Varnost OT po NIS2: preslikava ISO 27001 in IEC 62443

Ob 02:17 v ponedeljek operater obrata za pripravo vode prejme alarm iz dozirnega sistema. Dovod kemikalij je še vedno znotraj varnostnih meja, vendar en PLC poroča o nepravilnih ukazih, inženirska delovna postaja prikazuje neuspešne prijave iz dobaviteljevega VPN računa, dežurni analitik SOC pa postavlja vprašanje, na katero nihče noče odgovarjati pod pritiskom.

Ali gre za incident IT, incident OT, varnostni dogodek ali pomemben incident, o katerem je treba poročati po NIS2?

Obrat ima požarne zidove. Ima dokumentacijo ISO. Ima preglednico dobaviteljev. Ima celo načrt odzivanja na incidente. Vendar je bil načrt napisan za kompromitacijo e-pošte in izpade v oblaku, ne za zastarel krmilnik, za katerega med proizvodnjo ni mogoče namestiti popravkov, dobavitelja, ki potrebuje oddaljeni dostop za obnovitev storitve, in regulatorja, ki pričakuje dokazila znotraj rokov poročanja po NIS2.

Enaka težava se pojavlja v sejnih sobah uprav. CISO pri regionalnem ponudniku energije ima lahko certificiran sistem upravljanja informacijske varnosti po ISO/IEC 27001:2022 za korporativni IT, medtem ko okolje operativne tehnologije ostaja preplet PLC, RTU, HMI, sistemov historian, inženirskih delovnih postaj, industrijskih stikal in poti dostopa dobaviteljev. Vprašanje generalnega direktorja je preprosto: »Ali smo pokriti? Ali lahko to dokažete?«

Za številne bistvene in pomembne subjekte je pošten odgovor neprijeten. Delno so pokriti. Delno lahko to dokažejo. Toda varnost OT po NIS2 zahteva več kot generično skladnost IT.

Zahteva enoten operativni model, ki povezuje upravljanje po ISO/IEC 27001:2022, jezik kontrol po ISO/IEC 27002:2022, industrijske inženirske prakse IEC 62443, ukrepe za obvladovanje tveganj kibernetske varnosti iz člena 21 NIS2 in dokazila za poročanje o incidentih iz člena 23 NIS2.

Ta vodnik vzpostavlja prav ta most.

Zakaj se varnost OT po NIS2 razlikuje od običajne skladnosti IT

NIS2 velja za številne javne in zasebne subjekte, ki v EU zagotavljajo storitve s področja uporabe direktive, vključno z bistvenimi in pomembnimi subjekti v sektorjih, kot so energija, promet, bančništvo, infrastruktura finančnih trgov, zdravstvo, pitna voda, odpadne vode, digitalna infrastruktura, upravljanje storitev IKT, javna uprava, vesolje, poštne storitve, ravnanje z odpadki, proizvodnja, kemikalije, hrana, digitalni ponudniki in raziskave.

Direktiva zahteva ustrezne in sorazmerne tehnične, operativne in organizacijske ukrepe za obvladovanje kibernetskih tveganj, preprečevanje ali zmanjšanje vpliva incidentov ter zaščito neprekinjenosti storitev. Člen 21 vključuje pristop na podlagi vseh nevarnosti, ki zajema analizo tveganj, varnostne politike, obravnavanje incidentov, neprekinjeno poslovanje, krizno upravljanje, varnost dobavne verige, varno nabavo in vzdrževanje, obravnavo in razkrivanje ranljivosti, oceno učinkovitosti, kibernetsko higieno, usposabljanje, kriptografijo, kadrovsko varnost, nadzor dostopa, upravljanje sredstev, MFA ali neprekinjeno avtentikacijo, varne komunikacije in, kjer je ustrezno, komunikacije v sili.

Te zahteve se ekipi ISO/IEC 27001:2022 zdijo znane. V OT se vsaka od njih obnaša drugače.

Ranljivost spletnega strežnika je pogosto mogoče odpraviti v nekaj dneh. Ranljivost krmilnika turbine lahko zahteva potrditev dobavitelja, okno vzdrževanja, varnostni pregled in nadomestne operativne postopke. Prenosnik je mogoče ponovno namestiti. Produkcijski HMI je lahko odvisen od zastarelega operacijskega sistema, ker industrijska aplikacija ni certificirana za novejšo platformo. Odzivni priročnik SOC lahko določa »izoliraj gostitelja«, medtem ko inženir OT odgovori: »ne, dokler ne vemo, ali izolacija vpliva na nadzor tlaka«.

