Sigurtà tal-OT taħt NIS2: mappa bejn ISO 27001 u IEC 62443
Fis-02:17 ta’ nhar ta’ Tnejn, operatur tat-trattament tal-ilma jirċievi allarm minn sistema ta’ dożaġġ. L-għalf kimiku għadu fil-limiti tas-sikurezza, iżda PLC wieħed qed jirrapporta kmandi irregolari, il-workstation tal-inġinerija qed turi tentattivi ta’ login falluti minn kont VPN ta’ fornitur, u l-analista tas-SOC fuq ix-xift qed jistaqsi mistoqsija li ħadd ma jkun irid iwieġeb taħt pressjoni.
Dan huwa inċident tal-IT, inċident tal-OT, avveniment ta’ sikurezza, jew inċident sinifikanti li għandu jiġi rrappurtat taħt NIS2?
L-impjant għandu firewalls. Għandu dokumentazzjoni ISO. Għandu spreadsheet tal-fornituri. Saħansitra għandu Pjan ta’ Rispons għall-Inċidenti. Iżda l-pjan inkiteb għal kompromess tal-posta elettronika u qtugħ fis-servizzi cloud, mhux għal kontrollur legat li ma jistax jiġi aġġornat b’patches waqt il-produzzjoni, fornitur li jeħtieġ aċċess remot biex jirrestawra s-servizz, u regolatur li jistenna evidenza fil-limiti ta’ żmien tar-rappurtar ta’ NIS2.
L-istess problema tidher fil-kmamar tal-bord. CISO ma’ fornitur reġjonali tal-enerġija jista’ jkollu Sistema ta’ Ġestjoni tas-Sigurtà tal-Informazzjoni ċċertifikata skont ISO/IEC 27001:2022 għall-IT korporattiv, filwaqt li l-ambjent tat-teknoloġija operazzjonali jibqa’ taħlita kumplessa ta’ PLCs, RTUs, HMIs, historians, workstations tal-inġinerija, switches industrijali u rotot ta’ aċċess għall-fornituri. Il-mistoqsija tal-Kap Eżekuttiv hija sempliċi: “Aħna koperti? Tista’ tipprovah?”
Għal ħafna entitajiet essenzjali u importanti, it-tweġiba onesta mhijiex komda. Huma koperti parzjalment. Jistgħu jippruvawha parzjalment. Iżda s-sigurtà tal-OT taħt NIS2 teħtieġ aktar minn konformità ġenerika tal-IT.
Teħtieġ mudell operattiv unifikat li jgħaqqad il-governanza ta’ ISO/IEC 27001:2022, il-lingwa tal-kontrolli ta’ ISO/IEC 27002:2022, il-prattiki ta’ inġinerija industrijali ta’ IEC 62443, il-miżuri ta’ ġestjoni tar-riskju taċ-ċibersigurtà fl-Article 21 ta’ NIS2 u l-evidenza tar-rappurtar tal-inċidenti fl-Article 23 ta’ NIS2.
Din hija l-pont li tibni din il-gwida.
Għaliex is-sigurtà tal-OT taħt NIS2 hija differenti mill-konformità ordinarja tal-IT
NIS2 japplika għal ħafna entitajiet pubbliċi u privati li jipprovdu servizzi fil-kamp ta’ applikazzjoni fl-UE, inklużi entitajiet essenzjali u importanti f’setturi bħall-enerġija, it-trasport, il-banek, l-infrastruttura tas-swieq finanzjarji, is-saħħa, l-ilma tax-xorb, l-ilma mormi, l-infrastruttura diġitali, il-ġestjoni tas-servizzi ICT, l-amministrazzjoni pubblika, l-ispazju, is-servizzi postali, il-ġestjoni tal-iskart, il-manifattura, il-kimiċi, l-ikel, il-fornituri diġitali u r-riċerka.
Id-Direttiva teħtieġ miżuri tekniċi, operattivi u organizzattivi xierqa u proporzjonati biex jiġu ġestiti r-riskji ċibernetiċi, jiġi evitat jew minimizzat l-impatt tal-inċidenti u tiġi protetta l-kontinwità tas-servizzi. Article 21 jinkludi approċċ kontra kull periklu li jkopri analiżi tar-riskju, politiki tas-sigurtà, ġestjoni tal-inċidenti, kontinwità tan-negozju, ġestjoni tal-kriżijiet, sigurtà tal-katina tal-provvista, akkwist u manutenzjoni siguri, ġestjoni u żvelar tal-vulnerabbiltajiet, evalwazzjoni tal-effettività, iġjene ċibernetika, taħriġ, kontrolli kriptografiċi, sigurtà tar-riżorsi umani, kontroll tal-aċċess, ġestjoni tal-assi, MFA jew awtentikazzjoni kontinwa, komunikazzjonijiet siguri u komunikazzjonijiet ta’ emerġenza fejn xieraq.
Dawn ir-rekwiżiti jinstemgħu familjari għal tim ta’ ISO/IEC 27001:2022. Fl-OT, kull wieħed minnhom jaħdem b’mod differenti.
Vulnerabbiltà f’web server ħafna drabi tista’ tiġi indirizzata b’patch fi żmien jiem. Vulnerabbiltà f’kontrollur ta’ turbina tista’ teħtieġ verifika mill-fornitur, tieqa ta’ manutenzjoni, rieżami tas-sikurezza u proċeduri operattivi ta’ fallback. Laptop jista’ jinbena mill-ġdid. HMI tal-produzzjoni jista’ jiddependi fuq sistema operattiva legata għax l-applikazzjoni industrijali ma tkunx ġiet iċċertifikata għal pjattaforma aktar ġdida. Playbook tas-SOC jista’ jgħid “iżola l-host,” waqt li l-inġinier tal-OT iwieġeb, “mhux qabel inkunu nafu jekk l-iżolament jaffettwax il-kontroll tal-pressjoni.”
Id-differenza mhijiex teknika biss. L-IT tipikament tipprijoritizza l-kunfidenzjalità, l-integrità u d-disponibbiltà. L-OT tipprijoritizza d-disponibbiltà, l-integrità tal-proċess u s-sikurezza. Kontroll tas-sigurtà li jintroduċi latenza, jeħtieġ reboot jew jinterrompi proċess fiżiku jista’ ma jkunx aċċettabbli mingħajr approvazzjoni tal-inġinerija.
NIS2 ma jeżentax lill-OT mill-ġestjoni tar-riskju taċ-ċibersigurtà. Jistenna li l-organizzazzjoni turi li l-kontrolli huma xierqa għar-riskju u proporzjonati mar-realtà operattiva.
