NIS2 wymaga od firm przemysłowych podjęcia znacznych wysiłków w celu zabezpieczenia swoich środowisk OT: Od czego zacząć?

Celem dyrektywy NIS2 (Network and Information Security) jest podniesienie poziomu bezpieczeństwa fizycznego i cyfrowego dla dużej liczby przedsiębiorstw oraz ustanowienie jednolitego poziomu dojrzałości we wszystkich krajach UE. Wdrożenie NIS2, zaplanowane na październik 2024 r., będzie miało wpływ na tysiące przedsiębiorstw w Europie, przy czym kwestie te będą się znacznie różnić w zależności od podmiotu.

Podczas gdy dużo mówimy o IT i atakach wymierzonych w środowiska biurowe, zbyt często zapominamy o cyberatakach wymierzonych w środowiska operacyjne (OT) i znacznej podatności tych sieci na zagrożenia. Firmy przemysłowe będą musiały podwoić swoje wysiłki, aby spełnić wymagania NIS2. Pamiętajmy jednak, że nawet jeśli dyrektywa początkowo nałoży wiele ograniczeń, jej celem jest pomoc firmom w ochronie ich narzędzi produkcyjnych.

OT jest równie niepewne jak MŚP

Podczas gdy dużo mówimy o cyberbezpieczeństwie IT, zbyt często zapominamy o podnoszeniu świadomości na temat cyberbezpieczeństwa środowisk operacyjnych (OT), mimo że cyberataki na fabryki i firmy przemysłowe mogą mieć katastrofalne skutki. Dlaczego sieci OT są tak podatne na zagrożenia?

• Środowiska OT są od 10 do 15 lat opóźnione pod względem cyberbezpieczeństwa w porównaniu do środowisk IT i nie zostały zabezpieczone "z założenia".
• Wiele sieci firm przemysłowych nadal opiera się na "płaskich" architekturach, co oznacza, że serwery, stacje robocze i inne terminale przemysłowe działają w tej samej sieci bez żadnej segmentacji. Innymi słowy, pozostawienie otwartych drzwi umożliwia dostęp do całej sieci.
• Kwestia zarządzania bezpieczeństwem sieci OT wciąż pozostaje nierozwiązana. Kto jest odpowiedzialny za bezpieczeństwo OT? Jeśli istnieje zespół ds. bezpieczeństwa OT, w jaki sposób może on współpracować z menedżerami ds. bezpieczeństwa IT?
• Zdalny dostęp do programowalnych sterowników i innych robotów w systemach OT został zwielokrotniony, zwłaszcza podczas COVID-19, tworząc często słabo lub całkowicie niezabezpieczone pomosty do świata zewnętrznego.

Zacznij od trzech etapów i dwunastu kroków

Jest bardzo dużo przedsiębiorstw przemysłowych zatrudniających ponad 50 pracowników i osiągających obroty w wysokości 10 milionów euro. Ich sieci OT zostaną znacząco dotknięte przez NIS2. Zamiast denerwować się i wpadać w panikę, podsumujmy kluczowe kroki w celu osiągnięcia zgodności, w 3 fazach i 12 krokach, z nową wersją dyrektywy NIS, koncentrując się w szczególności na sektorze przemysłowym.

Etap 1: Ocena, odkrywanie i definiowanie

1. Audyt bezpieczeństwa

Ocena bezpieczeństwa firmy poprzez przeprowadzanie audytów, koncentrując się na sieciach OT, ale także - jako nowy wymóg NIS2 - na fizycznym dostępie do firmy i jej sprzętu.

2. Polityki

Zdefiniuj politykę i zarządzanie specyficzne dla cyberbezpieczeństwa OT, zaczynając od określenia, kto jest odpowiedzialny za bezpieczeństwo OT, komu podlega, kto ma uprawnienia decyzyjne w zakresie inwestycji itp.

Etap 2: Implementacja i wdrożenie

3. Segmentacja

Zaprojektowanie i wdrożenie architektury integrującej segmentację cyberbezpieczeństwa OT i przemysłowych systemów sterowania (ICS). Innymi słowy, odejście od płaskich sieci i segmentacja sieci IT i OT.

4. Odnajdywanie zasobów i wykrywanie zagrożeń

Wybieranie i wdrażanie narzędzi do wykrywania zasobów i zagrożeń dla OT/ICS, takich jak IDS (Intrusion Detection Systems).

5. Higiena konfiguracji OT

Utrzymanie higieny konfiguracji OT poprzez zapewnienie obecności klasycznych komponentów bezpieczeństwa, takich jak systemy kopii zapasowych (przyjęcie modelu kopii zapasowych 3+2+1) i menedżery haseł maszyn. Ponieważ NIS2 dotyczy również dostawców mających dostęp do sieci, firma musi zapewnić gwarancje higieny cyberbezpieczeństwa od swoich dostawców.

6. Bezpieczny zdalny dostęp do systemów OT

Producenci maszyn / sterowników programowalnych itp. często uzyskują dostęp do swoich maszyn głównie w celach konserwacyjnych, więc firma musi wymagać od nich gwarancji bezpieczeństwa.

7. Kontrola dostępu OT

Wdrożenie środków regulujących i monitorujących dostęp do systemów OT, zapewniających, że tylko upoważniony personel może wchodzić w interakcje z krytycznymi zasobami przemysłowymi. Obejmuje to egzekwowanie ścisłych protokołów uwierzytelniania i autoryzacji, aby zapobiec nieautoryzowanemu dostępowi lub złośliwym działaniom.

8. Ochrona punktów końcowych OT

Wdrożenie środków bezpieczeństwa w celu ochrony punktów końcowych w środowiskach OT, takich jak maszyny przemysłowe, kontrolery i czujniki, przed zagrożeniami cybernetycznymi. Obejmuje to wdrażanie oprogramowania antywirusowego, ochrony punktów końcowych i reagowania (EDR), systemów wykrywania włamań (IDS), wdrażanie kontroli urządzeń USB i regularne aktualizowanie środków bezpieczeństwa punktów końcowych w celu łagodzenia pojawiających się zagrożeń i luk w zabezpieczeniach.

9. Zabezpieczony łańcuch dostaw OT

Wdrożenie środków zabezpieczających łańcuch dostaw OT przed zagrożeniami dla cyberbezpieczeństwa stwarzanymi przez oprogramowanie, producentów OEM i zewnętrznych dostawców usług. Wiąże się to z przeprowadzaniem dokładnych ocen ryzyka, ustanawianiem jasnych umów z dostawcami w celu określenia obowiązków w zakresie cyberbezpieczeństwa oraz regularnym monitorowaniem zgodności dostawców w celu złagodzenia luk w zabezpieczeniach i zwiększenia ogólnego bezpieczeństwa OT.

Etap 3: Monitorowanie, reagowanie i pomiar

10. Security Operations Centre (SOC)

Wdrożenie ciągłego monitorowania cyberbezpieczeństwa OT za pomocą zintegrowanych lub zarządzanych rozwiązań SOC.

11. Plan reagowania na incydenty

Opracowanie i utrzymywanie planu reagowania na incydenty specjalnie dostosowanego do reagowania na cyberataki lub inne incydenty wymierzone w systemy OT.

12. Ciągłe audyty

Wreszcie, przeprowadzaj regularne audyty i testy bezpieczeństwa dla środowisk OT, aby zapewnić stałą zgodność z wymogami cyberbezpieczeństwa i szybko identyfikować wszelkie luki lub podatności.