Slándáil OT faoi NIS2: léarscáiliú ISO 27001 agus IEC 62443

Ag 02:17 maidin Dé Luain, faigheann oibreoir cóireála uisce foláireamh ón gcóras dáileoige. Tá an soláthar ceimiceach fós laistigh de theorainneacha sábháilteachta, ach tá PLC amháin ag tuairisciú orduithe neamhrialta, tá an stáisiún oibre innealtóireachta ag taispeáint iarrachtaí logála isteach teipthe ó chuntas VPN díoltóra, agus tá anailísí SOC ar dualgas ag cur ceiste nach mian le haon duine a fhreagairt faoi bhrú.

An teagmhas TF é seo, teagmhas OT, imeacht sábháilteachta, nó teagmhas suntasach inthuairiscithe faoi NIS2?

Tá ballaí dóiteáin ag an ngléasra. Tá doiciméadacht ISO aige. Tá scarbhileog soláthraithe aige. Tá pleananna freagartha ar theagmhais aige fiú. Ach scríobhadh an plean sin le haghaidh comhréiteach ríomhphoist agus bristí seirbhísí scamall, ní le haghaidh rialtóra oidhreachta nach féidir a phaisteáil le linn táirgthe, díoltóra a dteastaíonn cianrochtain uaidh chun seirbhís a athshlánú, agus rialálaí a bhíonn ag súil le fianaise laistigh de chlog tuairiscithe NIS2.

Feictear an fhadhb chéanna i seomraí boird. D’fhéadfadh CISO ag soláthraí fuinnimh réigiúnach Córas Bainistíochta Slándála Faisnéise atá deimhnithe de réir ISO/IEC 27001:2022 a bheith aige do TF corparáideach, agus eastát na teicneolaíochta oibríochtúla fós ina chrosbhóthar casta de PLCanna, RTUanna, HMIanna, staraí, stáisiúin oibre innealtóireachta, lasca tionsclaíocha agus conairí rochtana díoltóirí. Tá ceist an Phríomhfheidhmeannaigh simplí: “An bhfuilimid clúdaithe? An féidir leat é a chruthú?”

I gcás go leor eintiteas riachtanach agus tábhachtach, tá an freagra macánta míchompordach. Tá siad clúdaithe go páirteach. Is féidir leo é a chruthú go páirteach. Ach éilíonn slándáil OT faoi NIS2 níos mó ná comhlíonadh cineálach TF.

Éilíonn sí samhail oibríochta aontaithe a nascann rialachas ISO/IEC 27001:2022, teanga rialuithe ISO/IEC 27002:2022, cleachtais innealtóireachta tionsclaíche IEC 62443, bearta bainistíochta riosca cibearshlándála NIS2 Article 21 agus fianaise tuairiscithe teagmhas NIS2 Article 23.

Sin é an droichead a thógann an treoir seo.

Cén fáth a bhfuil slándáil OT faoi NIS2 difriúil ó ghnáthchomhlíonadh TF

Baineann NIS2 le go leor eintiteas poiblí agus príobháideach a sholáthraíonn seirbhísí laistigh den raon feidhme san AE, lena n-áirítear eintitis riachtanacha agus thábhachtacha ar fud earnálacha amhail fuinneamh, iompar, baincéireacht, bonneagar margaidh airgeadais, sláinte, uisce óil, fuíolluisce, bonneagar digiteach, bainistíocht seirbhísí TFC, riarachán poiblí, spás, seirbhísí poist, bainistíocht dramhaíola, déantúsaíocht, ceimiceáin, bia, soláthraithe digiteacha agus taighde.

Éilíonn an Treoir bearta teicniúla, oibríochtúla agus eagraíochtúla cuí agus comhréireacha chun rioscaí cibearshlándála a bhainistiú, tionchar teagmhas a chosc nó a íoslaghdú agus leanúnachas seirbhísí a chosaint. Cuimsíonn Article 21 cur chuige uile-ghuaise a chlúdaíonn anailís riosca, beartais slándála, láimhseáil teagmhas, leanúnachas gnó, bainistíocht géarchéime, slándáil slabhra soláthair, soláthar agus cothabháil shlán, láimhseáil agus nochtadh leochaileachtaí, measúnú éifeachtachta, sláinteachas cibearshlándála, oiliúint, cripteagrafaíocht, slándáil acmhainní daonna, rialú rochtana, bainistíocht sócmhainní, MFA nó fíordheimhniú leanúnach, cumarsáid shlán agus cumarsáid éigeandála nuair is iomchuí.

Bíonn na ceanglais sin eolach d’fhoireann ISO/IEC 27001:2022. In OT, iompraíonn gach ceann acu ar bhealach difriúil.

Is minic gur féidir leochaileacht i bhfreastalaí gréasáin a phaisteáil laistigh de laethanta. D’fhéadfadh bailíochtú díoltóra, fuinneog cothabhála, athbhreithniú sábháilteachta agus nósanna imeachta oibriúcháin cúltaca a bheith ag teastáil le haghaidh leochaileachta i rialtóir tuirbín. Is féidir ríomhaire glúine a atógáil. D’fhéadfadh HMI táirgthe brath ar chóras oibriúcháin oidhreachta toisc nár deimhníodh an feidhmchlár tionsclaíoch d’ardán níos nuaí. D’fhéadfadh treoirleabhar SOC a rá “leithlisigh an t-óstach”, agus d’fhéadfadh an t-innealtóir OT freagairt, “ní go dtí go mbeidh a fhios againn an mbíonn tionchar ag an leithlisiú ar rialú brú.”