Il-munzell tal-kontrolli: NIS2, ISO/IEC 27001:2022, ISO/IEC 27002:2022 u IEC 62443
Programm difensibbli tas-sigurtà tal-OT taħt NIS2 jibda b’munzell ta’ kontrolli f’saffi.
ISO/IEC 27001:2022 jipprovdi s-sistema ta’ ġestjoni. Jeħtieġ li l-organizzazzjoni tiddefinixxi l-kuntest, il-partijiet interessati, l-obbligi regolatorji, il-kamp ta’ applikazzjoni tal-ISMS, l-interfaċċi u d-dipendenzi. Jeħtieġ ukoll sjieda mit-tmexxija, Politika tas-Sigurtà tal-Informazzjoni, valutazzjoni tar-riskju, trattament tar-riskju, Dikjarazzjoni ta’ Applikabbiltà, informazzjoni dokumentata, awditjar intern, rieżami mill-maniġment u titjib kontinwu.
ISO/IEC 27002:2022 jipprovdi l-vokabularju tal-kontrolli. Għall-OT, l-aktar kontrolli importanti ħafna drabi jinkludu s-sigurtà tal-fornituri, il-ġestjoni tar-riskju tal-katina tal-provvista tal-ICT, l-ippjanar tal-inċidenti, it-tħejjija tal-ICT għall-kontinwità tan-negozju, rekwiżiti legali u kuntrattwali, ġestjoni tal-assi, kontroll tal-aċċess, ġestjoni tal-vulnerabbiltajiet, backups, logging, monitoraġġ, sigurtà tan-netwerk u segregazzjoni tan-netwerks.
IEC 62443 jipprovdi l-mudell tal-inġinerija tas-sigurtà industrijali. Jgħin biex ir-rekwiżiti tas-sistema ta’ ġestjoni jiġu tradotti fi prattiki OT bħal żoni, conduits, livelli tas-sigurtà, responsabbiltajiet tas-sid tal-assi, responsabbiltajiet tal-integraturi tas-sistemi, aspettattivi tal-fornituri tal-prodotti, restrizzjonijiet fuq l-aċċess remot, l-inqas funzjonalità meħtieġa, ġestjoni tal-kontijiet, hardening u kontrolli tul iċ-ċiklu tal-ħajja.
Clarysec juża dan il-munzell għax jevita żewġ fallimenti komuni. L-ewwel, jipprevjeni li l-implimentazzjoni ISO ssir ġenerika wisq għall-OT. It-tieni, jipprevjeni li x-xogħol ta’ inġinerija IEC 62443 jinqata’ mir-responsabbiltà tal-bord, mill-obbligi ta’ rappurtar ta’ NIS2 u mill-evidenza tal-awditjar.
Il-Politika tas-Sigurtà IoT / OT ta’ Clarysec tiddikjara l-pont b’mod dirett:
Biex jiġi żgurat li l-implimentazzjonijiet kollha jkunu allinjati mal-kontrolli ta’ ISO/IEC 27001 u mal-gwida settorjali applikabbli (eż. IEC 62443, ISO 27019, NIST SP 800-82).
Din is-sentenza hija importanti. Il-politika mhijiex biss lista ta’ kontroll għall-hardening tal-apparati. Tgħaqqad il-governanza ISO, il-gwida settorjali tal-OT u s-sigurtà operattiva.
Ibda mill-kamp ta’ applikazzjoni: liema servizz OT għandu jiġi protett?
Qabel ma timmappja l-kontrolli, iddefinixxi s-servizz OT b’lingwa tan-negozju u regolatorja.
Maniġer tal-impjant jista’ jgħid, “Inħaddmu l-linja tal-ippakkjar.” Evalwazzjoni NIS2 għandha tgħid, “Dan il-proċess ta’ produzzjoni jappoġġja servizz essenzjali jew importanti u jiddependi fuq PLCs, HMIs, workstations tal-inġinerija, historians, switches industrijali, aċċess remot għall-fornituri, kuntrattur tal-manutenzjoni, feed ta’ analitika cloud u servizz tal-identità tal-intrapriża.”
Il-klawżoli 4.1 sa 4.4 ta’ ISO/IEC 27001:2022 huma utli għax jobbligaw lill-organizzazzjoni tidentifika kwistjonijiet interni u esterni, partijiet interessati, rekwiżiti legali u kuntrattwali, konfini tal-ISMS, interfaċċi u dipendenzi. Għas-sigurtà tal-OT taħt NIS2, dan ifisser li jiġi mmappjat mhux biss in-netwerk tal-kwartieri ġenerali iżda wkoll is-sistemi industrijali u d-dipendenzi tas-servizz li jaffettwaw il-kontinwità, is-sikurezza u t-twassil irregolat.
NIST CSF 2.0 isaħħaħ l-istess loġika. Il-funzjoni GOVERN tiegħu titlob fehim tal-missjoni, tal-partijiet interessati, tad-dipendenzi, tal-obbligi legali u regolatorji, tas-servizzi kritiċi u tas-servizzi li fuqhom tiddependi l-organizzazzjoni. Il-Profili Organizzazzjonali jipprovdu metodu prattiku biex jiġi definit l-istat attwali, jiġi definit stat fil-mira, jiġu analizzati l-lakuni u jinħoloq pjan ta’ azzjoni prijoritizzat.
Għal ambjent OT, Clarysec tipikament jibda b’ħames mistoqsijiet:
- Liema servizz irregolat jew kritiku jappoġġja dan l-ambjent OT?
- Liema assi OT, netwerks, flussi tad-data u partijiet terzi huma meħtieġa għal dak is-servizz?
- Liema limitazzjonijiet tas-sikurezza, tad-disponibbiltà u operattivi jaffettwaw il-kontrolli tas-sigurtà?
- Liema obbligi legali, kuntrattwali u settorjali japplikaw, inklużi NIS2, GDPR, DORA fejn rilevanti, kuntratti tal-klijenti u regoli nazzjonali?
- Liema partijiet tal-ambjent jinsabu ġewwa l-ISMS, u liema huma dipendenzi esterni li jeħtieġu kontrolli tal-fornituri?
Ħafna programmi NIS2 ifallu hawn. Jiddefinixxu l-kamp ta’ applikazzjoni madwar l-IT korporattiv għax huwa aktar faċli li jiġi inventarjat. L-awdituri u r-regolaturi mhux se jkunu impressjonati jekk l-aktar dipendenza kritika tas-servizz tidher biss bħala linja vaga msejħa “netwerk tal-fabbrika.”
