Politika tas-Sigurtà tal-IoT-OT

Il-Politika tas-Sigurtà tal-IoT/OT (P35) tistabbilixxi sett komprensiv ta’ rekwiżiti obbligatorji tas-sigurtà tal-informazzjoni għall-iskjerament, l-operat, il-monitoraġġ, u d-dekummissjonar ta’ sistemi tal-Internet tal-Oġġetti (IoT) u sistemi tat-teknoloġija operattiva (OT) fl-organizzazzjoni kollha. L-għan primarju tagħha huwa li tintegra dawn it-teknoloġiji fis-Sistema ta’ Ġestjoni taċ-Ċibersigurtà ġenerali tal-organizzazzjoni, u tiżgura protezzjoni robusta kontra kompromess, użu ħażin, jew sabotaġġ tal-produzzjoni. Il-kamp ta’ applikazzjoni ta’ din il-politika jinkludi s-sistemi kollha tal-IoT u OT, kemm jekk tal-kumpanija, mikrija, jew miksuba minn partijiet terzi, użati fi kwalunkwe ambjent operazzjonali, amministrattiv, jew ta’ produzzjoni. L-apparati tal-IoT koperti jinkludu sensuri ambjentali, mekkaniżmi ta’ awtentikazzjoni, illuminazzjoni intelliġenti, tagħmir ta’ sorveljanza, u apparati li jintlibsu, filwaqt li s-sistemi OT jvarjaw minn Kontrolluri Loġiċi Programmabbli (PLCs) u Sistema ta’ Kontroll Superviżorju u Akkwist tad-Data (SCADA) / sistemi ta’ kontroll distribwiti (DCS) sa Pannelli tal-Interfaċċa Bniedem-Magna (HMI) u kontrolluri fuq il-post. Il-politika tiddeskrivi rekwiżiti tul l-ambjenti kollha (fuq il-post, cloud, apparati tat-tarf), stadji taċ-ċiklu tal-ħajja (disinn, akkwist u implimentazzjoni siguri, skjerament, operat, dekummissjonar), u partijiet interessati, inklużi utenti interni, integraturi, fornituri terzi, u kuntratturi. L-objettivi ewlenin jiffokaw fuq il-protezzjoni ta’ din l-infrastruttura minn theddid bħal denial-of-service, aċċess mhux awtorizzat, ransomware, u tbagħbis tal-firmware. Il-politika timponi l-adozzjoni ta’ sigurtà mid-disinn u difiża fil-fond, u teħtieġ li l-iskjeramenti kollha jikkonformaw ma’ kontrolli standard ewlenin bħal ISO/IEC 27001 u gwida rilevanti għas-settur (IEC 62443, NIST SP 800-82). Integrazzjoni sigura mal-operazzjonijiet tas-sigurtà, inkluż eskalazzjoni tar-rispons għall-inċidenti, klassifikazzjoni ta’ avvenimenti OT kritiċi għan-negozju, u d-dokumentazzjoni ta’ proċeduri interdipartimentali hija komponent integrali. Ir-rekwiżiti ta’ governanza jispeċifikaw konfigurazzjoni tas-sigurtà tal-apparat (kredenzjali uniċi, ċertifikati marbuta mal-hardware, ibbutjar sigur), jinfurzaw segmentazzjoni u iżolament tan-netwerk stretti bejn IT/OT, u jipprojbixxu protokolli mhux siguri sakemm ma jkunux issikurati u jkun hemm aċċettazzjoni tar-riskju. Monitoraġġ u sejbień ta’ theddid huma kontinwi, b’attivitajiet tal-apparat u tan-netwerk eżaminati bl-użu ta’ għodod ta’ skoperta passiva konxji tal-ICS/SCADA, settijiet ta’ regoli SIEM speċifiċi għall-OT, spezzjoni profonda tal-pakketti, u żamma tal-logs. Il-patching tas-sistemi u l-validazzjoni tal-firmware iffirmat huma integrali, u d-dekummissjonar ta’ apparati fi tmiem il-ħajja jeħtieġ tħassir mill-bogħod, revoka tal-kredenzjali tal-apparat, u aġġornamenti tal-inventarju tal-assi. L-immaniġġjar tal-eċċezzjonijiet u t-trattament tar-riskju huma definiti b’mod ċar għal sistemi legati li ma jistgħux jissodisfaw ir-rekwiżiti, u jeħtieġu dokumentazzjoni formali, kontrolli għall-mitigazzjoni tar-riskju, sotto-netwerkijiet ristretti ddedikati, u monitoraġġ. Il-politika hija integrata mill-qrib ma’ politiki relatati li jirregolaw il-ġestjoni tar-riskju, l-inventarju tal-assi, il-protezzjoni tal-endpoint, il-Politika tal-Illoggjar u l-Monitoraġġ, ir-rispons għall-inċidenti, u l-awditu u l-konformità. Ir-reviżjonijiet isiru b’revalidazzjoni annwali jew meta jkun hemm bidliet sinifikanti fis-sistema, fil-fornitur, jew fil-pajsaġġ tat-theddid, biex jiġi żgurat allinjament kontinwu ma’ obbligi regolatorji, rekwiżiti kuntrattwali, u tal-operat. Il-mekkaniżmi ta’ infurzar jinkludu rieżamijiet tal-awditjar, proċeduri dixxiplinarji, sanzjonijiet fuq il-fornituri, u eskalazzjoni ta’ azzjonijiet legali f’każijiet ta’ ksur regolatorju jew sabotaġġ tal-produzzjoni.