Ní difríocht theicniúil amháin atá i gceist. De ghnáth tugann TF tosaíocht do rúndacht, sláine agus infhaighteacht. Tugann OT tosaíocht d’infhaighteacht, sláine próisis agus sábháilteacht. D’fhéadfadh rialú slándála a chuireann moill isteach, a éilíonn atosú, nó a chuireann isteach ar phróiseas fisiciúil a bheith do-ghlactha gan formheas innealtóireachta.

Ní dhéanann NIS2 OT a dhíolmhú ó bhainistiú riosca cibearshlándála. Táthar ag súil go gcruthóidh an eagraíocht go bhfuil na rialuithe cuí don riosca agus comhréireach leis an réaltacht oibríochtúil.

An chruach rialuithe: NIS2, ISO/IEC 27001:2022, ISO/IEC 27002:2022 agus IEC 62443

Tosaíonn clár cosanta slándála OT faoi NIS2 le cruach rialuithe sraitheach.

Soláthraíonn ISO/IEC 27001:2022 an córas bainistíochta. Éilíonn sé ar an eagraíocht an comhthéacs, páirtithe leasmhara, oibleagáidí rialála, raon feidhme an ISMS, comhéadain agus spleáchais a shainiú. Éilíonn sé freisin úinéireacht ceannaireachta, beartas slándála faisnéise, measúnú riosca, cóireáil riosca, Ráiteas Infheidhmeachta, faisnéis dhoiciméadaithe, iniúchadh inmheánach, athbhreithniú bainistíochta agus feabhsú leanúnach.

Soláthraíonn ISO/IEC 27002:2022 stór focal na rialuithe. Maidir le OT, is minic a bhíonn na rialuithe is tábhachtaí bainteach le slándáil soláthraithe, bainistíocht riosca slabhra soláthair TFC, pleanáil teagmhas, ullmhacht leanúnachais gnó, ceanglais dhlíthiúla agus chonarthacha, bainistíocht sócmhainní, rialú rochtana, bainistíocht leochaileachtaí, cúltacaí, logáil, faireachán, slándáil líonra agus deighilt líonra.

Soláthraíonn IEC 62443 samhail innealtóireachta slándála tionsclaíche. Cuidíonn sé le ceanglais an chórais bainistíochta a aistriú ina gcleachtais OT amhail criosanna, seoláin, leibhéil slándála, freagrachtaí úinéirí sócmhainní, freagrachtaí comhtháthóirí córais, ionchais maidir le soláthraithe táirgí, srianta cianrochtana, an fheidhmiúlacht íosta, bainistíocht cuntas, cruasú agus rialuithe saolré.

Úsáideann Clarysec an chruach seo mar seachnaíonn sí dhá theip choitianta. Ar dtús, cosnaíonn sí cur chun feidhme ISO ó bheith róchineálach do OT. Sa dara háit, cosnaíonn sí obair innealtóireachta IEC 62443 ó bheith dícheangailte ó chuntasacht boird, dualgais tuairiscithe NIS2 agus fianaise iniúchta.

Deir Beartas Slándála IoT / OT Clarysec an droichead go díreach:

Chun a chinntiú go bhfuil gach imscaradh ailínithe le rialuithe ISO/IEC 27001 agus le treoir earnáilsonrach is infheidhme (m.sh. IEC 62443, ISO 27019, NIST SP 800-82).

Tá tábhacht leis an abairt sin. Ní seicliosta cruasaithe gléis amháin atá sa bheartas. Nascann sé rialachas ISO, treoir earnála OT agus slándáil oibríochtúil.

Tosaigh leis an raon feidhme: cén tseirbhís OT nach mór a chosaint?

Sula ndéantar rialuithe a mhapáil, sainigh an tseirbhís OT i dteanga ghnó agus rialála.

D’fhéadfadh bainisteoir gléasra a rá, “Oibrímid an líne phacáistithe.” Ba cheart do mheasúnú NIS2 a rá, “Tacaíonn an próiseas táirgthe seo le seirbhís riachtanach nó thábhachtach agus braitheann sé ar PLCanna, HMIanna, stáisiúin oibre innealtóireachta, staraí, lasca tionsclaíocha, cianrochtain díoltóra, conraitheoir cothabhála, fotha anailísíochta scamall agus seirbhís aitheantais fiontair.”

Tá clásail 4.1 go 4.4 de ISO/IEC 27001:2022 úsáideach toisc go gcuireann siad iallach ar an eagraíocht saincheisteanna inmheánacha agus seachtracha, páirtithe leasmhara, ceanglais dhlíthiúla agus chonarthacha, teorainneacha ISMS, comhéadain agus spleáchais a shainaithint. Maidir le slándáil OT faoi NIS2, ciallaíonn sé sin ní hamháin líonra na ceanncheathrún a mhapáil, ach na córais thionsclaíocha agus na spleáchais seirbhíse a mbíonn tionchar acu ar leanúnachas, sábháilteacht agus seachadadh rialáilte freisin.

