Operasyonel Teknolojinin (OT) dinamik ortamında, sağlam siber güvenlik önlemleri çok önemlidir. Dijital dönüşüm hızlandıkça kritik altyapıyı korumak daha zor hale geliyor. Neyse ki, OT sektörünü siber tehditlere karşı güçlendirmek için üç temel standart (NIS2, CRA ve IEC 62443) ortaya çıktı. Bu makalede, bu standartların OT siber güvenliğinde birleşik bir cephe oluşturmak için nasıl sinerji oluşturduğunu araştırıyoruz.
NIS2 (Ağ ve Bilgi Sistemleri Direktifi 2)
NIS2, orijinal NIS mevzuatını genişleterek kapsamını enerji, su ve ulaşım gibi hayati sektörleri kapsayacak şekilde genişletiyor. İşte bilmeniz gerekenler:
- Daha Sıkı Düzenlemeler: NIS2 daha güçlü güvenlik gereksinimleri ve olay raporlama yükümlülükleri getirir. Güvenlik açıklarının çoğunlukla birbirine bağlı sistemlerden kaynaklandığını kabul ederek tedarik zinciri güvenliğini vurgular.
- AB Çapında İşbirliği: NIS2, Avrupa Birliği genelinde işbirliğini ve bilgi alışverişini teşvik eder. Uyumsuzluğun artık daha ağır cezaları var.
- Fazla Uzama Uygunluğu: NIS2, kuruluşların özellikle OT sistemleriyle ilgili olarak uygun bir güvenlik düzeyi sağlamasını zorunlu kılar.
CRA (Siber Dayanıklılık Yasası)
CRA, dijital bileşenli ürünler veya yazılımlar kullanan tüketicileri ve işletmeleri korumaya odaklanır; OT ortamlarındaki yaygın senaryolar:
- Zorunlu Gereksinimler: Üreticiler ve perakendeciler, bir ürünün yaşam döngüsü boyunca CRA’nın siber güvenlik gerekliliklerine uymak zorundadır.
- NIS2’yi tamamlayıcı: CRA, NIS2’nin çabalarını tamamlayarak ağa bağlı ürünlerin yüksek güvenlik standartlarını karşılamasını sağlar.
IEC 62443: Küresel En İyi Uygulama
AB’ye özgü zorunluluklar taşıyan NIS2 ve CRA’nın aksine, IEC 62443 sınırları aşmaktadır. Endüstriyel Otomasyon ve Kontrol Sistemleri (IACS) ve OT için özel siber güvenlik standartları sağlar:
- Endüstriyel Bağlam: IEC 62443, endüstriyel ortamlardaki benzersiz güvenlik sorunlarını ele alır. Veri gizliliğini ve üretkenliği dengeler.
- Derinlemesine Savunma: Standart, kuruluşlara sağlam siber güvenlik yönetim sistemleri (CSMS) oluşturma konusunda rehberlik eden kapsamlı bir savunma modelinin ana hatlarını çiziyor.
- Risk değerlendirmesi: IEC 62443, risk değerlendirmelerine yardımcı olarak kuruluşların güvenlik ürünlerini ve hizmet sağlayıcılarını etkili bir şekilde seçmelerine yardımcı olur.
OT üzerindeki etkiyi açığa çıkarmak mı istiyorsunuz?
Bir ortaçağ krallığını bir organizasyon olarak hayal edin. Krallık, “Operasyonel Teknoloji” (OT) ortamıdır ve çeşitli tehditlerden korunması gerekir.
NIS2, krallığın kral (yönetim organı) tarafından belirlenen kanunları ve politikaları gibidir. Bu yasalar, krallıktaki her köyün (kritik altyapı) karşılaştıkları tehditlere uygun savunmalara (siber güvenlik önlemleri) sahip olmasını ve tüm krallığın korunmasına yardımcı olmak için herhangi bir saldırıyı (siber olayları) kralın konseyine (düzenleyici otorite) bildirmeleri gerektiğini zorunlu kılar. bölge.
CRA, demirciler loncasına (ürün üreticileri) benzer. Krallığın savaşçıları (son kullanıcılar) tarafından kullanılmadan önce belirli kalite ve dayanıklılık standartlarını karşılayan silahlar ve zırhlar (dijital ürünler ve yazılım) üretmeleri gerekmektedir. Bu, ön saflardaki savunucuların başlangıçtan itibaren güvenilir ekipmanlarla donatılmasını sağlar.
IEC62443, krallığın tahkimatlarını (güvenlik kontrolleri ve önlemleri) tasarlayan ve inşa eden usta inşaatçılar ve mühendislerle (siber güvenlik uzmanları) karşılaştırılabilir. Her kalenin ve duvarın kuşatmalara dayanacak ve sakinlerini etkili bir şekilde koruyacak şekilde inşa edilmesini sağlamak için bir dizi plan ve yönergeyi (teknik standartlar) takip ediyorlar.
Bu üç unsur birlikte krallık için sağlam bir savunma sistemi oluşturur:
- Yasalar ve politikalar (NIS2), herkesin tehditlerden haberdar olmasını ve nasıl yanıt vereceğini bilmesini sağlar.