Mappa prattika tal-kontrolli OT taħt NIS2
It-tabella ta’ hawn taħt turi kif temi ta’ Article 21 ta’ NIS2 jinbidlu f’evidenza ta’ ISO/IEC 27001:2022, ISO/IEC 27002:2022 u IEC 62443. Mhijiex sostitut għal valutazzjoni formali tar-riskju, iżda tagħti lis-CISOs, lill-maniġers OT u lit-timijiet tal-konformità punt ta’ tluq prattiku.
| Tħassib tas-sigurtà tal-OT | Tema ta’ Article 21 ta’ NIS2 | Punt ta’ ankraġġ ta’ ISO/IEC 27001:2022 u ISO/IEC 27002:2022 | Loġika ta’ implimentazzjoni IEC 62443 | Evidenza tipika |
|---|---|---|---|---|
| PLCs, HMIs, sensuri u stazzjonijiet tal-inġinerija mhux magħrufa | Analiżi tar-riskju, ġestjoni tal-assi | Kamp ta’ applikazzjoni tal-ISMS, valutazzjoni tar-riskju, kontrolli tal-assi u tal-konfigurazzjoni tal-Anness A | Inventarju tal-assi skont iż-żona, il-kritiċità tas-sistema u l-istatus taċ-ċiklu tal-ħajja | Reġistru tal-assi OT, dijagrammi tan-netwerk, assenjazzjonijiet tas-sidien, lista ta’ assi mhux appoġġjati |
| Netwerk tal-impjant ċatt | Prevenzjoni jew minimizzazzjoni tal-impatt tal-inċidenti | Sigurtà tan-netwerk u segregazzjoni tan-netwerks | Żoni u conduits li jisseparaw l-IT tal-intrapriża, l-OT, is-sikurezza u r-rotot tal-fornituri | Arkitettura tan-netwerk, regoli tal-firewall, VLANs, approvazzjonijiet tal-flussi tad-data |
| Aċċess remot tal-fornituri | Kontroll tal-aċċess, MFA, komunikazzjonijiet siguri, katina tal-provvista | Ftehimiet mal-fornituri, kontroll tal-aċċess, logging, monitoraġġ | Conduits ikkontrollati għall-aċċess remot, aċċess limitat fiż-żmien, jump servers, reġistrazzjoni tas-sessjonijiet | Approvazzjonijiet tal-aċċess tal-fornituri, logs tal-MFA, reġistri tas-sessjonijiet, klawżoli tal-fornituri |
| Sistemi legati li ma jistgħux jiġu aġġornati b’patches | Ġestjoni tal-vulnerabbiltajiet, manutenzjoni sigura | Ġestjoni tal-vulnerabbiltajiet tekniċi, trattament tar-riskju | Kontrolli kumpensatorji, iżolament, verifika mill-fornitur, twieqi ta’ manutenzjoni | Reġistru tal-Vulnerabbiltajiet, approvazzjonijiet tal-eċċezzjonijiet, evidenza ta’ kontrolli kumpensatorji |
| Anomaliji OT u kmandi suspettużi | Ġestjoni tal-inċidenti, sejbien | Logging, monitoraġġ, evalwazzjoni tal-avvenimenti u rispons għall-inċidenti | Monitoraġġ konxju mill-OT tal-protokolli, kmandi, bidliet tal-inġinerija u flussi anormali | Twissijiet IDS, logs tal-historian, tickets SIEM, reġistri tat-triage |
| Tfixkil tal-produzzjoni jew għeluq mhux sikur | Kontinwità tan-negozju u ġestjoni tal-kriżijiet | Tħejjija tal-ICT għall-kontinwità tan-negozju, backups u kontrolli tat-tfixkil | Proċeduri ta’ rkupru allinjati mas-sikurezza u mal-prijoritajiet tal-proċess | Testijiet ta’ restawr, backups offline, runbooks, rapporti ta’ tabletop |
| Akkwist industrijali mhux sigur | Akkwist sigur u katina tal-provvista | Riskju tal-fornitur, rekwiżiti tas-sigurtà fil-ftehimiet, katina tal-provvista tal-ICT | Rekwiżiti ta’ sigurtà mid-disinn għall-integraturi u għall-fornituri tal-prodotti | Lista ta’ kontroll tal-akkwist, rieżami tal-arkitettura, rekwiżiti tas-sigurtà |
Din il-mappa hija intenzjonalment iffukata fuq l-evidenza. Taħt NIS2, li tgħid “għandna segmentazzjoni” mhuwiex biżżejjed. Trid turi għaliex is-segmentazzjoni hija xierqa, kif hija implimentata, kif jiġu approvati l-eċċezzjonijiet u kif id-disinn inaqqas l-impatt fuq is-servizz irregolat.
Segmentazzjoni: l-ewwel kontroll tal-OT li se jittestjaw l-awdituri
Jekk l-inċident tas-02:17 kien jinvolvi attakkant li jiċċaqlaq minn laptop tal-uffiċċju għal workstation tal-inġinerija, l-ewwel mistoqsija tal-awditjar tkun ovvja: għaliex setgħet teżisti dik ir-rotta?
Il-Politika tas-Sigurtà IoT / OT hija espliċita:
Is-sistemi OT għandhom joperaw fi ħdan netwerks dedikati iżolati mill-IT tal-intrapriża u minn sistemi aċċessibbli mill-internet.
Għal ambjenti iżgħar, il-Politika tas-Sigurtà tal-Internet of Things (IoT) / Operational Technology (OT) - SME tagħti linja bażi prattika:
L-apparati kollha tal-Internet of Things (IoT) u tal-Operational Technology (OT) għandhom jitqiegħdu fuq netwerk Wi-Fi jew VLAN separat
Għal operatur matur tal-infrastruttura kritika, is-segmentazzjoni għandha tiġi ddisinjata madwar żoni u conduits OT. L-utenti tal-intrapriża ma għandhomx jaċċessaw direttament netwerks PLC. Il-konnessjonijiet tal-fornituri għandhom jintemmu f’żoni ta’ aċċess ikkontrollati. Ir-replikazzjoni tal-historian għandha tuża rotot approvati. Is-sistemi tas-sikurezza għandhom jiġu iżolati skont ir-riskju u r-rekwiżiti tal-inġinerija. Netwerks OT mingħajr fili għandhom ikunu ġġustifikati, imsaħħa u mmonitorjati.
Zenith Blueprint: pjan direzzjonali ta’ 30 pass għall-awdituri, fil-fażi Controls in Action, Step 20, jispjega l-prinċipju wara s-sigurtà tan-netwerk f’ISO/IEC 27002:2022:
Is-sistemi ta’ kontroll industrijali għandhom jiġu iżolati mit-traffiku tal-uffiċċju.