Neartaíonn NIST CSF 2.0 an loighic chéanna. Éilíonn a fheidhm GOVERN tuiscint ar mhisean, páirtithe leasmhara, spleáchais, oibleagáidí dlíthiúla agus rialála, seirbhísí criticiúla agus seirbhísí a mbraitheann an eagraíocht orthu. Soláthraíonn Próifílí Eagraíochtúla modh praiticiúil chun staid reatha a scópáil, spriocstaid a shainiú, bearnaí a anailísiú agus plean gníomhaíochta tosaíochtaithe a tháirgeadh.

Maidir le timpeallacht OT, tosaíonn Clarysec de ghnáth le cúig cheist:

1. Cén tseirbhís rialáilte nó chriticiúil a dtacaíonn an timpeallacht OT seo léi?
2. Cé na sócmhainní OT, líonraí, sreafaí sonraí agus tríú páirtithe atá riachtanach don tseirbhís sin?
3. Cé na srianta sábháilteachta, infhaighteachta agus oibríochtúla a mbíonn tionchar acu ar rialuithe slándála?
4. Cé na hoibleagáidí dlíthiúla, conarthacha agus earnála atá i bhfeidhm, lena n-áirítear NIS2, GDPR, DORA nuair is ábhartha, conarthaí custaiméirí agus rialacha náisiúnta?
5. Cé na codanna den timpeallacht atá laistigh den ISMS, agus cé na spleáchais sheachtracha a éilíonn rialuithe soláthraithe?

Teipeann ar go leor clár NIS2 ag an bpointe seo. Scópaíonn siad timpeall TF corparáideach toisc go bhfuil sé níos éasca fardal a dhéanamh air. Ní bheidh iniúchóirí ná rialálaithe tógtha má fheictear an spleáchas seirbhíse is criticiúla mar mhír líne dhoiléir amháin darb ainm “líonra monarchan”.

Léarscáil phraiticiúil rialuithe OT faoi NIS2

Léiríonn an tábla thíos conas téamaí NIS2 Article 21 a thiontú ina bhfianaise ISO/IEC 27001:2022, ISO/IEC 27002:2022 agus IEC 62443. Ní hionad é ar mheasúnú riosca foirmiúil, ach tugann sé pointe tosaigh praiticiúil do CISOanna, bainisteoirí OT agus foirne comhlíontachta.

Tá an léarscáil seo dírithe d’aon ghnó ar fhianaise. Faoi NIS2, ní leor a rá “tá deighilt againn.” Ní mór a léiriú cén fáth a bhfuil an deighilt cuí, conas atá sí curtha chun feidhme, conas a fhormheastar eisceachtaí agus conas a laghdaíonn an dearadh tionchar ar an tseirbhís rialáilte.

Deighilt: an chéad rialú OT a thástálfaidh iniúchóirí

Dá mba rud é gur bhain teagmhas 02:17 le hionsaitheoir ag bogadh ó ríomhaire glúine oifige go stáisiún oibre innealtóireachta, bheadh an chéad cheist iniúchta soiléir: cén fáth a raibh an chonair sin indéanta?

Tá an Beartas Slándála IoT / OT soiléir:

Ní mór do chórais OT oibriú laistigh de líonraí tiomnaithe atá leithlisithe ó TF fiontair agus ó chórais atá os comhair an idirlín.

Maidir le timpeallachtaí níos lú, tugann an Beartas Slándála Idirlíon na Rudaí (IoT) / Teicneolaíocht Oibríochtúil (OT) - SME bonnlíne phraiticiúil:

Ní mór gach gléas Idirlíon na Rudaí (IoT) agus Teicneolaíocht Oibríochtúil (OT) a chur ar líonra Wi‑Fi nó VLAN ar leith

Maidir le hoibreoir bonneagair chriticiúil aibí, ba cheart deighilt a dhearadh timpeall ar chriosanna agus seoláin OT. Níor cheart d’úsáideoirí fiontair rochtain dhíreach a fháil ar líonraí PLC. Ba cheart nascanna díoltóirí a chríochnú i gcriosanna rochtana rialaithe. Ba cheart macasamhlú staraí a dhéanamh trí chonairí ceadaithe. Ba cheart córais sábháilteachta a leithlisiú de réir riosca agus ceanglas innealtóireachta. Ba cheart líonraí OT gan sreang a údarú, a chruasú agus a chur faoi fhaireachán.

Míníonn Zenith Blueprint: treochlár 30 céim d’iniúchóir, sa chéim Rialuithe i ngníomh, Céim 20, an prionsabal taobh thiar de shlándáil líonra ISO/IEC 27002:2022:

Ba cheart córais rialaithe tionsclaíocha a leithlisiú ó thrácht oifige.

Tugann sé rabhadh freisin go n-éilíonn slándáil líonra ailtireacht shlán, deighilt, rialú rochtana, criptiú sonraí faoi tharchur, faireachán agus cosaint i ndoimhneacht.

