus ja kavandatud hooldusaken
• Kompenseerivad kontrollimeetmed, nagu isoleerimine, juurdepääsukontrolli loendid, keelatud teenused või suurendatud seire
• Riskiomaniku heakskiit ja jääkriski aktsepteerimine
• Kontrolltõendid pärast puuduse kõrvaldamist või kompenseeriva kontrollimeetme rakendamist

See muudab väite „me ei saa paigata” vabandusest auditikõlblikuks riskikäsitluseks.

Tarnija kaugjuurdepääs: NIS2 ja IEC 62443 kriitiline kokkupuutepunkt

Enamikul OT intsidentidel on kusagil kolmanda osapoole mõõde. Tarnijakonto. Integraatori sülearvuti. Kaughoolduse tööriist. Jagatud autentimisandmed. Tulemüürireegel, mis oli ajutine kolm aastat tagasi.

NIS2 Article 21 hõlmab selgesõnaliselt tarneahela turvet, tarnijaspetsiifilisi haavatavusi, tarnijate küberturbepraktikaid ja turvalise arenduse protseduure. NIST CSF 2.0 käsitleb seda teemat samuti detailselt tarnija kriitilisuse, lepinguliste nõuete, hoolsuskontrolli, pideva seire, intsidendikoordineerimise ja väljumissätete kaudu.

Clarysec’i Third-Party and Supplier Security Policy - SME sõnastab põhimõtte lihtsas keeles:

Tarnijatele tuleb anda juurdepääs ainult minimaalsetele süsteemidele ja andmetele, mida on vaja nende ülesande täitmiseks.

OT puhul tähendab minimaalne juurdepääs enamat kui rakenduses rollipõhist juurdepääsu. Tarnija juurdepääs peab olema:

• eelnevalt heaks kiidetud määratletud hoolduseesmärgiks;
• ajaliselt piiratud ja vaikimisi keelatud;
• kaitstud MFA või vajaduse korral pideva autentimisega;
• suunatud turvalise vaheserveri või kontrollitud kaugjuurdepääsu platvormi kaudu;
• piiratud asjakohase OT tsooni või varaga;
• logitud, seiratud ja kõrge riskiga juurdepääsu korral seansina salvestatud;
• pärast lõpetamist läbi vaadatud;
• kaetud lepinguliste turbe- ja intsidendist teavitamise kohustustega.

Ettevõtte IoT / OT Security Policy sisaldab eraldi kaugjuurdepääsu nõuet:

Kaugjuurdepääs (halduseks või tarnija hoolduseks) peab:

See klausel ankurdab juhtimispunkti, samal ajal kui üksikasjalikud nõuded tuleb rakendada juurdepääsuprotseduurides, tarnijalepingutes, tehnilises konfiguratsioonis ja seire töövoogudes.

Zenith Controls klassifitseerib ISO/IEC 27002:2022 kontrollimeetme 5.21, infoturbe haldamine IKT tarneahelas, ennetava kontrollimeetmena, mis toetab konfidentsiaalsust, terviklust ja käideldavust, on joondatud Identify kontseptsiooniga ning mille operatiivne võimekus on tarnijasuhete turve ja domeenid Governance, Ecosystem ja Protection.

OT puhul aitab see vastendus selgitada, miks kaugjuurdepääsu tõendusmaterjal kuulub üheaegselt tarnijariskide, identiteedihalduse, võrguturbe, intsidentidele reageerimise ja talitluspidevuse toimikutesse.

Intsidentidele reageerimine: NIS2 kell kohtub juhtimisruumiga

Naaseme 02.17 häire juurde. Organisatsioon peab otsustama, kas sündmus on NIS2 tähenduses oluline. Article 23 nõuab põhjendamatu viivituseta teavitamist olulistest intsidentidest, mis mõjutavad teenuse osutamist. Jada hõlmab varajast hoiatust 24 tunni jooksul teadasaamisest, intsidenditeavitust 72 tunni jooksul, nõudmise korral vaheuuendusi ja lõpparuannet hiljemalt ühe kuu jooksul pärast intsidenditeavitust või vahearuannet, kui intsident on veel kestmas.