- Kaliteli ekipman (CRA), savunucuların herhangi bir rakiple yüzleşmeye iyi hazırlıklı olduğu anlamına gelir.
- Güçlü tahkimatlar (IEC62443) saldırılara dayanabilecek güvenli bir ortam sağlar.
Bu benzetme, kuruluşu her düzeyde potansiyel tehditlerden koruyan kapsamlı bir siber güvenlik stratejisi sağlamak için NIS2, CRA ve IEC62443’ün nasıl uyum içinde çalıştığını göstermektedir.
Zaman çizelgeleri
MKK
CRA anlaşması, Mart 2024’te Avrupa Parlamentosu tarafından resmi olarak onaylandı. Bu makalenin yazıldığı an itibariyle, yürürlüğe girmeden önce hâlâ Konsey tarafından resmi olarak kabul edilmesi gerekiyor. CRA’nın çoğu, yürürlüğe girdikten yaklaşık üç yıl sonra, yani 2027 civarında uygulanabilir hale gelir
NIS2
17 Ekim 2024’e kadar Üye Devletler, NIS2 Direktifine uyum için gerekli önlemleri almalı ve yayınlamalıdır. Bu tedbirleri 18 Ekim 2024 tarihinden itibaren uygulayacaklar.
IEC62443
2021’de IEC, IEC62443 standart ailesini ‘yatay standartlar’ olarak onayladı. Bu, konu uzmanları tarafından operasyonel teknolojiye yönelik sektöre özel standartlar geliştirilirken, bu standartlarda siber güvenliği ele alan gerekliliklerin temelinde IEC62443 standartlarının kullanılması gerektiği anlamına gelir.
OT Siber Güvenliğinin Geliştirilmesi: NIS2, CRA ve IEC62443 Üçlüsü
Operasyonel Teknolojiyi (OT) güvence altına almanın karmaşık dansında üç önemli oyuncu (NIS2, CRA ve IEC62443) sahneye çıkıyor. Birlikte, ürün yaşam döngüsü boyunca güvenliğin farklı yönlerini kapsayan çabalarını uyumlu hale getiriyorlar.
NIS2 Kritik altyapının operasyonel yönüne ve dayanıklılığına odaklanır. OT sektörünün günlük operasyonları için gerekli olan risk yönetimi, raporlama ve güvenlik önlemlerine ilişkin gereksinimleri belirler.
MKK Pazara giren dijital ürün ve yazılımların tasarım aşamasından itibaren sağlam siber güvenlik önlemlerine sahip olmasını sağlayarak ürün yönünü hedef alır. Bu eylem, OT ortamlarında kullanılan donanım ve yazılımın varsayılan olarak güvenli olmasını sağlar.
IEC62443 Endüstriyel kontrol sistemlerinin güvenliğini sağlamak için özel standartlar ve uygulamalar içeren teknik bir çerçeve sağlar. OT ortamlarında güvenlik kontrollerinin nasıl uygulanacağı ve siber güvenlik risklerinin nasıl yönetileceği konusunda ayrıntılı rehberlik sunar.
Birlikte kapsamlı bir siber güvenlik ekosistemi oluştururlar:
- NIS2, temel hizmetlerin operatörlerinin yüksek düzeyde güvenlik sağlamasını ve olayları raporlamasını sağlar; bu da OT sektörünün genel dayanıklılığı için çok önemlidir.
- CRA, bu sektörlerde kullanılan ürünlerin başlangıçtan itibaren güvenli olmasını sağlayarak güvenlik açığı riskini azaltarak bunu tamamlıyor.
- IEC62443, OT sistemlerinin özel ihtiyaçlarına uygulanan teknik standartlar sunarak, sektör paydaşları için ortak bir dil ve uygulamalar seti sağlayarak bu boşluğu dolduruyor.
NIS2, CRA ve IEC62443 birlikte zorlu bir ittifak oluşturur. OT sektörünün siber düşmanlara karşı dayanıklılığını güçlendiriyorlar. Kuruluşlar bu standartları benimseyerek siber riskleri yönetmek için yapılandırılmış bir yaklaşım kazanır. Dolayısıyla ister bir enerji santralini, ister akıllı şebekeyi, ister otonom araç filosunu koruyor olun, şunu unutmayın: Siber güvenlik bizim kolektif kalkanımızdır!
Yazar Hakkında
Vinny Sagar, swIDch’te Çözüm Mimarıdır. Kimlik ve siber güvenlik alanında satış öncesi, danışmanlık ve yazılım geliştirmede 15 yılı aşkın deneyime sahip olan Vinny, çeşitli sektörlerdeki ve bölgelerdeki birçok müşterinin özel ihtiyaçlarını ve zorluklarını karşılayan Sıfır Güven çözümleri tasarlamasına ve dağıtmasına yardımcı oldu. Vinny’ye şu adresten çevrimiçi olarak ulaşılabilir: [email protected]LinkedIn’de (@vinnysagar) veya swIDch aracılığıyla