A NIS2 és az OT viszonya

Jelen cikkben azt járjuk körbe, hogy a manapság a csapból is folyó NIS2 szabályozás hogyan érinti az ipari üzemeltetési technológiával is rendelkező szervezeteket.

A NIS2 irányelv elsődleges célja a kiberbiztonság uniós szintű fejlesztése, hogy ezáltal megteremtse az EU tagállamainak közös minimális biztonsági szintjét. A NIS2 irányelv, valamint annak rendelkezéseit a magyar jogrendbe átültető Kibertan.tv ¹. hatálya alá tartozó szervezetek a kiberfenyegetések által okozható károk mértékével arányos módon kötelesek gondoskodni az elektronikus információs rendszereik (EIR-ek) biztonságáról, ami meghatározza, hogy mely biztonsági osztályhoz tartozó követelményeknek kell megfelelniük.

A NIS2 irányelv 2023. január 16-án lépett hatályba. Átültetése a magyar jogrendbe megtörtént, a biztonsági követelmények 2024. június 24-én hivatalosan is kihirdetésre kerültek ². A hatálya alá tartozó szervezeteknek nincs oka halogatni az alkalmazásukat, megfelelőségi projekteket elindítani. Az irányelv rendelkezéseit 2024. október 18-tól kell alkalmazni, a közbenső időt lehet felhasználni a felkészülésre, és tapasztalataink szerint feladatok jellemzően minden érintettnél bőven vannak is. Mindemellett 2024. év végéig kell szerződni auditor szervezettel, és 2025. év végéig az első kiberbiztonsági auditot lefolytatni, a határidők elmulasztását pedig meglehetősen nagy bírságokkal büntethetik.

EURO ONE NIS2 care

Az Operational Technology (OT) – aminek magyarul leginkább az Üzemeltetési Technológia fogalom felel meg – olyan hardver- és szoftvermegoldások összessége, amik ipari környezetben folyamatok, eszközök (tipikusan fizikai gépek), rendszerek irányítására és felügyeletére használtak. Az ipari rendszerekben az OT elsődleges feladatai a folyamatirányítás, a termelési folyamatok automatizálása és szabályozása, a működési hatékonyság növelése. Az OT rendszerek a termelési környezetben elengedhetetlenek a folyamatos felügyelet, a diagnosztika, valamint az integrált működés megteremtése céljából.

Az OT rendszerek folyamatosan valós idejű adatokat szolgáltatnak a gépek állapotáról és működéséről, ami szükség esetén lehetővé teszi az azonnali beavatkozást, a problémák megelőzését. Segítségükkel folyamatosan nyomon követhető, monitorozható a berendezések állapota, ami lehetővé teszi az úgynevezett prediktív karbantartást, ezáltal csökkenti a váratlan leállások kockázatát és a gépek élettartamát is meghosszabbítja.

A fentiek különösen fontosak a kritikus infrastruktúrák esetében, mint például a modern energetikai hálózatoknál, vízkezelő rendszereknél, vagy a különböző gyártó cégeknél. Mindemellett az OT és IT rendszerek integrációja egyre általánosabbá válik, mivel lehetővé teszi a teljes gyártási lánc valós idejű felügyeletét és optimalizálását, ugyanakkor a pozitívumok mellett jelentős biztonsági aggályokat is felvet. Az ipar 4.0 (más néven ipari IoT / Internet of Things) üzleti oldali elvárásai miatt az adatok összegyűjtése és elemzése ipari környezetben is egyre elterjedtebb, de a megvalósítás során a biztonsági szempontok gyakran háttérbe kerülnek.

Az ügyfeleinkkel folytatott beszélgetések során azt tapasztaljuk, hogy a NIS2 irányelvet alapvetően, vagy kizárólag IT fókuszú szabályozásnak tekintik. Fontos tudni, hogy a NIS2, valamint a Kibertantv. nem tesz különbséget IT és OT környezetek szerint, ezáltal az előírások, követelmények egyaránt vonatkoznak OT-ra is, a kizárólag IT-fókuszú interpretáció téves. A követelmények túlnyomó része az OT környezetben is értelmezhető, és releváns.

A Kibertantv. 1. és 2. számú mellékletei felsorolják azon kockázatos-, valamint kiemelten kockázatos iparágakat, amelyekre az ágazati hatály vonatkozik. Úgy véljük, hogy az alábbi táblázatban jelölt ágazatokban működő szervezeteknél kivétel nélkül alkalmaznak a gyártó, termelő, feldolgozó tevékenységek során azt támogató OT eszközöket (pl. PLC-ket, DCS-ket, SCADA rendszereket stb.):

A megjelölt ágazatokban működő szervezeteknek a fentiek miatt a NIS2 hiányosság elemzés (gap assessment), valamint a hiányosságok kezelése esetén az OT környezetet is figyelembe kell venniük, arra is el kell végezniük mind az eltérésék azonosítását, mind a javító intézkedések végrehajtását.

A NIS2 előírja, hogy az érintett szervezeteknek be kell vezetniük egy átfogó kockázatmenedzsment keretrendszert, amely kiterjed az OT rendszerekre is. Ez magában foglalja a biztonsági intézkedések végrehajtását, a sebezhetőségek azonosítását és kezelését, valamint a fenyegetések elleni védekezést is.
Az érintett szervezeteknek gyorsan és hatékonyan kell reagálniuk a biztonsági eseményekre az OT rendszereik vonatkozásában is és ezeket jelenteniük kell a megfelelő hatóságoknak.