OT-s peab intsidentidele reageerimine vastama küsimustele, mida IT tööjuhised sageli eiravad:

• Kas mõjutatud seadet saab isoleerida ilma ohutusriski tekitamata?
• Kellel on volitus tootmine peatada või käsirežiimile lülitada?
• Millised logid on lenduvad ja vajavad viivitamatut säilitamist?
• Millise tarnija või integraatoriga tuleb ühendust võtta?
• Kas sündmus on pahatahtlik, juhuslik, keskkonnast tingitud või väärkonfiguratsiooni põhjustatud?
• Kas võib esineda piiriülene mõju või mõju teenuse saajatele?
• Kas kaasatud on isikuandmed, näiteks läbipääsukaartide logid, CCTV, töötajaandmed või klienditeeninduse kirjed?

SME OT poliitika annab lihtsa anomaaliate eskaleerimise reegli:

Kõigist anomaaliatest tuleb edasiseks tegutsemiseks viivitamata teatada tegevjuhile

See sisaldab ka ohutust arvestavat ohjeldamispõhimõtet:

Seade tuleb võrgust viivitamata lahti ühendada, kui seda on ohutu teha

Need viimased viis sõna on kriitilised. OT reageerimine ei saa pimesi kopeerida IT ohjemeetmeid. „Kui seda on ohutu teha” peab kajastuma tööjuhistes, eskaleerimismaatriksites, koolituses ja lauaõppustes.

NIST CSF 2.0 sobitub siia hästi. Selle Respond ja Recover tulemused katavad triaaži, kategoriseerimise, eskaleerimise, algpõhjuse analüüsi, tõendusmaterjali tervikluse, sidusrühmade teavitamise, ohjeldamise, kõrvaldamise, taastamise, varukoopiate tervikluskontrollid ja taastekommunikatsiooni.

Loo riski-kontrolli-tõendusmaterjali ahel

Praktiline viis killustatud vastavuse vältimiseks on luua üks tõendusahel riskist regulatsiooni ja kontrollimeetme kaudu tõenduseni.

Stsenaarium: kompressori kaugtarnija vajab juurdepääsu OT-võrgus asuvale inseneritööjaamale. Tööjaam saab muuta PLC loogikat. Tarnijakonto on alati lubatud, seda kasutavad mitu tarnija inseneri ning seda kaitseb ainult parool. Tööjaamas töötab tarkvara, mida ei saa uuendada enne järgmist hooldusseisakut.

Kirjuta riskistsenaarium riskiregistrisse:

„Volitamata või kompromiteeritud tarnija kaugjuurdepääs OT inseneritööjaamale võib viia volitamata PLC loogikamuudatusteni, tootmiskatkestuseni, ohutusmõjuni ja NIS2 alusel teatamiskohustusega teenusekatkestuseni.”

Seejärel vastenda kontrollimeetmed ja kohustused.

Käsitlusplaan peab keelama püsiva tarnijajuurdepääsu, nõudma nimelisi tarnijaidentiteete, rakendama MFA-d, suunama juurdepääsu kontrollitud vaheserveri kaudu, piirama juurdepääsu inseneritööjaamale, nõudma hoolduspileti heakskiitu, salvestama privilegeeritud seansid, seirama käske ja ebatavalist liiklust, dokumenteerima paikamata tööjaama haavatavuse erandina ning testima intsidentidele reageerimist kahtlase tarnijategevuse korral.

Zenith Blueprint annab riskijuhtimise etapi 13. sammus SoA jälgitavuse loogika:

Ristviita regulatsioonidele: kui teatud kontrollimeetmed rakendatakse spetsiaalselt GDPR, NIS2 või DORA täitmiseks, võite selle märkida kas Riskiregistris (riskimõju põhjenduse osana) või SoA märkustes.