In Zenith Controls: an treoir tras-chomhlíonta, déileáiltear le rialú ISO/IEC 27002:2022 8.22, Segregation of Networks, mar rialú coisctheach a thacaíonn le rúndacht, sláine agus infhaighteacht, atá ailínithe leis an gcoincheap cibearshlándála Protect, le slándáil córais agus líonra mar chumas oibríochtúil agus cosaint mar fhearann slándála.

Tá an t-aicmiú sin úsáideach d’fhianaise NIS2 toisc nach léaráid mhaisiúcháin í an deighilt. Is rialú coisctheach í atá deartha chun ga an tionchair a laghdú agus leanúnachas seirbhíse riachtanaí a chaomhnú.

Bainistíocht leochaileachtaí nuair nach féidir córais OT a phaisteáil go simplí

Éilíonn NIS2 soláthar, forbairt agus cothabháil shlán ar chórais líonra agus faisnéise, lena n-áirítear láimhseáil agus nochtadh leochaileachtaí. In TF, is minic a chiallaíonn bainistíocht leochaileachtaí scanadh, tosaíochtú, paistiú agus fíorú. Cuireann OT srianta leis.

D’fhéadfadh HMI criticiúil a bheith inphaisteáilte le linn briste pleanáilte amháin. D’fhéadfadh rannpháirtíocht díoltóra a bheith de dhíth ar nuashonrú firmware PLC. D’fhéadfadh córas deimhnithe ó thaobh sábháilteachta de a dheimhniú a chailleadh má mhodhnaítear go mícheart é. D’fhéadfadh roinnt gléasanna oidhreachta a bheith ann nach bhfuil aon tacaíocht díoltóra acu ar chor ar bith.

Soláthraíonn Zenith Blueprint, sa chéim Rialuithe i ngníomh, Céim 19, an loighic iniúchta cheart do leochaileachtaí teicniúla:

Maidir le córais nach féidir a phaisteáil láithreach, b’fhéidir mar gheall ar bhogearraí oidhreachta nó srianta aga neamhfhónaimh, cuir rialuithe cúitimh chun feidhme. D’fhéadfadh sé sin an córas a leithlisiú taobh thiar de bhalla dóiteáin, rochtain a theorannú, nó faireachán a mhéadú. Agus i ngach cás, taifead agus glac leis an riosca iarmharach go foirmiúil, ag léiriú nach bhfuil an tsaincheist dearmadta.

Tá bonnlíne bheartais SME chomh praiticiúil céanna:

Ní mór athbhreithniú ráithiúil a dhéanamh ar an bhfardal chun gléasanna atá as dáta, gan tacaíocht nó gan phaisteáil a shainaithint

In Zenith Controls, mapáiltear rialú ISO/IEC 27002:2022 8.8, Bainistíocht Leochaileachtaí Teicniúla, mar rialú coisctheach a thacaíonn le rúndacht, sláine agus infhaighteacht, ailínithe le Identify agus Protect, agus bainistíocht bagairtí agus leochaileachtaí mar chumas oibríochtúil thar fhearainn rialachais, éiceachórais, cosanta agus cosanta gníomhaí.

Ba cheart go n-áireofaí i gcomhad láidir leochaileachta OT:

• Aitheantóir sócmhainne, úinéir, crios agus criticiúlacht
• Foinse na leochaileachta, amhail fógra díoltóra, scanóir, fógra comhtháthóra nó faisnéis bagairtí
• Srianta sábháilteachta agus infhaighteachta
• Indéantacht paiste agus fuinneog cothabhála phleanáilte
• Rialuithe cúitimh, amhail leithlisiú, Liostaí Rialaithe Rochtana (ACLanna), seirbhísí díchumasaithe nó faireachán méadaithe
• Faomhadh úinéir riosca agus glacadh le riosca iarmharach
• Fianaise fíorúcháin tar éis leighis nó tar éis rialuithe cúitimh a chur chun feidhme

Athraíonn sé seo “ní féidir linn paisteáil” ó leithscéal go cóireáil riosca in-iniúchta.

Cianrochtain díoltóirí: splancphointe NIS2 agus IEC 62443

Bíonn gné tríú páirtí ag formhór teagmhas OT áit éigin. Cuntas díoltóra. Ríomhaire glúine comhtháthóra. Uirlis chothabhála chianda. Dintiúir chomhroinnte. Eisceacht balla dóiteáin a bhí sealadach trí bliana ó shin.

Cuimsíonn NIS2 Article 21 go sainráite slándáil slabhra soláthair, leochaileachtaí soláthraí-shonracha, cleachtais chibearshlándála soláthraithe agus nósanna imeachta forbartha slána. Tá NIST CSF 2.0 mionsonraithe ar an bpointe seo freisin trí chriticiúlacht soláthraithe, ceanglais chonartha, dícheall cuí, faireachán leanúnach, comhordú teagmhas agus forálacha scoir.

Deir Beartas Slándála Tríú Páirtí agus Soláthraithe - SME Clarysec an prionsabal i dteanga shimplí:

Ní mór rochtain a thabhairt do sholáthraithe ar na córais agus na sonraí íosta amháin atá riachtanach chun a bhfeidhm a chomhlíonadh.