A NIS2 hangsúlyozza a kiberbiztonsági koordináció és az együttműködés fontosságát az EU tagállamai között. Ez vonatkozik az OT rendszerekre is, amelyek esetében kulcsfontosságú a közös szabványok és legjobb gyakorlatok alkalmazása. Az érintett szervezeteknek megfelelő technikai és szervezeti intézkedéseket kell bevezetniük az OT rendszerek védelmére. Ide tartoznak többek között a tűzfalak, behatolásérzékelő rendszerek, valamint a rendszeres biztonsági auditok és sebezhetőségi vizsgálatok.
Az OT rendszerek folyamatos monitorozása és az anomáliák azonosítása is kulcsfontosságú a gyors reagálás érdekében. Az incidenskezelési tervnek tartalmaznia kell az OT rendszerekre vonatkozó specifikus eljárásokat is.

Az OT rendszerekkel dolgozó személyzet képzése és a kiberbiztonsági tudatosság növelése szintén alapvető követelmény. Ez biztosítja, hogy a dolgozók felismerjék és megfelelően reagáljanak a biztonsági fenyegetésekre.

A megfelelőség érdekében is fontos a megfelelő vizibilitás megteremtése, hogy mindenre kiterjedően tudjuk, hogy milyen eszközeink, rendszereink vannak, azok milyen üzleti folyamatokhoz kapcsolódnak, milyen sérülékenységekkel rendelkeznek. Emiatt jellemzően az első lépések közt kell elvégezni az eszköz- és folyamatlista összeállítását vagy naprakész és teljeskörű állapotba hozását.

Minden NIS2 követelmény kategóriára megfelelő mélységben egy cikkben nem lehetséges kitérni. A célunk inkább a gondolatébresztés, ezért csak a szervezetek ellátási láncából és beszállítóikkal való kapcsolatából eredő kiberbiztonsági kockázatok kezelését nézzük részletesebben, mivel ez OT szempontból egy kritikus fontosságú kategória. Az ipari hátterű, OT-t használó szervezetek hajlamosak távoli hozzáférést biztosítani beszállítóiknak támogatás, karbantartás és frissítés céljából, ami szükségszerűen minden szervezet esetében megnyitja a leggyakrabb kihasznált támadási vektort: a távoli hozzáférési kapcsolatot.

A kockázat többféle megoldással is kezelhető. Ilyen például a Zero Trust megközelítés alkalmazása, aminek lényege, hogy alapértelmezés szerint senkit sem tekintünk megbízhatónak. Bármilyen személy és eszköz esetében, amely megpróbál hozzáférni a hálózat erőforrásaihoz, szigorú személyazonosság-ellenőrzést alkalmazunk. Ez igaz a hálózaton belüli és kívüli kérésekre, hozzáférésekre is. Ennek megvalósítása természetesen megköveteli a folyamatos monitoring, ellenőrzés és hitelesítés képességét, az eszközök hozzáférés kezelését.

Az OT hálózatok szegmentációja és biztonságos elkülönítése a vállalati IT hálózatoktól alapvető követelmény. Ez minimalizálja a kiberfenyegetések terjedését és csökkenti a potenciális károkat. A Zero Trust hálózatok jellemzően mikroszegmentációt is alkalmaznak, ami megnehezíti a támadó oldalirányú mozgását (lateral movement-t). A mikroszegmentáció a hálózat kisebb zónákra való bontása, külön hozzáférés megkövetelése érdekében. Amint a támadó jelenlétét észlelik, a veszélyeztetett eszköz vagy felhasználói fiók karanténba helyezhető és elzárható a további hozzáféréstől.

Bár a Zero Trust megközelítés is fontos szempont bármilyen OT-hálózaton belül, a NIS2 többek között megköveteli a többfaktoros hitelesítés (MFA) alkalmazását is, amely minden távoli hozzáférési megoldás esetében kritikus képesség. Emellett sokat tud javítani még a biztonság helyzetén a legkisebb szükséges jogosultságú hozzáféréseket biztosító házirendek (least privilege access) alkalmazása is. Fontos szem előtt tartani, hogy a megfelelőség elérésébe fektetett energia nem hiábavaló, az irányelv követelményeinek való megfelelés segíti a szervezetet, hogy gyakorlati védelem kialakításával felkészüljön a kiberbiztonsági fenyegetésekre.

Az első lépésnek logikusan egy IT és OT környezetre is kiterjedő gap assessment elvégzésének, a hiányosságok azonosításának kell lennie, hogy tudjunk hol állunk, ahhoz képest, hogy hova kell eljutnunk. Ez alapján kiderül, hogy milyen lépéseket, javító intézkedéseket kell elvégeznünk a megfelelés érdekében.

Amennyiben az Ön szervezetének segítségre van szüksége akár a felmérés, akár a hiányosságok kezelése terén, forduljon az EURO ONE szakértőihez bizalommal!

1. 2023. évi XXIII. törvény a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről https://net.jogtar.hu/jogszabaly?docid=a2300023.tv ↩︎
2. Magyar Közlöny 2024. évi 68. szám 
   https://magyarkozlony.hu/dokumentumok/6a941bae23a11518e38315c9df5fddb40881dafa/megtekintes ↩︎