Iwissi wkoll li s-sigurtà tan-netwerk teħtieġ arkitettura sigura, segmentazzjoni, kontroll tal-aċċess, iċċifrar fi tranżitu, monitoraġġ u difiża f’diversi saffi.
F’Zenith Controls: il-gwida ta’ konformità trasversali, il-kontroll 8.22 ta’ ISO/IEC 27002:2022, Segregazzjoni tan-Netwerks, jiġi ttrattat bħala kontroll preventiv li jappoġġja l-kunfidenzjalità, l-integrità u d-disponibbiltà, allinjat mal-kunċett taċ-ċibersigurtà Protect, bis-sigurtà tas-sistema u tan-netwerk bħala l-kapaċità operattiva tiegħu u Protection bħala d-dominju tas-sigurtà tiegħu.
Dik il-klassifikazzjoni hija utli għall-evidenza NIS2 għax is-segmentazzjoni mhijiex dijagramma dekorattiva. Hija kontroll preventiv iddisinjat biex inaqqas ir-raġġ tal-impatt u jippreserva l-kontinwità tas-servizzi essenzjali.
Ġestjoni tal-vulnerabbiltajiet meta s-sistemi OT ma jistgħux sempliċement jiġu aġġornati b’patches
NIS2 teħtieġ akkwist, żvilupp u manutenzjoni siguri ta’ sistemi tan-netwerk u tal-informazzjoni, inkluż il-ġestjoni u ż-żvelar tal-vulnerabbiltajiet. Fl-IT, il-ġestjoni tal-vulnerabbiltajiet ħafna drabi tfisser skannjar, prijoritizzazzjoni, applikazzjoni ta’ patches u verifika. L-OT iżid limitazzjonijiet.
HMI kritiku jista’ jkun jista’ jiġi aġġornat b’patches biss waqt qtugħ ippjanat. Aġġornament tal-firmware ta’ PLC jista’ jeħtieġ involviment tal-fornitur. Sistema ċċertifikata għas-sikurezza tista’ titlef iċ-ċertifikazzjoni jekk tiġi modifikata b’mod mhux korrett. Xi apparati legati jista’ ma jkollhom ebda appoġġ mill-fornitur.
Zenith Blueprint, fil-fażi Controls in Action, Step 19, jipprovdi l-loġika tal-awditjar korretta għall-vulnerabbiltajiet tekniċi:
Għal sistemi li ma jistgħux jiġu patched immedjatament, forsi minħabba software legat jew restrizzjonijiet tal-ħin ta’ waqfien, implimenta kontrolli kumpensatorji. Dan jista’ jinkludi l-iżolament tas-sistema wara firewall, il-limitazzjoni tal-aċċess, jew iż-żieda fil-monitoraġġ. U f’kull każ, irreġistra u aċċetta r-riskju residwu formalment, biex turi li l-kwistjoni ma ġietx minsija.
Il-linja bażi tal-politika SME hija prattika bl-istess mod:
L-inventarju għandu jiġi rieżaminat kull tliet xhur biex jiġu identifikati apparati skaduti, mhux appoġġjati, jew mingħajr patches
F’Zenith Controls, il-kontroll 8.8 ta’ ISO/IEC 27002:2022, Ġestjoni tal-Vulnerabbiltajiet Tekniċi, huwa mmappjat bħala kontroll preventiv li jappoġġja l-kunfidenzjalità, l-integrità u d-disponibbiltà, allinjat ma’ Identify u Protect, bil-ġestjoni tat-theddid u tal-vulnerabbiltajiet bħala l-kapaċità operattiva tiegħu mad-dominji Governance, Ecosystem, Protection u Defense.
Fajl robust tal-vulnerabbiltajiet OT għandu jinkludi:
- Identifikatur tal-assi, sid, żona u kritiċità
- Sors tal-vulnerabbiltà, bħal avviż tal-fornitur, scanner, notifika tal-integratur jew threat intelligence
- Limitazzjonijiet tas-sikurezza u tad-disponibbiltà
- Fattibbiltà tal-patch u tieqa ta’ manutenzjoni ppjanata
- Kontrolli kumpensatorji, bħal iżolament, Listi ta’ Kontroll tal-Aċċess (ACLs), servizzi diżattivati jew monitoraġġ miżjud
- Approvazzjoni tas-Sid tar-riskju u aċċettazzjoni tar-riskju residwu
- Evidenza ta’ verifika wara r-rimedju jew l-implimentazzjoni tal-kontroll kumpensatorju
Dan ibiddel “ma nistgħux napplikaw patch” minn skuża għal trattament tar-riskju li jista’ jiġi awditjat.
Aċċess remot tal-fornituri: il-punt kritiku bejn NIS2 u IEC 62443
Il-biċċa l-kbira tal-inċidenti OT għandhom dimensjoni ta’ parti terza xi mkien. Kont ta’ fornitur. Laptop ta’ integratur. Għodda ta’ manutenzjoni remota. Kredenzjal kondiviż. Eċċezzjoni tal-firewall li kienet temporanja tliet snin ilu.
Article 21 ta’ NIS2 jinkludi b’mod espliċitu s-sigurtà tal-katina tal-provvista, vulnerabbiltajiet speċifiċi għall-fornituri, prattiki taċ-ċibersigurtà tal-fornituri u proċeduri ta’ żvilupp sigur. NIST CSF 2.0 huwa wkoll dettaljat fuq dan il-punt permezz tal-kritiċità tal-fornituri, rekwiżiti kuntrattwali, diliġenza dovuta, monitoraġġ kontinwu, koordinazzjoni tal-inċidenti u dispożizzjonijiet ta’ tmiem is-servizz.
Il-Politika tas-Sigurtà ta’ Partijiet Terzi u tal-Fornituri - SME ta’ Clarysec tiddikjara l-prinċipju b’lingwa ċara:
Il-fornituri għandhom jingħataw aċċess biss għas-sistemi u d-data minimi meħtieġa biex iwettqu l-funzjoni tagħhom.