Maidir le OT, ciallaíonn rochtain íosta níos mó ná rochtain rólbhunaithe i bhfeidhmchlár. Ba cheart rochtain díoltóra a bheith:

• Réamhcheadaithe do chuspóir cothabhála sainithe
• Faoi theorainn ama agus díchumasaithe de réir réamhshocraithe
• Cosanta le MFA nó fíordheimhniú leanúnach nuair is iomchuí
• Ródaithe trí óstach léime slán nó ardán cianrochtana rialaithe
• Teoranta don chrios nó don tsócmhainn OT ábhartha
• Logáilte, faoi fhaireachán agus, i gcás rochtana ardriosca, taifeadta ar leibhéal seisiúin
• Athbhreithnithe tar éis críochnaithe
• Clúdaithe ag oibleagáidí conarthacha slándála agus fógra teagmhais

Cuimsíonn Beartas Slándála IoT / OT an fhiontair ceanglas tiomnaithe maidir le cianrochtain:

Ní mór do Rochtain chianda (le haghaidh bainistíochta nó seirbhísiú díoltóra):

Daingníonn an clásal sin an pointe rialachais, agus ba cheart na ceanglais mhionsonraithe a chur chun feidhme i nósanna imeachta rochtana, comhaontuithe soláthraithe, cumraíocht theicniúil agus sreafaí oibre faireacháin.

In Zenith Controls, aicmítear rialú ISO/IEC 27002:2022 5.21, Bainistiú slándála faisnéise sa slabhra soláthair TFC, mar rialú coisctheach a thacaíonn le rúndacht, sláine agus infhaighteacht, ailínithe leis an gcoincheap Identify, le slándáil caidrimh soláthraithe mar chumas oibríochtúil agus rialachas, éiceachóras agus cosaint mar fhearainn.

Maidir le OT, cuidíonn an mhapáil sin le míniú cén fáth a mbaineann fianaise cianrochtana le comhaid riosca soláthraithe, rialachas aitheantais, slándáil líonra, freagairt ar theagmhais agus leanúnachas ag an am céanna.

Freagairt ar theagmhais: buaileann clog NIS2 leis an seomra rialaithe

Ar ais chuig foláireamh 02:17. Ní mór don eagraíocht cinneadh a dhéanamh an bhfuil an t-imeacht suntasach faoi NIS2. Éilíonn Article 23 fógra gan mhoill mhíchuí maidir le teagmhais shuntasacha a mbíonn tionchar acu ar sholáthar seirbhíse. Cuimsíonn an seicheamh rabhadh luath laistigh de 24 uair an chloig ón eolas, fógra teagmhais laistigh de 72 uair an chloig, nuashonruithe idirmheánacha má iarrtar iad agus tuarascáil deiridh tráth nach déanaí ná mí amháin tar éis an fhógra teagmhais, nó tuarascáil dul chun cinn má tá an teagmhas fós ar siúl.

In OT, ní mór do fhreagairt ar theagmhais ceisteanna a fhreagairt a ndéanann treoirleabhair TF neamhaird orthu go minic:

• An féidir an gléas lena mbaineann a leithlisiú gan riosca sábháilteachta a chruthú?
• Cé aige a bhfuil údarás táirgeadh a stopadh nó aistriú go mód láimhe?
• Cé na logaí atá luaineach agus a dteastaíonn caomhnú láithreach uathu?
• Cén díoltóir nó comhtháthóir nach mór teagmháil a dhéanamh leis?
• An bhfuil an t-imeacht mailíseach, timpisteach, comhshaoil nó mar thoradh ar mhíchumraíocht?
• An bhféadfadh tionchar trasteorann nó tionchar ar fhaighteoirí seirbhíse a bheith ann?
• An bhfuil sonraí pearsanta i gceist, amhail logaí suaitheantais, CCTV, sonraí fostaithe nó taifid seirbhíse custaiméirí?

Tugann beartas SME OT riail shimplí uaschéimnithe maidir le haimhrialtachtaí:

Ní mór aon aimhrialtachtaí a thuairisciú láithreach don Bhainisteoir Ginearálta le haghaidh tuilleadh gnímh

Cuimsíonn sé freisin prionsabal teorannaithe atá feasach ar shábháilteacht:

Ní mór an gléas a dhícheangal ón líonra láithreach, nuair is sábháilte é sin a dhéanamh

Tá na cúig fhocal dheireanacha sin criticiúil. Ní féidir le freagairt OT gníomhartha teorannaithe TF a chóipeáil go dall. Ba cheart “nuair is sábháilte é sin a dhéanamh” a léiriú i leabhair oibriúcháin, maitrísí uaschéimnithe riosca, oiliúint agus cleachtaí boird.

Oireann NIST CSF 2.0 go maith anseo. Clúdaíonn a thorthaí Respond agus Recover triáis, catagóiriú, uaschéimniú, anailís bunchúise, sláine fianaise, fógra do pháirtithe leasmhara, teorannú, díothú, athshlánú, seiceálacha sláine cúltaca agus cumarsáid téarnaimh.