Razlika ni samo tehnična. IT običajno daje prednost zaupnosti, celovitosti in razpoložljivosti. OT daje prednost razpoložljivosti, celovitosti procesa in varnosti ljudi ter procesa. Varnostna kontrola, ki uvaja zakasnitev, zahteva ponovni zagon ali prekine fizični proces, je lahko nesprejemljiva brez inženirske odobritve.

NIS2 OT ne izvzema iz obvladovanja tveganj kibernetske varnosti. Od organizacije pričakuje, da dokaže, da so kontrole ustrezne glede na tveganje in sorazmerne z operativno realnostjo.

Sklad kontrol: NIS2, ISO/IEC 27001:2022, ISO/IEC 27002:2022 in IEC 62443

Zagovorljiv program varnosti OT po NIS2 se začne s plastnim skladom kontrol.

ISO/IEC 27001:2022 zagotavlja sistem upravljanja. Od organizacije zahteva, da opredeli kontekst, zainteresirane strani, regulativne obveznosti, obseg ISMS, vmesnike in odvisnosti. Zahteva tudi zavezanost vodstva, politiko informacijske varnosti, oceno tveganja, obravnavo tveganja, izjavo o uporabnosti, dokumentirane informacije, notranjo presojo, vodstveni pregled in nenehno izboljševanje.

ISO/IEC 27002:2022 zagotavlja besednjak kontrol. Za OT med najpomembnejše kontrole pogosto spadajo varnost dobaviteljev, upravljanje tveganj v dobavni verigi IKT, načrtovanje incidentov, pripravljenost IKT za neprekinjeno poslovanje, zakonske in pogodbene zahteve, upravljanje sredstev, nadzor dostopa, upravljanje ranljivosti, varnostne kopije, beleženje, spremljanje, varnost omrežja in ločevanje omrežij.

IEC 62443 zagotavlja industrijski model varnostnega inženiringa. Pomaga prevesti zahteve sistema upravljanja v prakse OT, kot so cone, kanali, varnostne ravni, odgovornosti lastnika sredstva, odgovornosti sistemskega integratorja, pričakovanja do dobaviteljev proizvodov, omejitve oddaljenega dostopa, načelo najmanjše funkcionalnosti, upravljanje računov, utrjevanje in kontrole življenjskega cikla.

Clarysec uporablja ta sklad, ker preprečuje dve pogosti napaki. Prvič, preprečuje, da bi implementacija ISO postala preveč generična za OT. Drugič, preprečuje, da bi inženirsko delo po IEC 62443 ostalo nepovezano z odgovornostjo upravnega odbora, obveznostmi poročanja po NIS2 in revizijskimi dokazili.

Clarysecova Politika varnosti IoT/OT neposredno opredeli ta most:

Zagotoviti, da so vse uvedbe usklajene s kontrolami ISO/IEC 27001 in veljavnimi sektorskimi smernicami (npr. IEC 62443, ISO 27019, NIST SP 800-82).

Ta stavek je pomemben. Politika ni zgolj kontrolni seznam za utrjevanje naprav. Povezuje upravljanje ISO, sektorske smernice OT in operativno varnost.

Začnite z obsegom: katero storitev OT je treba zaščititi?

Pred preslikavo kontrol je treba storitev OT opredeliti v poslovnem in regulativnem jeziku.

Vodja obrata lahko reče: »Upravljamo pakirno linijo.« Presoja NIS2 mora povedati: »Ta proizvodni proces podpira bistveno ali pomembno storitev in je odvisen od PLC, HMI, inženirskih delovnih postaj, sistemov historian, industrijskih stikal, oddaljenega dostopa dobaviteljev, izvajalca vzdrževanja, analitičnega toka iz oblaka in korporativne storitve identitet.«

Klavzule ISO/IEC 27001:2022 od 4.1 do 4.4 so uporabne, ker organizacijo prisilijo k identifikaciji notranjih in zunanjih vprašanj, zainteresiranih strani, zakonskih in pogodbenih zahtev, meja ISMS, vmesnikov in odvisnosti. Za varnost OT po NIS2 to pomeni preslikavo ne le omrežja sedeža podjetja, temveč tudi industrijskih sistemov in odvisnosti storitev, ki vplivajo na neprekinjenost, varnost in regulirano izvajanje storitev.