Għall-OT, aċċess minimu jfisser aktar minn aċċess ibbażat fuq rwoli f’applikazzjoni. L-aċċess tal-fornituri għandu jkun:
- Approvata minn qabel għal għan ta’ manutenzjoni definit
- Limitat fiż-żmien u diżattivat b’mod predefinit
- Protett b’MFA jew awtentikazzjoni kontinwa fejn xieraq
- Imgħoddi minn jump host sigur jew pjattaforma kkontrollata ta’ aċċess remot
- Limitat għaż-żona jew l-assi OT rilevanti
- Illoggjat, immonitorjat u, għal aċċess ta’ riskju għoli, irreġistrat bħala sessjoni
- Rieżaminat wara t-tlestija
- Kopert minn obbligi kuntrattwali tas-sigurtà u tan-notifika tal-inċidenti
Il-Politika tas-Sigurtà IoT / OT tal-intrapriża tinkludi rekwiżit dedikat għall-aċċess remot:
Aċċess remot (għall-ġestjoni jew għas-servicing mill-fornitur) għandu:
Dik il-klawżola ssostni l-punt ta’ governanza, filwaqt li r-rekwiżiti dettaljati għandhom jiġu implimentati fil-proċeduri tal-aċċess, fil-ftehimiet mal-fornituri, fil-konfigurazzjoni teknika u fil-flussi tax-xogħol tal-monitoraġġ.
F’Zenith Controls, il-kontroll 5.21 ta’ ISO/IEC 27002:2022, Ġestjoni tas-sigurtà tal-informazzjoni fil-katina tal-provvista tal-ICT, huwa kklassifikat bħala kontroll preventiv li jappoġġja l-kunfidenzjalità, l-integrità u d-disponibbiltà, allinjat mal-kunċett Identify, bis-sigurtà tar-relazzjonijiet mal-fornituri bħala l-kapaċità operattiva tiegħu u Governance, Ecosystem u Protection bħala dominji.
Għall-OT, dak l-immappjar jgħin jispjega għaliex l-evidenza tal-aċċess remot tappartjeni fl-istess ħin fil-fajls tar-riskju tal-fornituri, tal-governanza tal-identità, tas-sigurtà tan-netwerk, tar-rispons għall-inċidenti u tal-kontinwità.
Rispons għall-inċidenti: l-arloġġ ta’ NIS2 jiltaqa’ mal-kamra tal-kontroll
Nerġgħu lura għall-allarm tas-02:17. L-organizzazzjoni trid tiddeċiedi jekk l-avveniment huwiex sinifikanti taħt NIS2. Article 23 jeħtieġ notifika mingħajr dewmien mhux dovut ta’ inċidenti sinifikanti li jaffettwaw il-provvista tas-servizz. Is-sekwenza tinkludi twissija bikrija fi żmien 24 siegħa minn meta jkun hemm għarfien, notifika ta’ inċident fi żmien 72 siegħa, aġġornamenti intermedji jekk jintalbu u rapport finali mhux aktar tard minn xahar wara n-notifika tal-inċident, jew rapport ta’ progress jekk l-inċident ikun għadu għaddej.
Fl-OT, ir-rispons għall-inċidenti għandu jwieġeb mistoqsijiet li l-playbooks tal-IT spiss jinjoraw:
- L-apparat affettwat jista’ jiġi iżolat mingħajr ma jinħoloq riskju għas-sikurezza?
- Min għandu l-awtorità jwaqqaf il-produzzjoni jew jaqleb għal modalità manwali?
- Liema logs huma volatili u jeħtieġu preservazzjoni immedjata?
- Liema fornitur jew integratur għandu jiġi kkuntattjat?
- L-avveniment huwa malizzjuż, aċċidentali, ambjentali jew ikkawżat minn konfigurazzjoni ħażina?
- Jista’ jkun hemm impatt transkonfinali jew impatt fuq ir-riċevituri tas-servizz?
- Hemm data personali involuta, bħal badge logs, CCTV, data tal-impjegati jew reġistri tas-servizz tal-klijenti?
Il-politika SME OT tagħti regola sempliċi għall-eskalazzjoni ta’ anomaliji:
Kwalunkwe anomalija għandha tiġi rrappurtata immedjatament lill-Maniġer Ġenerali għal azzjoni ulterjuri
Tinkludi wkoll prinċipju ta’ trażżin konxju mis-sikurezza:
L-apparat għandu jiġi skonnettjat min-network immedjatament, fejn ikun sikur li jsir hekk
Dawk l-aħħar ħames kelmiet huma kritiċi. Ir-rispons OT ma jistax jikkopja bl-addoċċ azzjonijiet ta’ trażżin tal-IT. “Fejn ikun sikur li jsir hekk” għandu jkun rifless fir-runbooks, fil-matriċijiet tal-eskalazzjoni, fit-taħriġ u fit-tabletop exercises.
| Stadju tal-inċident | Deċiżjoni speċifika għall-OT | Evidenza li għandha tinżamm |
|---|---|---|
| Sejbien | It-twissija hija anomalija operattiva, avveniment ċibernetiku, avveniment ta’ sikurezza jew avveniment kombinat? | Reġistru tat-twissija, nota tal-operatur, data tal-monitoraġġ, triage inizjali |
| Klassifikazzjoni | Tfixkil tas-servizz, telf finanzjarju jew impatt fuq oħrajn jista’ jagħmel l-avveniment sinifikanti? | Evalwazzjoni tas-severità, lista tas-servizzi affettwati, stima tal-impatt |
| Trażżin | L-iżolament jista’ jsir b’mod sikur, jew huwa meħtieġ trażżin kumpensatorju? | Approvazzjoni tal-inġinerija, log tal-azzjonijiet ta’ trażżin, evalwazzjoni tas-sikurezza |
| Notifika | Hija meħtieġa twissija bikrija fi żmien 24 siegħa u notifika fi żmien 72 siegħa? | Deċiżjoni ta’ rappurtar, komunikazzjoni mal-awtorità, approvazzjonijiet bit-timestamp |
| Irkupru | Liema sistemi għandhom jiġu rrestawrati l-ewwel biex jinżamm servizz sikur? | Runbook ta’ rkupru, validazzjoni tal-backup, verifika tal-assi rrestawrat |
| Lessons learned | Liema kontrolli fallew jew jeħtieġu titjib? | Analiżi tal-kawża ewlenija, pjan ta’ azzjoni korrettiva, aġġornament tar-Reġistru tar-Riskji |
NIST CSF 2.0 jaqbel sew hawn. Ir-riżultati Respond u Recover tiegħu jkopru triage, kategorizzazzjoni, eskalazzjoni, analiżi tal-kawża ewlenija, integrità tal-evidenza, notifika tal-partijiet interessati, trażżin, eradikazzjoni, restawr, kontrolli tal-integrità tal-backup u komunikazzjonijiet ta’ rkupru.
