Politika bezpečnosti IoT/OT

Politika bezpečnosti IoT/OT (P35) stanovuje komplexný súbor povinných požiadaviek informačnej bezpečnosti pre nasadenie, prevádzku, monitorovanie a vyradenie z prevádzky systémov internetu vecí (IoT) a systémov prevádzkových technológií (OT) v celej organizácii. Jej hlavným cieľom je integrovať tieto technológie do systému riadenia kybernetickej bezpečnosti organizácie a zabezpečiť robustnú ochranu pred kompromitáciou, zneužitím alebo sabotážou výroby. Rozsah tejto politiky zahŕňa všetky systémy IoT a systémy prevádzkových technológií (OT), či už sú vo vlastníctve spoločnosti, prenajaté alebo získané od tretích strán, používané v akomkoľvek prevádzkovom, administratívnom alebo produkčnom prostredí. Pokryté IoT zariadenia zahŕňajú senzory prostredia, riadenie prístupu, inteligentné osvetlenie, sledovacie zariadenia a nositeľné zariadenia, zatiaľ čo OT systémy siahajú od programovateľných logických automatov (PLC) a platforiem SCADA/DCS až po panely rozhrania človek-stroj (HMI) a poľné kontroléry. Politika stanovuje požiadavky naprieč všetkými prostrediami (vo vlastných priestoroch, cloud, okrajové zariadenia), fázami životného cyklu (návrh, obstarávanie, nasadenie, prevádzka, vyradenie z prevádzky) a zainteresovanými stranami vrátane interných používateľov, integrátorov, dodávateľov tretích strán a dodávateľov. Kľúčové ciele sa zameriavajú na ochranu týchto infraštruktúr pred hrozbami, ako sú útoky typu denial-of-service, neoprávnený prístup, ransomvér a manipulácia s firmvérom. Politika nariaďuje prijatie prístupov bezpečnosť už od návrhu a obrana do hĺbky a vyžaduje, aby všetky nasadenia spĺňali základný súbor kontrolných opatrení, ako je ISO/IEC 27001, a odvetvovo relevantné usmernenia (IEC 62443, NIST SP 800-82). Bezpečná integrácia s bezpečnostnými operáciami vrátane eskalácie reakcie na incidenty, klasifikácie obchodne kritických OT udalostí a dokumentácie medzifunkčných postupov je integrálnou súčasťou. Požiadavky správy a riadenia špecifikujú bezpečnostnú konfiguráciu zariadenia (unikátne prihlasovacie údaje, hardvérovo viazané certifikáty, bezpečné zavádzanie), vynucujú prísnu segmentáciu siete medzi IT/OT a zakazujú nezabezpečené protokoly, pokiaľ nie sú zabezpečené a akceptované z hľadiska rizika. Monitorovanie a detekcia hrozieb sú nepretržité, pričom aktivity zariadení a sietí sa skúmajú pomocou pasívnych detekčných nástrojov s podporou ICS/SCADA, sád pravidiel SIEM špecifických pre OT, hĺbkovej inšpekcie paketov a postupov uchovávania logov. Bezpečnostné záplaty a overovanie podpísaného firmvéru sú integrálne a vyradenie zariadení na konci životnosti vyžaduje vymazanie údajov, zneplatnenie poverení zariadenia a aktualizácie inventarizácie aktív. Ošetrenie výnimiek a ošetrenie rizík sú jasne definované pre staršie systémy, ktoré nie sú schopné splniť požiadavky, pričom sa vyžaduje formálna dokumentácia, zmierňujúce ochranné opatrenia, obmedzené podsiete a monitorovanie. Politika je úzko integrovaná so súvisiacimi politikami upravujúcimi riadenie rizík, inventarizáciu aktív, ochranu koncových bodov, auditné logovanie, monitorovanie, reakciu na incidenty a audit a súlad. Preskúmania sa vykonávajú ročne alebo pri významných zmenách systému, dodávateľa alebo prostredia hrozieb, čím sa zabezpečuje pokračujúce zosúladenie s regulačnými, zmluvnými a prevádzkovými požiadavkami. Mechanizmy vynucovania zahŕňajú preskúmania auditu, disciplinárne postupy, sankcie voči dodávateľom a eskaláciu právnych krokov v prípadoch regulačného porušenia alebo sabotáže.