NIST CSF 2.0 utrjuje isto logiko. Njegova funkcija GOVERN zahteva razumevanje poslanstva, deležnikov, odvisnosti, pravnih in regulativnih obveznosti, kritičnih storitev in storitev, od katerih je organizacija odvisna. Organizacijski profili zagotavljajo praktično metodo za opredelitev trenutnega stanja, določitev ciljnega stanja, analizo vrzeli in pripravo prednostnega akcijskega načrta.

Za okolje OT Clarysec običajno začne s petimi vprašanji:

1. Katero regulirano ali kritično storitev podpira to okolje OT?
2. Katera sredstva OT, omrežja, podatkovni tokovi in tretje osebe so potrebni za to storitev?
3. Katere varnostne, razpoložljivostne in operativne omejitve vplivajo na varnostne kontrole?
4. Katere pravne, pogodbene in sektorske obveznosti veljajo, vključno z NIS2, GDPR, DORA, kjer je relevantno, pogodbami s strankami in nacionalnimi pravili?
5. Kateri deli okolja so znotraj ISMS in katere zunanje odvisnosti zahtevajo kontrole dobaviteljev?

Številni programi NIS2 odpovejo prav tukaj. Obseg določijo okoli korporativnega IT, ker ga je lažje popisati. Presojevalci in regulatorji ne bodo navdušeni, če se najkritičnejša odvisnost storitve pojavi le kot nejasna postavka »tovarniško omrežje«.

Praktična preslikava kontrol OT po NIS2

Spodnja tabela prikazuje, kako teme člena 21 NIS2 pretvoriti v dokazila za ISO/IEC 27001:2022, ISO/IEC 27002:2022 in IEC 62443. Ne nadomešča formalne ocene tveganja, vendar CISO, vodjem OT in ekipam za skladnost daje praktično izhodišče.

Ta preslikava je namenoma osredotočena na dokazila. Po NIS2 izjava »imamo segmentacijo« ne zadostuje. Pokazati morate, zakaj je segmentacija ustrezna, kako je izvedena, kako se odobrijo izjeme in kako zasnova zmanjšuje vpliv na regulirano storitev.

Segmentacija: prva kontrola OT, ki jo bodo presojevalci preverili

Če je incident ob 02:17 vključeval premik napadalca iz pisarniškega prenosnika na inženirsko delovno postajo, bi bilo prvo revizijsko vprašanje očitno: zakaj je lahko taka pot sploh obstajala?

Politika varnosti IoT/OT je izrecna:

Sistemi OT morajo delovati v namenskih omrežjih, izoliranih od korporativnega IT in sistemov, izpostavljenih internetu.

Za manjša okolja Politika varnosti interneta stvari (IoT) / operativne tehnologije (OT) - SME določa praktično izhodišče:

Vse naprave interneta stvari (IoT) in operativne tehnologije (OT) morajo biti nameščene v ločenem omrežju Wi-Fi ali VLAN.

Pri zrelem operaterju kritične infrastrukture mora biti segmentacija zasnovana okoli con in kanalov OT. Korporativni uporabniki ne smejo neposredno dostopati do omrežij PLC. Povezave dobaviteljev se morajo zaključevati v nadzorovanih dostopnih conah. Replikacija podatkov historian mora uporabljati odobrene poti. Varnostni sistemi morajo biti izolirani glede na tveganje in inženirske zahteve. Brezžična omrežja OT morajo biti utemeljena, utrjena in spremljana.

Zenith Blueprint: 30-koračni načrt za presojevalce v fazi Controls in Action, korak 20, pojasnjuje načelo za varnost omrežij po ISO/IEC 27002:2022:

Industrijski krmilni sistemi morajo biti izolirani od pisarniškega prometa.

Opozarja tudi, da varnost omrežja zahteva varno arhitekturo, segmentacijo, nadzor dostopa, šifriranje podatkov med prenosom, spremljanje in večplastno obrambo.