Ibni linja ta’ evidenza mir-riskju għall-kontroll
Mod prattiku biex tiġi evitata konformità frammentata huwa li tinbena linja waħda ta’ evidenza mir-riskju għar-regolament, għall-kontroll u għall-prova.
Xenarju: fornitur remot ta’ kompressur jeħtieġ aċċess għal workstation tal-inġinerija fin-netwerk OT. Il-workstation tista’ timmodifika l-loġika tal-PLC. Il-kont tal-fornitur huwa dejjem attiv, kondiviż minn diversi inġiniera tal-fornitur u protett biss b’password. Il-workstation tħaddem software li ma jistax jiġi aġġornat sat-tieqa ta’ manutenzjoni li jmiss.
Ikteb ix-xenarju tar-riskju fir-Reġistru tar-Riskji:
“Aċċess remot mhux awtorizzat jew kompromess tal-fornitur għal workstation tal-inġinerija OT jista’ jwassal għal bidliet mhux awtorizzati fil-loġika tal-PLC, tfixkil fil-produzzjoni, impatt fuq is-sikurezza u interruzzjoni tas-servizz li għandha tiġi rrappurtata taħt NIS2.”
Imbagħad immappja l-kontrolli u l-obbligi.
| Element tat-trattament tar-riskju | Immappjar magħżul |
|---|---|
| NIS2 | Article 21 sigurtà tal-katina tal-provvista, kontroll tal-aċċess, MFA, ġestjoni tal-inċidenti, kontinwità tan-negozju, ġestjoni tal-vulnerabbiltajiet |
| ISO/IEC 27001:2022 | Valutazzjoni tar-riskju, trattament tar-riskju, Dikjarazzjoni ta’ Applikabbiltà, sorveljanza mit-tmexxija, informazzjoni dokumentata |
| ISO/IEC 27002:2022 | Sigurtà tal-fornituri, katina tal-provvista tal-ICT, kontroll tal-aċċess, sigurtà tan-netwerk, segregazzjoni, logging, monitoraġġ, ġestjoni tal-vulnerabbiltajiet, rispons għall-inċidenti |
| IEC 62443 | Aċċess tal-fornitur permezz ta’ conduit ikkontrollat, ġestjoni tal-kontijiet, prinċipju tal-inqas privileġġ, iżolament taż-żoni, mira tal-livell tas-sigurtà għar-rotta ta’ aċċess remot |
| NIST CSF 2.0 | GV.SC governanza tal-fornituri, PR.AA identità u aċċess, DE.CM monitoraġġ, RS.MA ġestjoni tal-inċidenti, RC.RP irkupru |
| Evidenza | Proċedura tal-aċċess tal-fornituri, logs tal-MFA, konfigurazzjoni tal-jump server, regoli tal-firewall, reġistrazzjonijiet tas-sessjonijiet, klawżoli tal-kuntratti tal-fornituri, eċċezzjoni għall-vulnerabbiltà, test tabletop |
Il-pjan ta’ trattament għandu jiddiżattiva l-aċċess permanenti tal-fornituri, jeħtieġ identitajiet nominati tal-fornitur, jinforza MFA, jidderieġi l-aċċess minn jump server ikkontrollat, jillimita l-aċċess għall-workstation tal-inġinerija, jeħtieġ approvazzjoni ta’ ticket tal-manutenzjoni, jirreġistra sessjonijiet privileġġjati, jimmonitorja kmandi u traffiku anormali, jiddokumenta l-workstation mingħajr patch bħala eċċezzjoni għall-vulnerabbiltà u jittestja r-rispons għall-inċidenti għal attività suspettuża tal-fornitur.
Zenith Blueprint, fil-fażi Risk Management, Step 13, jagħti l-loġika tat-traċċabbiltà tas-SoA:
Agħmel referenzi inkroċjati għar-regolamenti: Jekk ċerti kontrolli jiġu implimentati speċifikament biex tkun konformi ma’ GDPR, NIS2, jew DORA, tista’ tinnota dan jew fir-Reġistru tar-Riskji (bħala parti mill-ġustifikazzjoni tal-impatt tar-riskju) jew fin-noti tas-SoA.
Il-lezzjoni prattika hija sempliċi. Tżommx l-evidenza NIS2, ISO u tal-inġinerija OT f’silos separati. Żid kolonni fir-Reġistru tar-Riskji u fis-SoA għat-tema ta’ Article 21 ta’ NIS2, il-kontroll ta’ ISO/IEC 27002:2022, il-familja tar-rekwiżiti IEC 62443, is-sid tal-evidenza u l-istatus tal-awditjar.
Fejn jidħlu GDPR u DORA fis-sigurtà tal-OT
Is-sigurtà tal-OT mhux dejjem tikkonċerna biss il-magni. Ambjenti tal-infrastruttura kritika ħafna drabi jipproċessaw data personali permezz ta’ CCTV, sistemi ta’ kontroll tal-aċċess, badge logs, sistemi tas-sikurezza tal-ħaddiema, tickets tal-manutenzjoni, traċċar tal-vetturi, sistemi tal-viżitaturi u pjattaformi tas-servizz tal-klijenti.
GDPR jeħtieġ li d-data personali tiġi pproċessata legalment, b’mod ġust u trasparenti, miġbura għal għanijiet speċifikati, limitata għal dak li hu meħtieġ, miżmuma preċiża, miżmuma biss sakemm ikun meħtieġ u protetta b’miżuri tekniċi u organizzattivi xierqa. Jeħtieġ ukoll responsabbiltà, jiġifieri l-kontrollur għandu jkun jista’ juri l-konformità.
Għall-OT, dan ifisser li l-logs tal-aċċess u r-reġistri tal-monitoraġġ ma għandhomx isiru repożitorju mhux ikkontrollat ta’ data ta’ sorveljanza. Iż-żamma, id-drittijiet tal-aċċess, il-limitazzjoni tal-għan u l-evalwazzjoni tal-ksur għandhom jiġu ddisinjati fil-logging u fil-monitoraġġ.
DORA jista’ japplika fejn ikunu involuti entitajiet finanzjarji, jew fejn fornitur ta’ servizzi tal-ICT terz jappoġġja r-reżiljenza operattiva fis-settur finanzjarju. DORA jkopri ġestjoni tar-riskju tal-ICT, rappurtar tal-inċidenti, ittestjar tar-reżiljenza u riskju ta’ partijiet terzi tal-ICT. Għal entitajiet finanzjarji li huma wkoll entitajiet essenzjali jew importanti taħt ir-regoli ta’ traspożizzjoni ta’ NIS2, DORA jista’ jaġixxi bħala r-reġim speċifiku għas-settur għal obbligi li jikkoinċidu, filwaqt li l-koordinazzjoni mal-awtoritajiet NIS2 tista’ tibqa’ rilevanti.
