Polityka bezpieczeństwa IoT/OT

Polityka bezpieczeństwa IoT/OT (P35) ustanawia kompleksowy zestaw obowiązkowych wymagań bezpieczeństwa informacji dotyczących wdrażania, eksploatacji, monitorowania oraz wycofania z eksploatacji systemów Internetu Rzeczy (IoT) oraz systemów technologii operacyjnej (OT) w całej organizacji. Jej głównym celem jest integracja tych technologii z systemem zarządzania cyberbezpieczeństwem organizacji, zapewniając solidną ochronę przed kompromitacją, niewłaściwym użyciem lub sabotażem produkcji. Zakres niniejszej polityki obejmuje wszystkie systemy Internetu Rzeczy (IoT) oraz systemy technologii operacyjnej (OT), niezależnie od tego, czy są własnością firmy, są dzierżawione, czy pochodzą od stron trzecich, używane w dowolnym środowisku operacyjnym, administracyjnym lub środowisku produkcyjnym. Urządzenia Internetu Rzeczy (IoT) objęte zakresem obejmują czujniki środowiskowe, mechanizmy uwierzytelniania, inteligentne oświetlenie, sprzęt dozorowy oraz urządzenia noszone, natomiast systemy technologii operacyjnej (OT) obejmują programowalne sterowniki logiczne (PLC) i systemy sterowania nadzorczego i pozyskiwania danych (SCADA)/rozproszone systemy sterowania, panele interfejsu człowiek-maszyna (HMI) oraz sterowniki polowe. Polityka określa wymagania dla wszystkich środowisk (infrastruktura lokalna, chmura obliczeniowa, urządzenia brzegowe), etapów cyklu życia (projektowanie, zakupy, wdrożenie, eksploatacja, wycofanie z eksploatacji) oraz interesariuszy, w tym użytkowników wewnętrznych, integratorów, zewnętrznych dostawców oraz wykonawców. Kluczowe cele koncentrują się na ochronie tych infrastruktur przed zagrożeniami takimi jak odmowa usługi, nieuprawniony dostęp, ransomware oraz manipulacja oprogramowaniem układowym. Polityka nakazuje przyjęcie metodologii bezpieczeństwa na etapie projektowania oraz obrony w głąb, wymagając, aby wszystkie wdrożenia były zgodne z bazowym zestawem środków kontrolnych, takimi jak ISO/IEC 27001 oraz wytycznymi istotnymi dla sektora (IEC 62443, NIST SP 800-82). Bezpieczna integracja z operacjami bezpieczeństwa, w tym eskalacja, reagowanie na incydenty, klasyfikacja zdarzeń OT krytycznych dla działalności oraz dokumentowanie procedur międzydziałowych, stanowi integralny element. Wymagania dotyczące zarządzania określają konfigurację bezpieczeństwa urządzeń (unikalne dane uwierzytelniające, certyfikaty powiązane ze sprzętem, bezpieczny rozruch), egzekwują ścisłą segmentację sieci między IT/OT oraz zakazują niezabezpieczonych protokołów, chyba że są zabezpieczone i objęte akceptacją ryzyka. Monitorowanie i wykrywanie zagrożeń są ciągłe, a aktywności urządzeń i sieci są analizowane z użyciem pasywnych narzędzi wykrywania dla systemów ICS/SCADA, zestawów reguł SIEM dla OT, głębokiej inspekcji pakietów oraz praktyk przechowywania logów. Wdrażanie poprawek systemowych i walidacja podpisanego oprogramowania układowego są integralne, a wycofanie z eksploatacji urządzenia o zakończonym cyklu życia wymaga zdalnego wymazywania, unieważniania danych uwierzytelniających urządzenia oraz aktualizacji wykazu aktywów. Obsługa wyjątków i postępowanie z ryzykiem są jasno zdefiniowane dla systemów przestarzałych, które nie są w stanie spełnić wymagań, co wymaga formalnej dokumentacji, środków kontroli ograniczających ryzyko, podsieci o ograniczonym dostępie oraz monitorowania. Polityka jest ściśle zintegrowana z powiązanymi politykami regulującymi proces zarządzania ryzykiem, wykaz aktywów, ochronę punktów końcowych, politykę rejestrowania i monitorowania, politykę reagowania na incydenty (P30) oraz audyt i zgodność. Przeglądy są przeprowadzane corocznie lub po istotnych zmianach systemu, dostawcy lub krajobrazu zagrożeń, zapewniając stałe dostosowanie do obowiązków regulacyjnych, wymogów umownych oraz wymagań operacyjnych. Mechanizmy egzekwowania obejmują przeglądy audytowe, procedury dyscyplinarne, sankcje wobec dostawców oraz eskalację działań prawnych w przypadkach naruszeń regulacyjnych lub sabotażu.