V Zenith Controls: vodnik za navzkrižno skladnost je kontrola ISO/IEC 27002:2022 8.22, Ločevanje omrežij, obravnavana kot preventivna kontrola, ki podpira zaupnost, celovitost in razpoložljivost, je usklajena s konceptom kibernetske varnosti Protect ter ima varnost sistemov in omrežij kot operativno zmožnost in zaščito kot varnostno domeno.

Ta razvrstitev je uporabna za dokazila NIS2, ker segmentacija ni dekorativni diagram. Je preventivna kontrola, zasnovana za zmanjšanje obsega škode in ohranjanje neprekinjenosti bistvene storitve.

Upravljanje ranljivosti, kadar za sisteme OT ni mogoče preprosto namestiti popravkov

NIS2 zahteva varno nabavo, razvoj in vzdrževanje omrežnih in informacijskih sistemov, vključno z obravnavo in razkritjem ranljivosti. V IT upravljanje ranljivosti pogosto pomeni skeniranje, določanje prioritet, nameščanje popravkov in preverjanje. OT dodaja omejitve.

Kritični HMI je morda mogoče posodobiti le med načrtovanim izpadom. Posodobitev vdelane programske opreme PLC lahko zahteva sodelovanje dobavitelja. Varnostno certificiran sistem lahko ob nepravilni spremembi izgubi certifikacijo. Nekatere zastarele naprave morda sploh nimajo podpore dobavitelja.

Zenith Blueprint, faza Controls in Action, korak 19, podaja pravilno revizijsko logiko za tehnične ranljivosti:

Za sisteme, ki jih ni mogoče takoj popraviti, na primer zaradi zastarele programske opreme ali omejitev izpadov, uvedite kompenzacijske kontrole. To lahko vključuje izolacijo sistema za požarnim zidom, omejitev dostopa ali povečano spremljanje. V vseh primerih pa zabeležite in formalno sprejmite preostalo tveganje, s čimer pokažete, da zadeva ni pozabljena.

Izhodišče politike za SME je podobno praktično:

Popis je treba pregledati četrtletno, da se prepoznajo zastarele, nepodprte ali nepopravljene naprave.

V Zenith Controls je kontrola ISO/IEC 27002:2022 8.8, Upravljanje tehničnih ranljivosti, preslikana kot preventivna kontrola, ki podpira zaupnost, celovitost in razpoložljivost, je usklajena s konceptoma Identify in Protect ter ima upravljanje groženj in ranljivosti kot operativno zmožnost v domenah upravljanje, ekosistem, zaščita in obramba.

Kakovosten register ranljivosti OT mora vključevati:

• identifikator sredstva, lastnika, cono in kritičnost;
• vir ranljivosti, kot so obvestilo dobavitelja, skener, obvestilo integratorja ali obveščevalni podatki o grožnjah;
• varnostne in razpoložljivostne omejitve;
• izvedljivost popravka in načrtovano okno vzdrževanja;
• kompenzacijske kontrole, kot so izolacija, seznami za nadzor dostopa, onemogočene storitve ali povečano spremljanje;
• odobritev lastnika tveganja in sprejem preostalega tveganja;
• dokazila o preverjanju po odpravi ali implementaciji kompenzacijske kontrole.

S tem se »ne moremo namestiti popravka« spremeni iz izgovora v preverljivo obravnavo tveganja.

Oddaljeni dostop dobaviteljev: prelomna točka med NIS2 in IEC 62443

Večina incidentov OT ima nekje dimenzijo tretje osebe. Dobaviteljski račun. Prenosnik integratorja. Orodje za oddaljeno vzdrževanje. Skupna poverilnica. Izjema požarnega zidu, ki je bila začasna pred tremi leti.

Člen 21 NIS2 izrecno vključuje varnost dobavne verige, ranljivosti, specifične za dobavitelje, prakse kibernetske varnosti dobaviteljev in postopke varnega razvoja. NIST CSF 2.0 je pri tej temi prav tako podroben, in sicer prek kritičnosti dobaviteljev, pogodbenih zahtev, skrbnega pregleda, stalnega spremljanja, koordinacije incidentov in izstopnih določil.

