Politika sigurnosti IoT/OT

Politika sigurnosti IoT/OT (P35) uspostavlja sveobuhvatan skup obveznih zahtjeva informacijske sigurnosti za uvođenje, rad, praćenje i stavljanje izvan pogona sustava Interneta stvari (IoT) i sustava operativne tehnologije (OT) u cijeloj organizaciji. Njezin je primarni cilj integrirati ove tehnologije u sustav upravljanja kibernetičkom sigurnošću organizacije, osiguravajući snažnu zaštitu od kompromitacije, zlouporabe ili sabotaže proizvodnje. Opseg ove politike obuhvaća sve sustave Interneta stvari (IoT) i sustave operativne tehnologije (OT), bez obzira na to jesu li u vlasništvu tvrtke, u najmu ili potječu od trećih strana, a koriste se u bilo kojem operativnom, administrativnom ili produkcijskom okruženju. Obuhvaćeni IoT uređaji uključuju senzore okoliša, mehanizme autentifikacije, pametnu rasvjetu, opremu za nadzor i nosive uređaje, dok se OT sustavi kreću od programabilnih logičkih kontrolera (PLC) i platformi za nadzorno upravljanje i prikupljanje podataka (SCADA)/distribuiranih upravljačkih sustava (DCS) do panela sučelja čovjek-stroj (HMI) i terenskih kontrolera. Politika opisuje zahtjeve kroz sva okruženja (u vlastitim prostorijama, oblak, rub), faze životnog ciklusa (dizajn, nabava, uvođenje, rad, stavljanje izvan pogona) i dionike, uključujući interne korisnike, integratore, dobavljače trećih strana i izvođače. Ključni ciljevi usmjereni su na zaštitu ove infrastrukture od prijetnji kao što su uskraćivanje usluge, neovlašteni pristup, ransomware i manipulacija firmverom. Politika nalaže usvajanje metodologija ugrađene sigurnosti i obrane u dubini, zahtijevajući da sva uvođenja budu usklađena s temeljnim standardnim kontrolama kao što je ISO/IEC 27001 i smjernicama relevantnima za sektor (IEC 62443, NIST SP 800-82). Sigurna integracija sa sigurnosnim operacijama, uključujući eskalaciju odgovora na incidente, klasifikaciju poslovno kritičnih sustava OT događaja i dokumentiranje međufunkcionalne koordinacije postupaka, sastavni je dio. Zahtjevi upravljanja određuju sigurnosnu konfiguraciju uređaja (jedinstvene vjerodajnice, certifikati vezani uz hardver, sigurno pokretanje), provode strogu segmentaciju mreže između IT/OT te zabranjuju nesigurne protokole osim ako su osigurani i uz prihvaćanje rizika. Praćenje i otkrivanje prijetnji kontinuirano je, pri čemu se aktivnosti uređaja i mreže nadziru korištenjem pasivnih ICS/SCADA-svjesnih detekcijskih alata, SIEM pravila, dubinske inspekcije paketa i prakse retencije logova. Zakrpavanje sustava i validacija potpisanog firmvera sastavni su, a stavljanje izvan pogona uređaja na kraju životnog vijeka zahtijeva udaljeno brisanje podataka, opoziv vjerodajnica uređaja i ažuriranja Popisa imovine. Postupanje s iznimkama i obrada rizika jasno su definirani za naslijeđene sustave koji ne mogu ispuniti zahtjeve, što zahtijeva formalnu dokumentaciju, kontrole za ublažavanje rizika, ograničene podmreže i praćenje. Politika je usko integrirana s povezanim politikama koje uređuju upravljanje rizicima, Popis imovine, zaštitu krajnjih točaka, politiku bilježenja i praćenja, politiku odgovora na incidente (P30) te reviziju i usklađenost. Pregledi se provode godišnje ili nakon značajnih promjena sustava, dobavljača ili profila rizika, čime se osigurava trajno usklađivanje s regulatornim, ugovornim i operativnim zahtjevima. Mehanizmi provedbe uključuju preglede revizije, stegovne postupke, sankcije dobavljača i eskalaciju pravnih radnji u slučajevima regulatorne povrede ili sabotaže.