IoT-OT-sikkerhedspolitik – SMV

'IoT / OT-sikkerhedspolitik' (dokument P35S) er udarbejdet for at give SMV-organisationer et omfattende, praktisk rammeværk til at sikre Internet of Things (IoT)- og Operational Technology (OT)-enheder. I erkendelse af den hurtigt voksende anvendelse af intelligente enheder som sensorer, kameraer, HVAC-controllere og produktionsmaskineri fastlægger denne politik strenge, håndhævelige regler for sikker idriftsættelse, løbende overvågning, leverandørstyring og overholdelse af lovgivningen. Dette er eksplicit en SMV-politik, hvilket fremgår af både dokumentnummeret (P35S) og styringsstrukturen, der er bygget op omkring ikke-IT-specialistroller – primært den administrerende direktør (GM) og udpegede medarbejdere eller driftsledere – frem for sikkerhedsofficerer eller informationssikkerhedschef (CISO). Politikken er designet til enkelhed og direkte anvendelighed og muliggør stærk kontrol over IoT/OT-miljøer uden at forudsætte, at organisationer har omfattende sikkerhedsteams eller specialist-it-ressourcer. Inddragelsen af generaliserede roller sikrer, at compliance og risikostyring kan gennemføres af typisk personale i kontor-, lager- eller produktionsmiljøer. Politikkens omfang dækker al planlægning, installation, konfiguration, brug, support eller bortskaffelse af IoT- og OT-enheder, herunder internt personale, eksterne leverandører og kontrahenter. Kontroller udvides til alle virksomhedens lokationer og cloud-platforme, der interagerer med forbundne systemer. Centrale styringskrav omfatter vedligeholdelse af en detaljeret aktivfortegnelse, håndhævelse af streng netværkssegmentering (f.eks. dedikerede virtuelle lokalnetværk (VLAN'er) til IoT/OT) samt krav om stærk autentifikation og adgangskodestyring. Politikken kræver også regelmæssige firmwareopdateringer, klare kontraktklausuler med leverandører for at sikre sikre installationer samt revisionsbarhed for tredjepartsarbejde. Hver IoT- eller OT-enhed spores efter enhedstype, model, lokation, brugertildeling og firmwareversion og revurderes kvartalsvist for at fange forældede eller sårbare aktiver. Adgang er strengt begrænset til autoriseret personale, og alle standard- eller hardkodede adgangskoder skal ændres før aktivering. Enheder, der bruger cloud-tjenester, skal sikres med flerfaktorautentificering (MFA) og officielle cloud-konti. Derudover skal fysiske enheder i offentlige eller delte områder have manipulationsbeskyttelsesforanstaltninger. Afsnittet om håndtering af sikkerhedshændelser henviser direkte til tilpasning med Politik for hændelseshåndtering (P30) og kræver øjeblikkelig handling og eskaleringsprocesser, hvis enheder kompromitteres eller opfører sig unormalt. Risiko- og complianceprocedurer omfatter, at GM gennemfører årlige risikovurderinger, håndterer undtagelser med kompenserende kontroller og vedligeholder et risikoregister. Overtrædelser udløser klare konsekvenser, herunder suspendering af adgang, kontraktophør og mulig retlig handling. Regelmæssige gennemgange og kommunikation af politikopdateringer sikrer reaktionsevne over for nye trusler eller teknologier, mens indbyggede rapporteringsprocedurer understøtter whistleblowerordning og anonyme rapporter. Overholdelse af centrale standarder er omhyggeligt kortlagt, herunder ISO/IEC 27001:2022, 27002:2022, NIST SP 800-53 Rev.5, EU GDPR, NIS2 og DORA. Samlet set gør politikken det muligt for SMV'er at dokumentere tilpasning til internationale bedste praksisser, reducere regulatoriske risici og væsentligt mindske sandsynligheden for driftsafbrydelser eller datasikkerhedsbrud knyttet til forbundne enhedsmiljøer.