Clarysecova Politika varnosti tretjih oseb in dobaviteljev - SME načelo opredeli preprosto:

Dobaviteljem se mora dodeliti dostop samo do minimalnih sistemov in podatkov, ki so potrebni za izvedbo njihove funkcije.

Za OT minimalni dostop pomeni več kot dostop na podlagi vlog v aplikaciji. Dostop dobaviteljev mora biti:

• vnaprej odobren za opredeljen namen vzdrževanja;
• časovno omejen in privzeto onemogočen;
• zaščiten z MFA ali neprekinjeno avtentikacijo, kjer je ustrezno;
• usmerjen prek varnega odskočnega gostitelja ali nadzorovane platforme za oddaljeni dostop;
• omejen na relevantno cono ali sredstvo OT;
• zabeležen, spremljan in, pri dostopu z visokim tveganjem, podprt s snemanjem sej;
• pregledan po zaključku;
• zajet s pogodbenimi varnostnimi obveznostmi in obveznostmi obveščanja o incidentih.

Korporativna Politika varnosti IoT/OT vključuje namensko zahtevo za oddaljeni dostop:

Oddaljeni dostop (za upravljanje ali servisiranje s strani dobaviteljev) mora:

Ta klavzula sidra točko upravljanja, podrobne zahteve pa morajo biti implementirane v postopkih dostopa, sporazumih z dobavitelji, tehnični konfiguraciji in delovnih tokovih spremljanja.

V Zenith Controls je kontrola ISO/IEC 27002:2022 5.21, Upravljanje informacijske varnosti v dobavni verigi IKT, razvrščena kot preventivna kontrola, ki podpira zaupnost, celovitost in razpoložljivost, je usklajena s konceptom Identify ter ima varnost odnosov z dobavitelji kot operativno zmožnost in upravljanje, ekosistem ter zaščito kot domene.

Za OT ta preslikava pomaga pojasniti, zakaj dokazila o oddaljenem dostopu hkrati sodijo v mape tveganj dobaviteljev, upravljanja identitet, varnosti omrežja, odziva na incidente in neprekinjenosti.

Odziv na incidente: ura NIS2 v nadzorni sobi

Vrnimo se k alarmu ob 02:17. Organizacija mora odločiti, ali je dogodek po NIS2 pomemben. Člen 23 zahteva obvestilo brez nepotrebnega odlašanja o pomembnih incidentih, ki vplivajo na izvajanje storitev. Zaporedje vključuje zgodnje opozorilo v 24 urah od seznanitve, obvestilo o incidentu v 72 urah, vmesne posodobitve, če so zahtevane, in končno poročilo najpozneje en mesec po obvestilu o incidentu oziroma poročilo o napredku, če incident še traja.

V OT mora odziv na incidente odgovoriti na vprašanja, ki jih odzivni priročniki IT pogosto prezrejo:

• Ali je mogoče prizadeto napravo izolirati brez ustvarjanja varnostnega tveganja?
• Kdo ima pooblastilo za ustavitev proizvodnje ali preklop v ročni način?
• Kateri dnevniki so hlapljivi in jih je treba takoj ohraniti?
• Katerega dobavitelja ali integratorja je treba kontaktirati?
• Ali je dogodek zlonameren, naključen, okoljski ali posledica napačne konfiguracije?
• Ali bi lahko imel čezmejni vpliv ali vpliv na prejemnike storitev?
• Ali so vključeni osebni podatki, kot so dnevniki dostopnih kartic, CCTV, podatki zaposlenih ali evidence storitev za stranke?

Politika OT za SME določa preprosto pravilo eskalacije anomalij:

Vse anomalije je treba nemudoma prijaviti generalnemu direktorju za nadaljnje ukrepanje.

Vključuje tudi načelo zajezitve ob upoštevanju varnosti:

Napravo je treba nemudoma odklopiti iz omrežja, kjer je to varno izvedljivo.

Zadnjih pet besed je ključnih. Odziv OT ne sme slepo kopirati ukrepov zajezitve IT. »Kjer je to varno izvedljivo« mora biti odraženo v operativnih priročnikih za obnovitev, matrikah eskalacije, usposabljanju in namiznih vajah.