Praktiline õppetund on lihtne. Ära hoia NIS2, ISO ja OT insenertehnilist tõendusmaterjali eraldi silodes. Lisa riskiregistrisse ja SoA-sse veerud NIS2 Article 21 teema, ISO/IEC 27002:2022 kontrollimeetme, IEC 62443 nõudeperede, tõendusmaterjali omaniku ja auditistaatuse jaoks.

Kuhu sobituvad GDPR ja DORA OT-turbes

OT-turve ei puuduta alati ainult masinaid. Kriitilise taristu keskkonnad töötlevad sageli isikuandmeid CCTV, juurdepääsukontrolli süsteemide, läbipääsukaartide logide, töötajate ohutussüsteemide, hoolduspiletite, sõidukite jälgimise, külastajasüsteemide ja klienditeenindusplatvormide kaudu.

GDPR nõuab, et isikuandmeid töödeldaks seaduslikult, õiglaselt ja läbipaistvalt, kogutaks kindlaksmääratud eesmärkidel, piirataks vajalikuga, hoitaks täpsena, säilitataks ainult nii kaua kui vaja ning kaitstaks asjakohaste tehniliste ja korralduslike meetmetega. See nõuab ka vastutust, mis tähendab, et vastutav töötleja peab suutma vastavust tõendada.

OT puhul tähendab see, et juurdepääsulogid ja seirekirjed ei tohi muutuda kontrollimatuteks jälgimisandmete hoidlateks. Säilitamine, juurdepääsuõigused, eesmärgi piirang ja rikkumise hindamine tuleb kavandada logimise ja seire sisse.

DORA võib kohalduda, kui kaasatud on finantssektori üksused või kui IKT kolmandast osapoolest teenuseosutaja toetab finantssektori operatsioonilist toimepidevust. DORA hõlmab IKT-riski juhtimist, intsidentidest teatamist, toimepidevuse testimist ja IKT kolmanda osapoole riski. Finantsüksuste puhul, kes on NIS2 ülevõtmisreeglite alusel samuti olulised või tähtsad üksused, võib DORA toimida kattuvate kohustuste sektoripõhise režiimina, samas kui koordineerimine NIS2 asutustega võib jääda asjakohaseks.

Kehtivad samad tõendusdistsipliinid: varade tuvastamine, kaitse, tuvastamine, järjepidevus, varundus, kolmanda osapoole risk, testimine, koolitus ja juhtkonnapoolne järelevalve.

Auditi vaade: üks kontrollimeede, mitu kindlusvaadet

Tugev NIS2 OT-turbe rakendus peab vastu pidama mitmele auditivaatele.

Seetõttu käsitleb Clarysec Zenith Controls lahendust kui vastavusvaldkondadeülest kompassi. Selle kontrolliatribuudid aitavad selgitada ametlike ISO/IEC 27002:2022 kontrollimeetmete eesmärki, samal ajal kui vastendusmeetod ühendab need kontrollimeetmed NIS2, NIST CSF, tarnijajuhtimise, talitluspidevuse ja audititõendusega.

Levinud NIS2 OT rakendamise vead

Kõige levinumad OT-turbe ebaõnnestumised ei tulene tavaliselt dokumentide puudumisest. Need tulenevad dokumentidest, mis ei vasta tehase tegelikkusele.

Viga 1: IT omab NIS2 programmi, kuid OT omab riski. Kaasatud peavad olema operatsioonid, inseneeria, ohutus ja hooldus.

Viga 2: varade register lõpeb serveritega. OT register peab hõlmama PLC-sid, RTU-sid, HMI-sid, historian-süsteeme, inseneritööjaamu, tööstuskommutaatorid, andureid, lüüse, kaugjuurdepääsu seadmeid ja tarnija hallatavaid komponente.

