Celem dyrektywy NIS2 (Network and Information Security) jest podniesienie poziomu bezpieczeństwa fizycznego i cyfrowego dla dużej liczby przedsiębiorstw oraz ustanowienie jednolitego poziomu dojrzałości we wszystkich krajach UE. Wdrożenie NIS2, zaplanowane na październik 2024 r., będzie miało wpływ na tysiące przedsiębiorstw w Europie, przy czym kwestie te będą się znacznie różnić w zależności od podmiotu.
Podczas gdy dużo mówimy o IT i atakach wymierzonych w środowiska biurowe, zbyt często zapominamy o cyberatakach wymierzonych w środowiska operacyjne (OT) i znacznej podatności tych sieci na zagrożenia. Firmy przemysłowe będą musiały podwoić swoje wysiłki, aby spełnić wymagania NIS2. Pamiętajmy jednak, że nawet jeśli dyrektywa początkowo nałoży wiele ograniczeń, jej celem jest pomoc firmom w ochronie ich narzędzi produkcyjnych.
OT jest równie niepewne jak MŚP
Podczas gdy dużo mówimy o cyberbezpieczeństwie IT, zbyt często zapominamy o podnoszeniu świadomości na temat cyberbezpieczeństwa środowisk operacyjnych (OT), mimo że cyberataki na fabryki i firmy przemysłowe mogą mieć katastrofalne skutki. Dlaczego sieci OT są tak podatne na zagrożenia?
- Środowiska OT są od 10 do 15 lat opóźnione pod względem cyberbezpieczeństwa w porównaniu do środowisk IT i nie zostały zabezpieczone "z założenia".
- Wiele sieci firm przemysłowych nadal opiera się na "płaskich" architekturach, co oznacza, że serwery, stacje robocze i inne terminale przemysłowe działają w tej samej sieci bez żadnej segmentacji. Innymi słowy, pozostawienie otwartych drzwi umożliwia dostęp do całej sieci.
- Kwestia zarządzania bezpieczeństwem sieci OT wciąż pozostaje nierozwiązana. Kto jest odpowiedzialny za bezpieczeństwo OT? Jeśli istnieje zespół ds. bezpieczeństwa OT, w jaki sposób może on współpracować z menedżerami ds. bezpieczeństwa IT?
- Zdalny dostęp do programowalnych sterowników i innych robotów w systemach OT został zwielokrotniony, zwłaszcza podczas COVID-19, tworząc często słabo lub całkowicie niezabezpieczone pomosty do świata zewnętrznego.
Zacznij od trzech etapów i dwunastu kroków
Jest bardzo dużo przedsiębiorstw przemysłowych zatrudniających ponad 50 pracowników i osiągających obroty w wysokości 10 milionów euro. Ich sieci OT zostaną znacząco dotknięte przez NIS2. Zamiast denerwować się i wpadać w panikę, podsumujmy kluczowe kroki w celu osiągnięcia zgodności, w 3 fazach i 12 krokach, z nową wersją dyrektywy NIS, koncentrując się w szczególności na sektorze przemysłowym.
Etap 1: Ocena, odkrywanie i definiowanie
1. Audyt bezpieczeństwa
Ocena bezpieczeństwa firmy poprzez przeprowadzanie audytów, koncentrując się na sieciach OT, ale także - jako nowy wymóg NIS2 - na fizycznym dostępie do firmy i jej sprzętu.
2. Polityki
Zdefiniuj politykę i zarządzanie specyficzne dla cyberbezpieczeństwa OT, zaczynając od określenia, kto jest odpowiedzialny za bezpieczeństwo OT, komu podlega, kto ma uprawnienia decyzyjne w zakresie inwestycji itp.
Etap 2: Implementacja i wdrożenie
3. Segmentacja
Zaprojektowanie i wdrożenie architektury integrującej segmentację cyberbezpieczeństwa OT i przemysłowych systemów sterowania (ICS). Innymi słowy, odejście od płaskich sieci i segmentacja sieci IT i OT.
4. Odnajdywanie zasobów i wykrywanie zagrożeń
Wybieranie i wdrażanie narzędzi do wykrywania zasobów i zagrożeń dla OT/ICS, takich jak IDS (Intrusion Detection Systems).