NIST CSF 2.0 se tukaj dobro preslika. Njegovi izidi Respond in Recover zajemajo triažo, razvrščanje, eskalacijo, analizo temeljnega vzroka, celovitost dokazov, obveščanje deležnikov, zajezitev, odstranitev, obnovitev, preverjanja celovitosti varnostnih kopij in komunikacije ob obnovitvi.

Zgradite dokazno linijo od tveganja do kontrole

Praktičen način za preprečevanje razdrobljene skladnosti je vzpostavitev ene dokazne linije od tveganja prek predpisa in kontrole do dokazila.

Scenarij: dobavitelj oddaljenega kompresorja potrebuje dostop do inženirske delovne postaje v omrežju OT. Delovna postaja lahko spreminja logiko PLC. Dobaviteljski račun je vedno omogočen, uporablja ga več inženirjev dobavitelja in je zaščiten samo z geslom. Na delovni postaji teče programska oprema, ki je ni mogoče nadgraditi do naslednjega vzdrževalnega izpada.

Scenarij tveganja zapišite v register tveganj:

»Nepooblaščen ali kompromitiran oddaljeni dostop dobavitelja do inženirske delovne postaje OT bi lahko povzročil nepooblaščene spremembe logike PLC, motnjo proizvodnje, vpliv na varnost in prekinitev storitve, o kateri je treba poročati po NIS2.«

Nato preslikajte kontrole in obveznosti.

Načrt obravnave tveganja mora onemogočiti stalni dostop dobaviteljev, zahtevati imenovane identitete dobaviteljev, uveljaviti MFA, usmeriti dostop prek nadzorovanega odskočnega strežnika, omejiti dostop na inženirsko delovno postajo, zahtevati odobritev zahtevka za vzdrževanje, snemati privilegirane seje, spremljati ukaze in nenormalni promet, dokumentirati nepopravljeno delovno postajo kot izjemo glede ranljivosti ter testirati odziv na incidente za sumljivo dejavnost dobavitelja.

Zenith Blueprint, faza Risk Management, korak 13, podaja logiko sledljivosti SoA:

Navzkrižno sklicevanje na predpise: če so določene kontrole implementirane posebej za skladnost z GDPR, NIS2 ali DORA, lahko to navedete v registru tveganj (kot del utemeljitve vpliva tveganja) ali v opombah SoA.

Praktičen nauk je preprost. Dokazil NIS2, ISO in inženirskih dokazil OT ne hranite v ločenih silosih. V register tveganj in SoA dodajte stolpce za temo člena 21 NIS2, kontrolo ISO/IEC 27002:2022, družino zahtev IEC 62443, lastnika dokazil in status presoje.

Kam se GDPR in DORA umeščata v varnost OT

Varnost OT ni vedno povezana samo s stroji. Okolja kritične infrastrukture pogosto obdelujejo osebne podatke prek CCTV, sistemov nadzora dostopa, dnevnikov dostopnih kartic, sistemov za varnost delavcev, vzdrževalnih zahtevkov, sledenja vozilom, sistemov za obiskovalce in platform za storitve za stranke.

GDPR zahteva, da se osebni podatki obdelujejo zakonito, pošteno in pregledno, zbirajo za določene namene, omejijo na nujno potrebno, ohranjajo točni, hranijo samo toliko časa, kolikor je potrebno, ter varujejo z ustreznimi tehničnimi in organizacijskimi ukrepi. Zahteva tudi odgovornost, kar pomeni, da mora biti upravljavec sposoben dokazati skladnost.

Za OT to pomeni, da dnevniki dostopa in zapisi spremljanja ne smejo postati nenadzorovane shrambe podatkov nadzora. Hramba, pravice dostopa, omejitev namena in ocena kršitve morajo biti vgrajene v beleženje in spremljanje.

DORA se lahko uporablja, kadar so vključeni finančni subjekti ali kadar ponudnik storitev IKT tretje osebe podpira operativno odpornost finančnega sektorja. DORA zajema upravljanje tveganj IKT, poročanje o incidentih, testiranje odpornosti in tveganje tretjih oseb na področju IKT. Za finančne subjekte, ki so po pravilih prenosa NIS2 hkrati bistveni ali pomembni subjekti, lahko DORA deluje kot sektorski režim za prekrivajoče se obveznosti, pri čemer lahko ostane relevantna koordinacija z organi NIS2.