Japplikaw l-istess dixxiplini tal-evidenza: identifikazzjoni tal-assi, protezzjoni, sejbien, kontinwità, backup, riskju ta’ partijiet terzi, ittestjar, taħriġ u sorveljanza mill-maniġment.
Il-lenti tal-awditjar: kontroll wieħed, diversi perspettivi ta’ assigurazzjoni
Implimentazzjoni b’saħħitha tas-sigurtà tal-OT taħt NIS2 għandha tiflaħ diversi perspettivi ta’ awditjar.
| Lenti tal-awditur | Mistoqsija probabbli | Evidenza li taħdem |
|---|---|---|
| ISO/IEC 27001:2022 | L-OT jinsab fil-kamp ta’ applikazzjoni, u r-riskji OT huma evalwati, trattati u riflessi fis-SoA? | Kamp ta’ applikazzjoni tal-ISMS, Reġistru tar-Riskji, SoA, proċeduri dokumentati, kampjun tal-awditjar intern |
| Awtorità kompetenti NIS2 | Il-miżuri jipprevjenu jew jimminimizzaw l-impatt fuq servizzi essenzjali jew importanti? | Mappa tad-dipendenzi tas-servizz, immappjar ta’ Article 21, analiżi tal-impatt tal-inċident, approvazzjonijiet tal-maniġment |
| Speċjalist IEC 62443 | Iż-żoni, il-conduits u l-prattiki ta’ manutenzjoni sigura huma definiti u applikati? | Mudell taż-żoni, dijagrammi tal-conduits, regoli tal-firewall, rotot ta’ aċċess remot, kontrolli taċ-ċiklu tal-ħajja |
| Valutatur NIST CSF 2.0 | Il-programm jappoġġja r-riżultati GOVERN, IDENTIFY, PROTECT, DETECT, RESPOND u RECOVER? | Profil CSF, pjan tal-lakuni, reġistri tal-monitoraġġ, evidenza tar-rispons u tal-irkupru |
| Awditur COBIT 2019 jew ISACA | Is-sjieda, il-prestazzjoni u l-assigurazzjoni huma governati? | RACI, KPIs, approvazzjonijiet tat-tibdil, sejbiet tal-awditjar, traċċar tar-rimedjazzjoni |
Għalhekk Clarysec jittratta Zenith Controls bħala kumpass ta’ konformità trasversali. L-attributi tal-kontrolli tiegħu jgħinu jispjegaw l-għan tal-kontrolli uffiċjali ta’ ISO/IEC 27002:2022, filwaqt li l-approċċ tal-immappjar jgħaqqad dawk il-kontrolli ma’ NIS2, NIST CSF, governanza tal-fornituri, kontinwità u evidenza tal-awditjar.
Żbalji komuni fl-implimentazzjoni tal-OT taħt NIS2
L-aktar fallimenti komuni tas-sigurtà tal-OT rarament ikunu kkawżati minn nuqqas ta’ dokumenti. Ikunu kkawżati minn dokumenti li ma jaqblux mar-realtà tal-impjant.
Żball 1: L-IT għandu s-sjieda tal-programm NIS2, iżda l-OT għandu s-sjieda tar-riskju. L-operazzjonijiet, l-inġinerija, is-sikurezza u l-manutenzjoni għandhom ikunu involuti.
Żball 2: L-inventarju tal-assi jieqaf mas-servers. Inventarju OT għandu jinkludi PLCs, RTUs, HMIs, historians, workstations tal-inġinerija, switches industrijali, sensuri, gateways, apparati ta’ aċċess remot u komponenti ġestiti mill-fornitur.
Żball 3: Is-segmentazzjoni teżisti fuq dijagramma iżda mhux fir-regoli tal-firewall. L-awdituri se jitolbu evidenza tal-infurzar, tal-kontroll tat-tibdil u tal-monitoraġġ.
Żball 4: L-eċċezzjonijiet għall-vulnerabbiltajiet huma informali. Limitazzjonijiet legati huma aċċettabbli biss meta jkunu dokumentati, approvati, immonitorjati u rieżaminati mill-ġdid.
Żball 5: L-aċċess tal-fornituri jiġi ttrattat biss bħala kwistjoni tal-fornitur. Huwa wkoll kwistjoni ta’ kontroll tal-aċċess, logging, monitoraġġ, sigurtà tan-netwerk, rispons għall-inċidenti u kontinwità.
Żball 6: Ir-rispons għall-inċidenti jinjora s-sikurezza. Il-playbooks OT għandhom jiddefinixxu min jista’ jiżola apparati, iwaqqaf proċessi, ibiddel modi jew jikkuntattja regolaturi.
Żball 7: Ir-rappurtar NIS2 ma jiġix eżerċitat. Il-proċess ta’ deċiżjoni ta’ 24 siegħa u 72 siegħa għandu jiġi ttestjat qabel avveniment reali.
Il-mogħdija ta’ implimentazzjoni ta’ Clarysec mir-responsabbiltà tal-bord għall-evidenza OT
Implimentazzjoni prattika tas-sigurtà tal-OT taħt NIS2 tista’ ssegwi din is-sekwenza:
- Ikkonferma l-kamp ta’ applikazzjoni NIS2, il-klassifikazzjoni tal-entità u l-kritiċità tas-servizz.
- Iddefinixxi l-kamp ta’ applikazzjoni tal-OT ġewwa l-ISMS, inklużi l-interfaċċi u d-dipendenzi.
- Ibni inventarju tal-assi OT u tal-flussi tad-data.
- Identifika obbligi legali, kuntrattwali, tas-sikurezza, tal-privatezza u settorjali.
- Mexxi workshops ta’ valutazzjoni tar-riskju speċifiċi għall-OT mal-inġinerija, l-operazzjonijiet, l-IT, is-SOC, l-akkwist u l-maniġment.
- Immappja t-trattament tar-riskju mal-kontrolli ta’ ISO/IEC 27002:2022, mat-temi NIS2 u mal-mudelli ta’ implimentazzjoni IEC 62443.
- Aġġorna d-Dikjarazzjoni ta’ Applikabbiltà bil-ġustifikazzjoni tal-OT u bis-sidien tal-evidenza.
- Implimenta kontrolli prijoritarji: segmentazzjoni, aċċess tal-fornituri, ġestjoni tal-vulnerabbiltajiet, monitoraġġ, backups u rispons għall-inċidenti.