5. Higiena konfiguracji OT
Utrzymanie higieny konfiguracji OT poprzez zapewnienie obecności klasycznych komponentów bezpieczeństwa, takich jak systemy kopii zapasowych (przyjęcie modelu kopii zapasowych 3+2+1) i menedżery haseł maszyn. Ponieważ NIS2 dotyczy również dostawców mających dostęp do sieci, firma musi zapewnić gwarancje higieny cyberbezpieczeństwa od swoich dostawców.
6. Bezpieczny zdalny dostęp do systemów OT
Producenci maszyn / sterowników programowalnych itp. często uzyskują dostęp do swoich maszyn głównie w celach konserwacyjnych, więc firma musi wymagać od nich gwarancji bezpieczeństwa.
7. Kontrola dostępu OT
Wdrożenie środków regulujących i monitorujących dostęp do systemów OT, zapewniających, że tylko upoważniony personel może wchodzić w interakcje z krytycznymi zasobami przemysłowymi. Obejmuje to egzekwowanie ścisłych protokołów uwierzytelniania i autoryzacji, aby zapobiec nieautoryzowanemu dostępowi lub złośliwym działaniom.
8. Ochrona punktów końcowych OT
Wdrożenie środków bezpieczeństwa w celu ochrony punktów końcowych w środowiskach OT, takich jak maszyny przemysłowe, kontrolery i czujniki, przed zagrożeniami cybernetycznymi. Obejmuje to wdrażanie oprogramowania antywirusowego, ochrony punktów końcowych i reagowania (EDR), systemów wykrywania włamań (IDS), wdrażanie kontroli urządzeń USB i regularne aktualizowanie środków bezpieczeństwa punktów końcowych w celu łagodzenia pojawiających się zagrożeń i luk w zabezpieczeniach.
9. Zabezpieczony łańcuch dostaw OT
Wdrożenie środków zabezpieczających łańcuch dostaw OT przed zagrożeniami dla cyberbezpieczeństwa stwarzanymi przez oprogramowanie, producentów OEM i zewnętrznych dostawców usług. Wiąże się to z przeprowadzaniem dokładnych ocen ryzyka, ustanawianiem jasnych umów z dostawcami w celu określenia obowiązków w zakresie cyberbezpieczeństwa oraz regularnym monitorowaniem zgodności dostawców w celu złagodzenia luk w zabezpieczeniach i zwiększenia ogólnego bezpieczeństwa OT.
Etap 3: Monitorowanie, reagowanie i pomiar
10. Security Operations Centre (SOC)
Wdrożenie ciągłego monitorowania cyberbezpieczeństwa OT za pomocą zintegrowanych lub zarządzanych rozwiązań SOC.
11. Plan reagowania na incydenty
Opracowanie i utrzymywanie planu reagowania na incydenty specjalnie dostosowanego do reagowania na cyberataki lub inne incydenty wymierzone w systemy OT.
12. Ciągłe audyty
Wreszcie, przeprowadzaj regularne audyty i testy bezpieczeństwa dla środowisk OT, aby zapewnić stałą zgodność z wymogami cyberbezpieczeństwa i szybko identyfikować wszelkie luki lub podatności.
Cyberbezpieczeństwo jest procesem ciągłym
A potem? Cóż, czas zacząć od nowa... Cyberbezpieczeństwo to w istocie ciągły proces. Zapewniamy, że jeśli wszystkie kroki zostały wykonane, a polityki wdrożone, znacznie łatwiej będzie przeprowadzać rzadsze audyty, testy, aktualizacje i weryfikować punkty kontrolne. Właśnie dlatego ta sugestia "planu zgodności" zaczyna się i kończy na audytach.
Jeśli wydaje się to skomplikowane i czasochłonne - zwłaszcza gdy cyberbezpieczeństwo nie jest głównym celem firmy - można polegać na ekspertach. Na szczęście wiele organizacji może pomóc w zapewnieniu bezpieczeństwa i zgodności z NIS2. Nomios jest jedną z nich. W idealnej sytuacji działamy jako partner i stopniowo przekazujemy wiedzę do kluczowych punktów bezpieczeństwa w firmie, aby zapewnić zrozumienie sieci (OT), jej mocnych stron i słabych punktów. Dodatkowo możemy zwiększyć świadomość i przeszkolić pracowników.
Chcesz dowiedzieć się więcej na ten temat?
Nasi eksperci i opiekunowie handlowi są do Twojej dyspozycji. Zostaw swoje dane, a my wkrótce się z Tobą skontaktujemy.