Veljajo iste discipline dokazil: identifikacija sredstev, zaščita, zaznavanje, neprekinjenost, varnostno kopiranje, tveganje tretjih oseb, testiranje, usposabljanje in nadzor vodstva.

Revizijski pogled: ena kontrola, več vidikov zagotovila

Močna implementacija varnosti OT po NIS2 mora prestati več revizijskih pogledov.

Zato Clarysec obravnava Zenith Controls kot kompas za navzkrižno skladnost. Atributi kontrol pomagajo pojasniti namen uradnih kontrol ISO/IEC 27002:2022, pristop preslikave pa te kontrole povezuje z NIS2, NIST CSF, upravljanjem dobaviteljev, neprekinjenostjo in revizijskimi dokazili.

Pogoste pasti pri implementaciji OT po NIS2

Najpogostejše odpovedi varnosti OT redko izvirajo iz pomanjkanja dokumentov. Povzročajo jih dokumenti, ki se ne ujemajo z obratom.

Past 1: IT je lastnik programa NIS2, OT pa je lastnik tveganja. Vključeni morajo biti operativa, inženiring, varnost in vzdrževanje.

Past 2: Popis sredstev se konča pri strežnikih. Popis OT mora vključevati PLC, RTU, HMI, sisteme historian, inženirske delovne postaje, industrijska stikala, senzorje, prehode, naprave za oddaljeni dostop in komponente, ki jih upravljajo dobavitelji.

Past 3: Segmentacija obstaja v diagramu, ne pa v pravilih požarnega zidu. Presojevalci bodo zahtevali dokazila o uveljavljanju, upravljanju sprememb in spremljanju.

Past 4: Izjeme glede ranljivosti so neformalne. Omejitve zastarelih sistemov so sprejemljive le, če so dokumentirane, odobrene, spremljane in ponovno pregledane.

Past 5: Dostop dobaviteljev se obravnava samo kot vprašanje dobaviteljev. Hkrati je vprašanje nadzora dostopa, beleženja, spremljanja, varnosti omrežja, odziva na incidente in neprekinjenosti.

Past 6: Odziv na incidente prezre varnost. Odzivni priročniki OT morajo opredeliti, kdo lahko izolira naprave, ustavi procese, preklopi načine delovanja ali kontaktira regulatorje.

Past 7: Poročanje po NIS2 ni preizkušeno. Postopek odločanja za 24-urni in 72-urni rok je treba preizkusiti pred resničnim dogodkom.

Clarysecova implementacijska pot od odgovornosti upravnega odbora do dokazil OT

Praktična implementacija varnosti OT po NIS2 lahko sledi temu zaporedju:

1. Potrdite obseg NIS2, razvrstitev subjekta in kritičnost storitve.
2. Opredelite obseg OT znotraj ISMS, vključno z vmesniki in odvisnostmi.
3. Vzpostavite popis sredstev OT in podatkovnih tokov.
4. Identificirajte pravne, pogodbene, varnostne, zasebnostne in sektorske obveznosti.
5. Izvedite delavnice ocene tveganja, specifične za OT, z inženiringom, operativo, IT, SOC, nabavo in vodstvom.
6. Preslikajte obravnavo tveganja na kontrole ISO/IEC 27002:2022, teme NIS2 in vzorce implementacije IEC 62443.
7. Posodobite izjavo o uporabnosti z utemeljitvijo OT in lastniki dokazil.
8. Uvedite prednostne kontrole: segmentacijo, dostop dobaviteljev, obravnavo ranljivosti, spremljanje, varnostne kopije in odziv na incidente.
9. Posodobite politike in postopke, vključno z varnostjo OT, varnostjo dobaviteljev, oddaljenim dostopom, odzivom na incidente in neprekinjenim poslovanjem.
10. Izvedite namizne in tehnične validacijske vaje.
11. Pripravite revizijske pakete za NIS2, ISO/IEC 27001:2022, zagotavljanje zaupanja naročnikov in notranje upravljanje.
12. Ugotovitve vključite v vodstveni pregled in nenehno izboljševanje.

To odraža operativni model v Zenith Blueprint, zlasti korak 13 za obravnavo tveganja in sledljivost SoA, korak 14 za razvoj politik in regulativne navzkrižne sklice, korak 19 za upravljanje ranljivosti in korak 20 za varnost omrežja.