- Aġġorna l-politiki u l-proċeduri, inklużi s-sigurtà tal-OT, is-sigurtà tal-fornituri, l-aċċess remot, ir-rispons għall-inċidenti u l-kontinwità tan-negozju.
- Mexxi eżerċizzji tabletop u eżerċizzji ta’ verifika teknika.
- Ipprepara pakketti ta’ awditjar għal NIS2, ISO/IEC 27001:2022, assigurazzjoni tal-klijenti u governanza interna.
- Daħħal is-sejbiet fir-rieżami mill-maniġment u fit-titjib kontinwu.
Dan jirrifletti l-mudell operattiv f’Zenith Blueprint, b’mod partikolari Step 13 għat-trattament tar-riskju u t-traċċabbiltà tas-SoA, Step 14 għall-iżvilupp tal-politiki u referenzi inkroċjati regolatorji, Step 19 għall-ġestjoni tal-vulnerabbiltajiet u Step 20 għas-sigurtà tan-netwerk.
L-istess approċċ juża l-politiki ta’ Clarysec biex ibiddel il-lingwa tal-oqfsa f’regoli operattivi. Il-Politika tas-Sigurtà IoT / OT tal-intrapriża teħtieġ rieżami tal-arkitettura tas-sigurtà qabel it-tqegħid fis-servizz:
L-apparati ġodda kollha IoT/OT għandhom jgħaddu minn Rieżami tal-Arkitettura tas-Sigurtà qabel it-tqegħid fis-servizz. Dan ir-rieżami għandu jivverifika:
Tgħid ukoll:
It-traffiku kollu fi ħdan u bejn netwerks IoT/OT għandu jiġi mmonitorjat kontinwament bl-użu ta’:
Dawn il-klawżoli joħolqu ankri ta’ governanza. Evidenza ta’ implimentazzjoni tista’ tinkludi twissijiet IDS OT, logs tal-firewall, korrelazzjoni SIEM, profili tat-traffiku tal-linja bażi, tickets tal-anomaliji u reġistri tar-rispons.
Kif tidher evidenza OT tajba taħt NIS2
Pakkett ta’ evidenza OT taħt NIS2 għandu jkun prattiku biżżejjed għall-inġiniera u strutturat biżżejjed għall-awdituri.
Għas-segmentazzjoni, inkludi arkitettura approvata, dijagrammi taż-żoni u tal-conduits, esportazzjonijiet tar-regoli tal-firewall, reġistri tat-tibdil, rieżamijiet perjodiċi tar-regoli, reġistri tal-eċċezzjonijiet u twissijiet tal-monitoraġġ.
Għall-aċċess tal-fornituri, inkludi evalwazzjoni tal-kritiċità tal-fornitur, klawżoli tal-kuntratt, proċedura approvata tal-aċċess, kontijiet ta’ utenti nominati, evidenza tal-MFA, logs tal-aċċess, reġistrazzjonijiet tas-sessjonijiet, rieżami perjodiku tal-aċċess u reġistri ta’ offboarding.
Għall-ġestjoni tal-vulnerabbiltajiet, inkludi inventarju, sorsi ta’ avviżi, outputs ta’ discovery passiv, tickets tal-vulnerabbiltajiet, pjanijiet tal-patches, kontrolli kumpensatorji, aċċettazzjoni tar-riskju u evidenza tal-għeluq.
Għar-rispons għall-inċidenti, inkludi playbooks, kuntatti ta’ eskalazzjoni, siġra tad-deċiżjonijiet għar-rappurtar NIS2, riżultati ta’ tabletop, tickets tal-inċidenti, abbozzi ta’ notifika lill-awtorità, regoli għall-ġestjoni tal-evidenza u lessons learned.
Għall-kontinwità, inkludi strateġija tal-backup OT, backups offline jew protetti, riżultati ta’ testijiet ta’ restawr, lista ta’ spare parts kritiċi, proċeduri operattivi manwali, prijoritajiet tal-irkupru u pjanijiet ta’ komunikazzjoni tal-kriżijiet.
Għall-governanza, inkludi approvazzjoni mill-bord jew mill-maniġment, assenjazzjoni tar-rwoli, reġistri tat-taħriġ, riżultati tal-awditjar intern, KPIs, minuti tar-rieżami tar-riskju u deċiżjonijiet tar-rieżami mill-maniġment.
Dan il-mudell ta’ evidenza jallinja ma’ ISO/IEC 27001:2022 għax jappoġġja t-trattament tar-riskju, l-informazzjoni dokumentata, l-evalwazzjoni tal-prestazzjoni u t-titjib kontinwu. Jallinja ma’ NIS2 għax juri miżuri xierqa u proporzjonati. Jallinja ma’ IEC 62443 għax jista’ jiġi traċċat lejn l-arkitettura OT u l-kontrolli tal-inġinerija.
Ibdel il-programm tas-sigurtà OT tiegħek f’tħejjija NIS2 awditjabbli
Jekk l-ambjent OT tiegħek jappoġġja servizz kritiku jew irregolat, li tistenna regolatur, klijent jew inċident jikxef il-lakuni hija strateġija żbaljata.
Ibda b’każ ta’ użu wieħed b’impatt għoli: aċċess remot tal-fornituri għal żona OT kritika, ġestjoni tal-vulnerabbiltajiet għal assi industrijali mhux appoġġjati, jew segmentazzjoni bejn l-IT tal-intrapriża u l-OT. Ibni x-xenarju tar-riskju, immappjah ma’ NIS2 Article 21, agħżel kontrolli ta’ ISO/IEC 27002:2022, ittraduċihom f’mudelli ta’ implimentazzjoni IEC 62443 u iġbor l-evidenza.
Clarysec jista’ jgħinek tħaffef dan ix-xogħol b’Zenith Blueprint, Zenith Controls, il-Politika tas-Sigurtà IoT / OT, il-Politika tas-Sigurtà tal-Internet of Things (IoT) / Operational Technology (OT) - SME u l-Politika tas-Sigurtà ta’ Partijiet Terzi u tal-Fornituri - SME.
L-azzjoni li jmiss tiegħek: agħżel servizz OT wieħed, immappja l-assi u d-dipendenzi tiegħu, u oħloq linja ta’ evidenza mir-riskju għall-kontroll din il-ġimgħa. Jekk trid mogħdija strutturata ta’ implimentazzjoni, il-pjan direzzjonali ta’ 30 pass u t-toolkit ta’ konformità trasversali ta’ Clarysec jistgħu jbiddlu dik l-ewwel linja fi programm sħiħ ta’ sigurtà OT taħt NIS2.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
