Politica de securitate IoT-OT

Politica de securitate IoT/OT (P35) stabilește un set cuprinzător de cerințe obligatorii de securitate a informației pentru implementarea, operarea, monitorizarea și dezafectarea sistemelor din Internetul obiectelor (IoT) și a sistemelor de tehnologie operațională (OT) în întreaga organizație. Scopul principal este integrarea acestor tehnologii în sistemul de management al securității cibernetice al organizației, asigurând protecție robustă împotriva compromiterii, utilizării abuzive sau sabotajului operațional. Domeniul de aplicare al acestei politici include toate sistemele IoT și OT, indiferent dacă sunt deținute de companie, închiriate sau provenite de la terți, utilizate în orice mediu operațional, administrativ sau de producție. Dispozitivele IoT acoperite includ senzori de mediu, mecanisme de control al accesului, iluminat inteligent, echipamente de supraveghere și dispozitive purtabile, în timp ce sistemele OT variază de la controlere logice programabile (PLC) și sisteme de control și achiziție de date (SCADA)/sisteme de control distribuit (DCS) până la panouri de interfață om-mașină (HMI) și controlere de câmp. Politica descrie cerințe pentru toate mediile (la sediu, cloud, dispozitive edge), etapele ciclului de viață (proiectare, achiziție, implementare, operare, dezafectare) și părțile interesate, inclusiv utilizatori interni, integratori, furnizori terți și contractanți. Obiectivele-cheie vizează protejarea acestor infrastructuri împotriva amenințărilor precum denial-of-service, acces neautorizat, ransomware și manipularea firmware-ului. Politica impune adoptarea metodologiilor securitate prin proiectare și apărare în profunzime, solicitând ca toate implementările să respecte controalele standard de bază precum ISO/IEC 27001 și ghidajul relevant pentru sector (IEC 62443, NIST SP 800-82). Integrarea securizată cu operațiunile de securitate, inclusiv escaladarea răspunsului la incidente, clasificarea evenimentelor OT critice pentru afacere și documentarea procedurilor interdepartamentale reprezintă o componentă integrală. Cerințele de guvernanță specifică configurația de securitate a dispozitivului (credențiale unice, certificate legate de hardware, pornire securizată), impun segmentarea și izolarea strictă a rețelei între IT/OT și interzic protocoalele nesigure, cu excepția cazului în care sunt securizate și acceptate ca risc. Monitorizarea și detectarea amenințărilor sunt continue, iar activitățile dispozitivelor și ale rețelei sunt analizate folosind instrumente de detecție pasivă pentru ICS/SCADA, seturi de reguli SIEM specifice OT, inspecție profundă a pachetelor și practici de păstrare a jurnalelor. Aplicarea corecțiilor de sistem și validarea firmware-ului semnat sunt esențiale, iar dezafectarea dispozitivelor la sfârșitul ciclului de viață necesită ștergere la distanță/ștergerea configurației locale, revocarea credențialelor dispozitivului și actualizări ale inventarului activelor. Gestionarea excepțiilor și tratamentul riscului sunt definite clar pentru sistemele moștenite care nu pot îndeplini cerințele, necesitând excepții documentate, controale de atenuare a riscurilor, subrețele restricționate dedicate și monitorizare. Politica este integrată strâns cu politici conexe care guvernează managementul riscurilor, inventarul activelor, protecția punctelor terminale, politica de jurnalizare și monitorizare, politica de răspuns la incidente și audit și conformitate. Revizuirile sunt efectuate anual sau la schimbări semnificative ale sistemelor, furnizorilor sau peisajului de amenințări, asigurând alinierea continuă la obligații de reglementare, cerințe contractuale și cerințe operaționale. Mecanismele de aplicare includ revizuiri de audit, proceduri disciplinare, sancțiuni pentru furnizori și escaladarea acțiunilor legale în cazuri de încălcare a reglementărilor sau sabotaj.