Viga 3: segmentimine eksisteerib skeemil, kuid mitte tulemüürireeglites. Audiitorid küsivad rakendamise, muudatuste juhtimise ja seire tõendusmaterjali.

Viga 4: haavatavuste erandid on mitteametlikud. Pärandpiirangud on aktsepteeritavad ainult siis, kui need on dokumenteeritud, heaks kiidetud, seiratud ja uuesti läbi vaadatud.

Viga 5: tarnija juurdepääsu käsitletakse ainult tarnijaprobleemina. See on ühtlasi juurdepääsukontrolli, logimise, seire, võrguturbe, intsidentidele reageerimise ja talitluspidevuse küsimus.

Viga 6: intsidentidele reageerimine eirab ohutust. OT tööjuhised peavad määratlema, kes võib seadmeid isoleerida, protsesse peatada, režiime vahetada või regulaatoritega ühendust võtta.

Viga 7: NIS2 teavitamist ei ole harjutatud. 24 tunni ja 72 tunni otsustusprotsessi tuleb testida enne tegelikku sündmust.

Clarysec’i rakendustee juhatuse vastutusest OT tõendusmaterjalini

Praktiline NIS2 OT-turbe rakendamine võib järgida järgmist jada:

1. Kinnita NIS2 kohaldamisala, üksuse klassifikatsioon ja teenuse kriitilisus.
2. Määratle OT kohaldamisala ISMS-is, sealhulgas liidesed ja sõltuvused.
3. Koosta OT varade ja andmevoogude register.
4. Tuvasta õiguslikud, lepingulised, ohutus-, privaatsus- ja sektoripõhised kohustused.
5. Vii läbi OT-spetsiifilised riskihindamise töötoad koos inseneeria, operatsioonide, IT, SOC-i, hangete ja juhtkonnaga.
6. Vastenda riskikäsitlus ISO/IEC 27002:2022 kontrollimeetmete, NIS2 teemade ja IEC 62443 rakendusmustritega.
7. Ajakohasta kohaldatavusdeklaratsioon OT põhjenduse ja tõendusmaterjali omanikega.
8. Rakenda prioriteetsed kontrollimeetmed: segmentimine, tarnija juurdepääs, haavatavuste käsitlemine, seire, varukoopiad ja intsidentidele reageerimine.
9. Ajakohasta poliitikad ja protseduurid, sealhulgas OT-turve, tarnijate turve, kaugjuurdepääs, intsidentidele reageerimine ja talitluspidevus.
10. Vii läbi lauaõppused ja tehnilise valideerimise harjutused.
11. Valmista ette auditipaketid NIS2, ISO/IEC 27001:2022, klientidele kindluse andmise ja sisemise juhtimise jaoks.
12. Suuna leiud juhtkonna läbivaatamisse ja pidevasse täiustamisse.

See peegeldab Zenith Blueprint tegevusmudelit, eelkõige 13. sammu riskikäsitluse ja SoA jälgitavuse jaoks, 14. sammu poliitikate arendamise ja regulatiivsete ristviidete jaoks, 19. sammu haavatavuste halduse jaoks ning 20. sammu võrguturbe jaoks.

Sama lähenemine kasutab Clarysec’i poliitikaid, et muuta raamistike keel operatiivseteks reegliteks. Ettevõtte IoT / OT Security Policy nõuab enne juurutamist turbearhitektuuri ülevaatust:

Kõik uued IoT/OT seadmed peavad enne juurutamist läbima turbearhitektuuri ülevaatuse. See ülevaatus peab valideerima:

Samuti sätestab see:

Kogu IoT/OT võrkude sisene ja vaheline liiklus peab olema pidevalt seiratud, kasutades:

Need klauslid loovad juhtimisankrud. Rakendamise tõendusmaterjal võib hõlmata OT IDS-i teavitusi, tulemüüri logisid, SIEM-i korrelatsiooni, liikluse lähteprofiile, anomaaliapileteid ja reageerimiskirjeid.