Tóg líne fianaise ó riosca go rialú

Bealach praiticiúil chun comhlíonadh ilroinnte a sheachaint is ea líne fianaise amháin a thógáil ó riosca go rialachán go rialú go cruthúnas.

Cás: teastaíonn cianrochtain ó dhíoltóir comhbhrúiteora ar stáisiún oibre innealtóireachta sa líonra OT. Is féidir leis an stáisiún oibre loighic PLC a mhodhnú. Tá cuntas an díoltóra cumasaithe i gcónaí, comhroinnte ag roinnt innealtóirí díoltóra agus cosanta le pasfhocal amháin. Ritheann an stáisiún oibre bogearraí nach féidir a uasghrádú go dtí an chéad bhriseadh cothabhála eile.

Scríobh an cás riosca sa chlár rioscaí:

“D’fhéadfadh cianrochtain díoltóra neamhúdaraithe nó comhréitithe ar stáisiún oibre innealtóireachta OT athruithe neamhúdaraithe ar loighic PLC, cur isteach ar tháirgeadh, tionchar sábháilteachta agus cur isteach ar sheirbhís inthuairiscithe faoi NIS2 a chruthú.”

Ansin mapáil na rialuithe agus na hoibleagáidí.

Ba cheart don phlean cóireála rochtain sheasta díoltóra a dhíchumasú, aitheantais díoltóra ainmnithe a éileamh, MFA a fhorfheidhmiú, rochtain a ródú trí fhreastalaí léime rialaithe, rochtain a theorannú don stáisiún oibre innealtóireachta, faomhadh ticéid chothabhála a éileamh, seisiúin phribhléideacha a thaifeadadh, orduithe agus trácht neamhghnách a chur faoi fhaireachán, an stáisiún oibre gan phaisteáil a dhoiciméadú mar eisceacht leochaileachta agus freagairt ar theagmhais a thástáil le haghaidh gníomhaíocht amhrasach díoltóra.

Tugann Zenith Blueprint, céim Bainistíocht Riosca, Céim 13, loighic inrianaitheachta SoA:

Cros-tagairt rialacháin: Má chuirtear rialuithe áirithe chun feidhme go sonrach chun cloí le GDPR, NIS2 nó DORA, is féidir é sin a thabhairt faoi deara sa Chlár rioscaí (mar chuid den údar tionchair riosca) nó i nótaí an SoA.

Tá an ceacht praiticiúil simplí. Ná coinnigh fianaise NIS2, ISO agus innealtóireachta OT i silos ar leith. Cuir colúin sa chlár rioscaí agus sa SoA do théama NIS2 Article 21, rialú ISO/IEC 27002:2022, teaghlach ceanglas IEC 62443, úinéir fianaise agus stádas iniúchta.

Cá n-oireann GDPR agus DORA i slándáil OT

Ní bhaineann slándáil OT le meaisíní amháin i gcónaí. Is minic a phróiseálann timpeallachtaí bonneagair chriticiúil sonraí pearsanta trí CCTV, córais rialaithe rochtana, logaí suaitheantais, córais sábháilteachta lucht saothair, ticéid chothabhála, rianú feithiclí, córais chuairteoirí agus ardáin seirbhíse custaiméirí.

Éilíonn GDPR go ndéanfar sonraí pearsanta a phróiseáil go dleathach, go cothrom agus go trédhearcach, go mbaileofar iad chun críocha sonraithe, go dteorannófar iad don mhéid is gá, go gcoinneofar cruinn iad, go gcoinneofar iad chomh fada agus is gá amháin, agus go gcosnófar iad le bearta teicniúla agus eagraíochtúla cuí. Éilíonn sé cuntasacht freisin, rud a chiallaíonn nach mór don rialaitheoir a bheith in ann comhlíonadh a léiriú.

Maidir le OT, ciallaíonn sé seo nár cheart do logaí rochtana agus taifid faireacháin iompú ina stórtha sonraí faireachais neamhrialaithe. Ní mór coinneáil, cearta rochtana, teorannú cuspóra agus measúnú sáraithe a dhearadh isteach sa logáil agus sa faireachán.

D’fhéadfadh DORA a bheith i bhfeidhm nuair a bhíonn eintitis airgeadais i gceist, nó nuair a thacaíonn soláthraí seirbhíse TFC tríú páirtí le hathléimneacht oibríochtúil na hearnála airgeadais. Clúdaíonn DORA bainistíocht riosca TFC, tuairisciú teagmhas, tástáil athléimneachta agus riosca tríú páirtí TFC. Maidir le heintitis airgeadais atá ina n-eintitis riachtanacha nó thábhachtacha freisin faoi rialacha trasuite NIS2, féadfaidh DORA gníomhú mar an réimeas earnáilsonrach le haghaidh oibleagáidí forluiteacha, agus d’fhéadfadh comhordú le húdaráis NIS2 fanacht ábhartha.

Tá na disciplíní fianaise céanna i bhfeidhm: sainaithint sócmhainní, cosaint, brath, leanúnachas, cúltaca, riosca tríú páirtí, tástáil, oiliúint agus maoirseacht bainistíochta.

