IoT/OT-tietoturvapolitiikka

IoT/OT-tietoturvapolitiikka (P35) määrittää kattavan joukon pakollisia tietoturvavaatimuksia Internet of Things (IoT) - ja operatiivisen teknologian (OT) järjestelmät -kokonaisuuden käyttöönotolle, käytölle, valvonnalle ja käytöstäpoistolle koko organisaatiossa. Sen ensisijainen tavoite on integroida nämä teknologiat organisaation kyberturvallisuuden hallintajärjestelmä -kokonaisuuteen ja varmistaa vahva suojaus vaarantumista, väärinkäyttöä tai tuotantosabotaasia vastaan. Tämän politiikan soveltamisala kattaa kaikki IoT- ja OT-järjestelmät riippumatta siitä, ovatko ne yrityksen omistamia, vuokrattuja vai kolmansien osapuolten riippuvuudet -lähteistä hankittuja, ja riippumatta siitä, käytetäänkö niitä operatiivisessa, hallinnollisessa tai tuotantoympäristö -ympäristössä. Kattaviin IoT-laitteisiin kuuluvat ympäristöanturit, pääsynhallinta -mekanismit, älyvalaistus, valvontalaitteisto ja puettavat laitteet, kun taas OT-järjestelmät vaihtelevat ohjelmoitava logiikkaohjain (PLC) -laitteista ja valvonta- ja tiedonkeruujärjestelmä (SCADA) / hajautettu ohjausjärjestelmä (DCS) -alustoista HMI-käyttöpaneeli -ratkaisuihin ja kenttäohjain -laitteisiin. Politiikka määrittää vaatimukset kaikissa ympäristöissä (paikallinen infrastruktuuri, pilvi, reunalaitteet), elinkaaren vaiheissa (suunnittelu, hankinta, käyttöönotto, käyttö, käytöstäpoisto) sekä sidosryhmissä, mukaan lukien sisäiset käyttäjät, järjestelmäintegraattorit, kolmannen osapuolen toimittajat ja urakoitsijat. Keskeiset tavoitteet keskittyvät näiden infrastruktuurien suojaamiseen uhkilta, kuten palvelunestohyökkäykset, luvaton pääsy, kiristyshaittaohjelma ja laiteohjelmiston manipulointi. Politiikka edellyttää sisäänrakennettu tietoturva - ja syvyyspuolustus -menetelmien käyttöönottoa sekä vaatii, että kaikki käyttöönotot noudattavat keskeisiä standardikontrolleja, kuten ISO/IEC 27001, ja toimialakohtaista ohjeistusta (IEC 62443, NIST SP 800-82). Tietoturvaoperaatioiden kanssa tehtävä tietoturvallinen integraatio, mukaan lukien tietoturvapoikkeamiin reagointi -eskalointi, liiketoiminnan kannalta kriittisten OT-poikkeamien luokittelu sekä poikkiosastollisten menettelyjen dokumentointi, on olennainen osa kokonaisuutta. Hallintotapavaatimukset määrittävät laitteen tietoturvamääritykset (yksilölliset tunnistetiedot, laitteistosidonnaiset varmenteet, suojattu käynnistys), toimeenpanevat tiukan verkon segmentointi ja eristäminen -mallin IT/OT-ympäristöjen välillä ja kieltävät turvattomat protokollat, ellei niitä ole suojattu ja riskin hyväksyminen -menettelyllä hyväksytty. Valvonta ja uhkien havaitseminen on jatkuvaa, ja laite- ja verkkotoimintoja tarkastellaan teollisten ohjausverkot -ympäristöihin soveltuvilla havaitsemistyökaluilla, OT-kohtaiset SIEM-sääntöjoukot -kokonaisuudella, syväpakettitarkastus -toiminnoilla sekä lokien säilytys -käytännöillä. Järjestelmäpaikkaus ja allekirjoitetun laiteohjelmiston varmennus ovat keskeisiä, ja elinkaarensa päässä olevien laitteiden -kokonaisuuden käytöstäpoisto edellyttää tietojen pyyhintää, laitteen tunnistetietojen peruuttaminen -toimia sekä omaisuusluettelo -päivityksiä. Poikkeusten käsittely ja riskien käsittely on määritelty selkeästi legacy-järjestelmille, jotka eivät pysty täyttämään vaatimuksia, ja se edellyttää muodollista dokumentointia, riskien lieventämisen hallintakeinot -toimia, rajoitetut aliverkot -ratkaisuja ja valvontaa. Politiikka on tiiviisti integroitu siihen liittyviin politiikkoihin, jotka koskevat riskienhallintaa, omaisuusluetteloa, päätelaitesuojausta, lokitus- ja valvontapolitiikka -kokonaisuutta, tietoturvapoikkeamiin reagointi -toimintaa sekä auditointi ja vaatimustenmukaisuus -toimintoja. Katselmoinnit tehdään vuosittain tai merkittävien järjestelmä-, toimittaja- tai uhkaympäristön muutosten yhteydessä, jotta varmistetaan jatkuva yhdenmukaisuus sääntely-, sopimus- ja operatiivisten vaatimusten kanssa. Täytäntöönpanomekanismeihin kuuluvat auditointikatselmukset, kurinpitomenettelyt, toimittajasanktiot sekä oikeudellisten toimien eskalointi sääntelyrikkomusten tai sabotaasin tapauksissa.