Regulativa za sajber bezbednost operativne tehnologije (OT) se razvija
U samo poslednjih nekoliko godina, sajber bezbednost operativne tehnologije (OT) doživela je značajne promene podstaknute sve većim prepoznavanjem rastuće površine napada i ranjivosti kritične infrastrukture (CI) i industrijskih kontrolnih sistema (ICS). Regulatori i vlade postali su zabrinuti zbog opasnosti po svoju kritičnu infrastrukturu, što pokreće nekoliko tekućih inicijativa koje će oblikovati izbore glavnih informacionih bezbednosnih oficira (CISO).
Evolucija propisa i standarda
Prvo, propisi i standardi postaju sve značajniji i sve se više usvajaju: 1. NIST Okvir za sajber bezbednost (CSF) upravo je ažuriran sa verzije 1.1 na verziju 2.0, sa širom obuhvatom koji obuhvata i IT i OT sisteme. Ključno je to što CSF sada ističe ključnu ulogu upravljanja sajber bezbednošću. Uvođenjem nove "Upravljaj" funkcije, CSF obuhvata niz aspekata, uključujući organizacioni kontekst, strategiju upravljanja rizikom, sajber bezbednost lanca snabdevanja, uloge i odgovornosti, politike, procese i nadzor. 2. Međunarodna elektrotehnička komisija (IEC) 62443 sve više se prihvata kao standard, budući da pruža sveobuhvatne smernice za obezbeđivanje ICS okruženja. Jedan od osnovnih aspekata IEC 62443 zahteva sprovođenje temeljnih, periodičnih procena rizika, uključujući identifikaciju potencijalnih ranjivosti, procenu njihovog uticaja i utvrđivanje verovatnoće eksploatacije. 3. Nadolazeća EU NIS2 direktiva možda je najrelevantnija za lokalni region: sada se primenjuje u državama članicama EU i očekuje se da će biti primenjena najkasnije do oktobra 2024. godine. Ažurirana verzija fokusira se na upravljanje rizikom sajber bezbednosti i zahteve za prijavu sajber napada. Elementi direktive takođe će uticati na zakonodavstvo u susednim zemljama koje možda nisu deo EU (još).
Proširenje regulatornog obuhvata
Na primer, NIS2 više nego trostruko povećava broj sektora i vrsta entiteta koji su pogođeni u poređenju sa trenutnim NIS režimom, uključujući veliki deo nacionalne ekonomije. Takođe uvodi korporativnu odgovornost i mere upravljanja rizicima.
Zahtevi za prijavu incidenata
Regulatorni okviri sve više naglašavaju brzo i efikasno reagovanje na incidente i naknadno prijavljivanje svakog prekida odgovarajućem regulatornom telu. Na primer, NIS 2 Direktiva uključuje obavezu da organizacije pogođene sajber napadom prijave incident odgovarajućem organu u roku od 24 sata od saznanja o incidentu. Nedavno, Komisija za hartije od vrednosti i berzu Sjedinjenih Američkih Država (SEC) donela je nove propise koji zahtevaju strožiju sajber bezbednosnu obaveštenost od organizacija.
Fokus na bezbednosti lanca snabdevanja
Propisi su sve eksplicitniji u pogledu mera upravljanja rizikom koje treba sprovesti. Jedna od njih je bezbednost lanca snabdevanja i povezani zahtevi za ublažavanje rizika od trećih dobavljača i dobavljača. Da bi bili usklađeni, organizacije moraju da vrše pažljive provere, primenjuju procese upravljanja rizikom dobavljača i obezbede bezbednost svojih komponenata lanca snabdevanja.
Spajanje IT i OT propisa
Regulatorna tela prepoznaju rastuću povezanost informacionih tehnologija (IT) i operativnih tehnologija (OT) sistema i mreža i deljenje informacija. Prepoznaju sve veću potrebu za holističkim pristupom sajber bezbednosti koji prevazilazi nekadašnju odvojenost između IT i OT. Pored ostalih zahteva, propisi sada uključuju usklađivanje struktura upravljanja, procesa upravljanja rizikom i bezbednosnih kontrola između IT i OT sfera.
Pročitajte više ovde.