Milline näeb välja hea NIS2 OT tõendusmaterjal

NIS2 OT tõenduspakett peab olema inseneridele piisavalt praktiline ja audiitoritele piisavalt struktureeritud.

Segmentimise puhul lisa heakskiidetud arhitektuur, tsooni- ja kanalidiagrammid, tulemüürireeglite ekspordid, muudatuste kirjed, perioodilised reeglite läbivaatamised, erandikirjed ja seireteavitused.

Tarnija juurdepääsu puhul lisa tarnija kriitilisuse hindamine, lepinguklauslid, heakskiidetud juurdepääsuprotseduur, nimelised kontod, MFA tõendusmaterjal, juurdepääsulogid, seansisalvestised, perioodiline juurdepääsuõiguste ülevaatus ja lahkumisprotsessi kirjed.

Haavatavuste halduse puhul lisa register, teavituste allikad, passiivse avastamise väljundid, haavatavuspiletid, paikamisplaanid, kompenseerivad kontrollimeetmed, riski aktsepteerimine ja sulgemistõendid.

Intsidentidele reageerimise puhul lisa tööjuhised, eskalatsioonikontaktid, NIS2 teavitamise otsustuspuu, lauaõppuste tulemused, intsidendipiletid, asutuse teavituste kavandid, tõendusmaterjali käitlemise reeglid ja õppetunnid.

Talitluspidevuse puhul lisa OT varundusstrateegia, võrguühenduseta või kaitstud varukoopiad, taastamistestide tulemused, kriitiliste varuosade loend, käsitsi käitamise protseduurid, taasteprioriteedid ja kriisikommunikatsiooni plaanid.

Juhtimise puhul lisa juhatuse või juhtkonna heakskiit, rollimäärangud, koolituskirjed, siseauditi tulemused, KPI-d, riski läbivaatamise protokollid ja juhtkonna läbivaatamise otsused.

See tõendusmudel on kooskõlas ISO/IEC 27001:2022-ga, sest see toetab riskikäsitlust, dokumenteeritud teavet, tulemuslikkuse hindamist ja pidevat täiustamist. See on kooskõlas NIS2-ga, sest see tõendab asjakohaseid ja proportsionaalseid meetmeid. See on kooskõlas IEC 62443-ga, sest seda saab siduda OT-arhitektuuri ja insenertehniliste kontrollimeetmetega.

Muuda oma OT-turbe programm auditikõlblikuks NIS2 valmisolekuks

Kui sinu OT-keskkond toetab kriitilist või reguleeritud teenust, on vale strateegia oodata, kuni järelevalveasutus, klient või intsident lüngad nähtavaks teeb.

Alusta ühest suure mõjuga kasutusjuhust: tarnija kaugjuurdepääs kriitilisse OT-tsooni, toetuseta tööstusvarade haavatavuste käsitlemine või ettevõtte IT ja OT vaheline segmentimine. Koosta riskistsenaarium, vastenda see NIS2 Article 21-ga, vali ISO/IEC 27002:2022 kontrollimeetmed, teisenda need IEC 62443 rakendusmustriteks ja kogu tõendusmaterjal.

Clarysec saab seda tööd kiirendada lahendustega Zenith Blueprint, Zenith Controls, IoT / OT Security Policy, Internet of Things (IoT) / Operational Technology (OT) Security Policy - SME ja Third-Party and Supplier Security Policy - SME.

Sinu järgmine tegevus: vali üks OT-teenus, kaardista selle varad ja sõltuvused ning loo sel nädalal riski-kontrolli-tõendusmaterjali ahel. Kui soovid struktureeritud rakendusteed, saab Clarysec’i 30-sammuline tegevuskava ja vastavusvaldkondadeülene tööriistakomplekt muuta selle esimese ahela terviklikuks NIS2 OT-turbe programmiks.