Isti pristop uporablja politike Clarysec za pretvorbo jezika okvirov v operativna pravila. Korporativna Politika varnosti IoT/OT zahteva pregled varnostne arhitekture pred uvedbo:

Vse nove naprave IoT/OT morajo pred uvedbo opraviti pregled varnostne arhitekture. Ta pregled mora potrditi:

Prav tako določa:

Ves promet znotraj omrežij IoT/OT in med njimi je treba neprekinjeno spremljati z uporabo:

Te klavzule ustvarjajo sidrišča upravljanja. Dokazila implementacije lahko vključujejo opozorila OT IDS, dnevnike požarnega zidu, korelacijo SIEM, izhodiščne profile prometa, zahtevke za anomalije in zapise odziva.

Kako so videti dobra dokazila OT za NIS2

Paket dokazil OT za NIS2 mora biti dovolj praktičen za inženirje in dovolj strukturiran za presojevalce.

Za segmentacijo vključite odobreno arhitekturo, diagrame con in kanalov, izvoze pravil požarnega zidu, zapise sprememb, periodične preglede pravil, zapise izjem in opozorila spremljanja.

Za dostop dobaviteljev vključite oceno kritičnosti dobavitelja, pogodbene klavzule, odobren postopek dostopa, imenovane račune, dokazila MFA, dnevnike dostopa, posnetke sej, periodični pregled dostopov in zapise postopka izstopa.

Za upravljanje ranljivosti vključite popis, vire obvestil, izpise pasivnega odkrivanja, zahtevke za ranljivosti, načrte popravkov, kompenzacijske kontrole, sprejem tveganja in dokazila o zaprtju.

Za odziv na incidente vključite odzivne priročnike, eskalacijske kontakte, odločitveno drevo za poročanje po NIS2, rezultate namiznih vaj, zahtevke incidentov, osnutke obvestil organom, pravila ravnanja z dokazili in pridobljene izkušnje.

Za neprekinjenost vključite strategijo varnostnega kopiranja OT, varnostne kopije brez povezave ali zaščitene varnostne kopije, rezultate testov obnovitve, seznam kritičnih rezervnih delov, ročne operativne postopke, prioritete obnovitve in načrte kriznega komuniciranja.

Za upravljanje vključite odobritev upravnega odbora ali vodstva, dodelitve vlog, zapise usposabljanja, rezultate notranjih presoj, KPI, zapisnike pregledov tveganj in odločitve vodstvenega pregleda.

Ta model dokazil je usklajen z ISO/IEC 27001:2022, ker podpira obravnavo tveganja, dokumentirane informacije, vrednotenje uspešnosti in nenehno izboljševanje. Usklajen je z NIS2, ker dokazuje ustrezne in sorazmerne ukrepe. Usklajen je z IEC 62443, ker ga je mogoče slediti do arhitekture OT in inženirskih kontrol.

Pretvorite program varnosti OT v preverljivo pripravljenost na NIS2

Če vaše okolje OT podpira kritično ali regulirano storitev, čakanje, da vrzeli razkrije regulator, stranka ali incident, ni prava strategija.

Začnite z enim primerom uporabe z velikim vplivom: oddaljeni dostop dobaviteljev do kritične cone OT, obravnava ranljivosti za nepodprta industrijska sredstva ali segmentacija med korporativnim IT in OT. Zgradite scenarij tveganja, ga preslikajte na člen 21 NIS2, izberite kontrole ISO/IEC 27002:2022, prevedite jih v vzorce implementacije IEC 62443 in zberite dokazila.

Clarysec vam lahko pomaga pospešiti to delo z Zenith Blueprint, Zenith Controls, Politiko varnosti IoT/OT, Politiko varnosti interneta stvari (IoT) / operativne tehnologije (OT) - SME in Politiko varnosti tretjih oseb in dobaviteljev - SME.

Vaš naslednji korak: izberite eno storitev OT, preslikajte njena sredstva in odvisnosti ter še ta teden vzpostavite dokazno linijo od tveganja do kontrole. Če želite strukturirano implementacijsko pot, lahko Clarysecov 30-koračni načrt in nabor orodij za navzkrižno skladnost to prvo linijo pretvorita v celovit program varnosti OT po NIS2.