Lionsa an iniúchta: rialú amháin, peirspictíochtaí dearbhaithe iolracha

Ba cheart go seasfadh cur chun feidhme láidir slándála OT faoi NIS2 faoi pheirspictíochtaí iniúchta iolracha.

Sin é an fáth a gcaitheann Clarysec le Zenith Controls mar chompás tras-chomhlíonta. Cuidíonn a thréithe rialaithe le cuspóir rialuithe oifigiúla ISO/IEC 27002:2022 a mhíniú, agus nascann an cur chuige mapála na rialuithe sin le NIS2, NIST CSF, rialachas soláthraithe, leanúnachas agus fianaise iniúchta.

Gaistí coitianta i gcur chun feidhme OT faoi NIS2

Is annamh a bhíonn na teipeanna slándála OT is coitianta mar thoradh ar easpa doiciméad. Is doiciméid nach n-oireann don ghléasra is cúis leo.

Gaiste 1: Tá úinéireacht ag TF ar chlár NIS2, ach tá úinéireacht ag OT ar an riosca. Ní mór oibríochtaí, innealtóireacht, sábháilteacht agus cothabháil a bheith páirteach.

Gaiste 2: Stopann an fardal sócmhainní ag freastalaithe. Ní mór PLCanna, RTUanna, HMIanna, staraí, stáisiúin oibre innealtóireachta, lasca tionsclaíocha, braiteoirí, tairseacha, fearais chianrochtana agus comhpháirteanna arna mbainistiú ag díoltóirí a bheith i bhfardal OT.

Gaiste 3: Tá deighilt ar léaráid ach ní sna rialacha balla dóiteáin. Iarrfaidh iniúchóirí fianaise ar chur chun feidhme, rialú athruithe agus faireachán.

Gaiste 4: Tá eisceachtaí leochaileachta neamhfhoirmiúil. Ní ghlactar le srianta oidhreachta ach amháin nuair atá siad doiciméadaithe, formheasta, faoi fhaireachán agus athbhreithnithe arís.

Gaiste 5: Caitear le rochtain díoltóra mar shaincheist soláthraí amháin. Is saincheist rialaithe rochtana, logála, faireacháin, slándála líonra, freagartha ar theagmhais agus leanúnachais í freisin.

Gaiste 6: Déanann freagairt ar theagmhais neamhaird ar shábháilteacht. Ní mór do threoirleabhair OT a shainiú cé atá in ann gléasanna a leithlisiú, próisis a stopadh, móid a athrú nó teagmháil a dhéanamh le rialálaithe.

Gaiste 7: Ní dhéantar cleachtadh ar thuairisciú NIS2. Ba cheart an próiseas cinnteoireachta 24 uair agus 72 uair a thástáil roimh fhíor-imeacht.

Conair cur chun feidhme Clarysec ó chuntasacht boird go fianaise OT

Is féidir le cur chun feidhme praiticiúil slándála OT faoi NIS2 an seicheamh seo a leanúint:

1. Deimhnigh raon feidhme NIS2, aicmiú eintitis agus criticiúlacht seirbhíse.
2. Sainigh raon feidhme OT laistigh den ISMS, lena n-áirítear comhéadain agus spleáchais.
3. Tóg fardal sócmhainní OT agus sreafaí sonraí.
4. Sainaithin oibleagáidí dlíthiúla, conarthacha, sábháilteachta, príobháideachais agus earnála.
5. Reáchtáil ceardlanna measúnaithe riosca OT-shonracha le hinnealtóireacht, oibríochtaí, TF, SOC, soláthar agus bainistíocht.
6. Mapáil cóireáil riosca chuig rialuithe ISO/IEC 27002:2022, téamaí NIS2 agus patrúin cur chun feidhme IEC 62443.
7. Nuashonraigh an Ráiteas Infheidhmeachta le húdar OT agus úinéirí fianaise.
8. Cuir rialuithe tosaíochta chun feidhme: deighilt, rochtain díoltóirí, láimhseáil leochaileachtaí, faireachán, cúltacaí agus freagairt ar theagmhais.
9. Nuashonraigh beartais agus nósanna imeachta, lena n-áirítear slándáil OT, slándáil soláthraithe, cianrochtain, freagairt ar theagmhais agus leanúnachas gnó.
10. Reáchtáil cleachtaí boird agus bailíochtú teicniúil.
11. Ullmhaigh pacáistí iniúchta do NIS2, ISO/IEC 27001:2022, dearbhú custaiméirí agus rialachas inmheánach.
12. Cuir fionnachtana isteach in athbhreithniú bainistíochta agus feabhsú leanúnach.

Léiríonn sé seo an tsamhail oibríochta in Zenith Blueprint, go háirithe Céim 13 maidir le cóireáil riosca agus inrianaitheacht SoA, Céim 14 maidir le forbairt beartais agus cros-tagairtí rialála, Céim 19 maidir le bainistíocht leochaileachtaí agus Céim 20 maidir le slándáil líonra.

