ICS helyett OT: küszöbön az új NIST 800-82

Mint minden összetett területen, a kiberbiztonságban is létfontosságúak a megfelelő szabványok és szakmai útmutatások. Aki folyamatosan olvas minket, korábbi írásainkban is találkozhatott már a NIST 800-82 rev. 2 Guide to Industrial Control Systems (ICS) Security szabvánnyal, amely az ipari termelői környezetekre fókuszálva szolgál irányadó dokumentumként. De rajtunk kívül is sokan foglalkoztak már vele, hiszen megkerülhetetlen a kiberbiztonság területén.
A NIST idén április 26-án adta ki a 800-82 szabvány új, rev. 3 verziójának publikus tervezetét, s bár a július 1-ig tartó észrevételezési szakasz során még több helyen változhat a dokumentum, az már most látszik, hogy egy aprólékosan összeállított kézikönyvet kap a kiberbiztonsági szakma.

Bővített hatókör

Az új kiadás hatóköre egyértelműen kibővült, s már a címe is elgondolkodtató: Guide to Operational Technology (OT) Security. Aki ismeri az amerikai szakirodalom szóhasználatát, tudja, hogy többnyire az ICS mozaikszó az elterjedt, ám ez szűk értelemben a gyártásvezérlési- és termelési rendszerekre használt fogalom. A 800-82 rev. 3 viszont tudatosan OT-ra íródott, méghozzá tágabb értelemben véve, ugyanis az új szabvány foglalkozik minden olyan rendszertípussal, melyek valamilyen fizikai folyamatot vezérelnek. Így a hagyományos ipari vezérlőrendszer típusok mellett helyet kapott az épületautomatizálás (Building Automation Systems), a fizikai beléptetés (Physical access control), az üzembiztonság (Safety) és az ipari Internet of Things (IIoT) egyaránt. A tervezet mindegyik rendszertípushoz szolgál referenciaábrákkal, a védelmi stratégiai elemekkel foglalkozó fejezetei pedig a kibővített hatókörnek megfelelően íródtak, miként a korábbról már ismert sérülékenység és fenyegetés könyvtárak is.

Hiánypótoló tartalmakkal kibővítve

Érdemes kiemelten is megemlíteni, a NIST Cybersecurity Framework (NIST CSF) OT alkalmazására vonatkozó kézikönyvet. Ez a terület önálló fejezetet kapott, amely tartalmaz minden CSF Function-t, az összes releváns Category-t és Sub-Category-t, méghozzá terület-specifikus útmutatóval. De ezeken felül találkozhatunk a 800-82 rev. 3 saját hozzáadott elemeivel is. A NIST CSF az egyik legelterjedtebb kiberbiztonsági keretrendszer, így e téma önálló feldolgozásával – bár már rendelkezik más szabványok kontrolljaira hivatkozó összerendelő útmutatókkal – a NIST hiánypótló munkát végzett. Már csak azért is, mert igen nagy erre az üzleti igény.
Ha már szabványok közötti kapcsolatokról beszélünk, nem mehetünk el szó nélkül a NIST 800-53 rev. 5 kontrolljaival történő összerendelést segítő fejezetek mellett sem. A kiberbiztonsági kontrollokat számba vevő 800-53 legújabb verziója az elődjénél lényegesen naprakészebb, így az új 800-82 már az ehhez való kapcsolódást segíti elő.
A NIST tehát ezúttal sokéves szabványokat frissített, válaszolva ezzel az utóbbi évek rohamosan változó kibervédelmi kihívásaira.
Az EURO ONE-nál folyamatosan követjük a szabályozási környezet alakulását, és ezekhez mérten frissítjük módszertanainkat, hogy jelenlegi és leendő ügyfeleinknek egyaránt segíthessünk ebben.