Úsáideann an cur chuige céanna beartais Clarysec chun teanga chreata a iompú ina rialacha oibríochtúla. Éilíonn Beartas Slándála IoT / OT an fhiontair athbhreithniú ar ailtireacht slándála roimh imscaradh:

Ní mór do gach gléas nua IoT/OT dul faoi Athbhreithniú ar Ailtireacht Slándála roimh imscaradh. Ní mór don athbhreithniú seo bailíochtú a dhéanamh ar:

Deir sé freisin:

Ní mór an trácht go léir laistigh de líonraí IoT/OT agus eatarthu a chur faoi fhaireachán leanúnach trí úsáid a bhaint as:

Cruthaíonn na clásail sin ancairí rialachais. D’fhéadfadh fianaise chur chun feidhme foláirimh IDS OT, logaí balla dóiteáin, comhghaolú SIEM, próifílí tráchta bunlíne, ticéid aimhrialtachta agus taifid freagartha a áireamh.

Cén chuma atá ar fhianaise mhaith OT faoi NIS2

Ba cheart go mbeadh pacáiste fianaise OT faoi NIS2 praiticiúil go leor d’innealtóirí agus struchtúrtha go leor d’iniúchóirí.

Maidir le deighilt, cuir ailtireacht cheadaithe, léaráidí criosanna agus seolán, easpórtálacha rialacha balla dóiteáin, taifid athruithe, athbhreithnithe tréimhsiúla ar rialacha, taifid eisceachtaí agus foláirimh faireacháin san áireamh.

Maidir le rochtain díoltóirí, cuir measúnú criticiúlachta soláthraí, clásail chonartha, nós imeachta rochtana ceadaithe, cuntais ainmnithe, fianaise MFA, logaí rochtana, taifeadtaí seisiún, athbhreithnithe rochtana tréimhsiúla agus taifid eisduchtaithe san áireamh.

Maidir le bainistíocht leochaileachtaí, cuir fardal, foinsí comhairleacha, aschuir fionnachtana éighníomhaí, ticéid leochaileachta, pleananna paistí, rialuithe cúitimh, glacadh le riosca agus fianaise dúnta san áireamh.

Maidir le freagairt ar theagmhais, cuir treoirleabhair, teagmhálaithe uaschéimnithe, crann cinnteoireachta tuairiscithe NIS2, torthaí cleachtaí boird, ticéid teagmhais, dréachtaí fógraí údaráis, rialacha láimhseála fianaise agus ceachtanna foghlamtha san áireamh.

Maidir le leanúnachas, cuir straitéis chúltaca OT, cúltacaí as líne nó cosanta, torthaí tástálacha athshlánaithe, liosta páirteanna spártha criticiúla, nósanna imeachta oibriúcháin láimhe, tosaíochtaí téarnaimh agus pleananna cumarsáide géarchéime san áireamh.

Maidir le rialachas, cuir faomhadh boird nó bainistíochta, sannuithe ról, taifid oiliúna, torthaí iniúchta inmheánaigh, príomhtháscairí feidhmíochta, miontuairiscí athbhreithnithe riosca agus cinntí athbhreithnithe bainistíochta san áireamh.

Ailíníonn an tsamhail fianaise seo le ISO/IEC 27001:2022 toisc go dtacaíonn sí le cóireáil riosca, faisnéis dhoiciméadaithe, meastóireacht feidhmíochta agus feabhsú leanúnach. Ailíníonn sí le NIS2 toisc go léiríonn sí bearta cuí agus comhréireacha. Ailíníonn sí le IEC 62443 toisc gur féidir í a rianú chuig ailtireacht OT agus rialuithe innealtóireachta.

Iompaigh do chlár slándála OT ina ullmhacht NIS2 in-iniúchta

Má thacaíonn do thimpeallacht OT le seirbhís chriticiúil nó rialáilte, is drochstraitéis é fanacht go nochtfaidh rialálaí, custaiméir nó teagmhas na bearnaí.

Tosaigh le cás úsáide ardtionchair amháin: cianrochtain díoltóra ar chrios OT criticiúil, láimhseáil leochaileachtaí do shócmhainní tionsclaíocha gan tacaíocht, nó deighilt idir TF fiontair agus OT. Tóg an cás riosca, mapáil é chuig NIS2 Article 21, roghnaigh rialuithe ISO/IEC 27002:2022, aistrigh iad ina bpatrúin cur chun feidhme IEC 62443 agus bailigh an fhianaise.

Is féidir le Clarysec cabhrú leat an obair sin a luathú le Zenith Blueprint, Zenith Controls, an Beartas Slándála IoT / OT, an Beartas Slándála Idirlíon na Rudaí (IoT) / Teicneolaíocht Oibríochtúil (OT) - SME agus an Beartas Slándála Tríú Páirtí agus Soláthraithe - SME.

Do chéad ghníomh eile: roghnaigh seirbhís OT amháin, mapáil a sócmhainní agus a spleáchais, agus cruthaigh líne fianaise ó riosca go rialú an tseachtain seo. Má theastaíonn conair struchtúrtha cur chun feidhme uait, is féidir le treochlár 30 céim Clarysec agus a fhoireann uirlisí tras-chomhlíonta an chéad líne sin a iompú ina clár iomlán slándála OT faoi NIS2.