Operatiivinen tekniikka (OT)
Tietotekniikka (IT)
Tietotekniikan tietoturvallisuus: ISO/IEC 27000 -sarja
Tutustu myös havainnollistavaan Kyberturvallisuuden standardikarttaan.
Kyberturvallisuusstandardikartta (SESKO)
Kyberturvallisuusstandardikartta (IEC ja ISO)
Miksi tarvitaan erilaista lähestymistapaa?
Kriittiseen infrastruktuuriin, kuten voimalaitokseen tai sairaalaan, kohdistuva kyberhyökkäys voi kaataa koko järjestelmän ja vaikuttaa ihmisten fyysiseen hyvinvointiin sekä heidän kykyynsä harjoittaa liiketoimintaa tai hankkia peruspalveluja, kuten vettä, ruokaa tai terveydenhuoltoa.
Kaikilla yrityksillä on nykyään IT-järjestelmät. Kriittisten palveluiden toimittajilla on myös OT-järjestelmiä.
Kyberturvallisuus yhdistetään usein tietotekniikkaan, ja sitä johtaa usein tietotekniikkaosasto keskittyen suojaamaan tietovirtaa virtuaalimaailmassa. Tehtaiden tai jalostamoiden kriittisellä infrastruktuurilla ja automatisoidulla ympäristöllä on kuitenkin turvallisuusvaatimuksia, jotka ovat osa todellista fyysistä maailmaa. Ne luottavat operatiivisiin tekniikoihin (OT) varmistaakseen automaattisten toimintojen oikean suorittamisen, kuten venttiilin sulkemisen kemikaalien ylivuodon välttämiseksi tai generaattorin tuomisen verkkoon sähkökatkoksen välttämiseksi.
OT sisältää sekä laitteiston että ohjelmiston. Sen tavoitteena on pitää todellisen maailman järjestelmät toiminnassa tarkoitetulla tavalla, turvallisesti ja tehokkaasti.
Teollisen esineiden internetin (IIoT) syntymisen myötä, kytkettäessä fyysisiä koneita verkkoon liitettyihin antureihin ja ohjelmistoihin, IT: n ja OT: n väliset rajat hämärtyvät.
Kun yhä useammat esineet ovat yhteydessä toisiinsa, kommunikoivat ja ovat vuorovaikutuksessa toistensa kanssa, päätepisteiden määrä ja kyberrikollisten mahdolliset tavat päästä verkkoihin ja infrastruktuurijärjestelmiin ovat lisääntyneet. Monitasoisen syvyyssuuntaisen tietoturvallisuusstrategian on katettava sekä IT- että OT-ympäristöt.
Tietotekniikka (IT) ja operatiivinen tekniikka (OT)
IEC:n kansainväliset standardit, kuten ISO/IEC 27001 ja IEC 62443, sekä testaus ja sertifiointi (vaatimustenmukaisuuden arviointi) ovat tärkeitä työkaluja onnistuneelle ja kokonaisvaltaiselle kyberturvallisuusohjelmalle. Tällainen lähestymistapa lisää sidosryhmien luottamusta osoittamalla paitsi parhaisiin käytäntöihin perustuvien turvatoimien olevan käytössä myös sen, että organisaatio on toteuttanut toimenpiteet tehokkaasti. Tämä on sisällytettävä kattavaan strategiaan, joka sisältää ihmiset, prosessit ja teknologian.
Riskiperusteinen järjestelmälähestymistapa
Kaikkien kyberturvallisuusstrategioiden tavoitteena on suojata mahdollisimman monta laitetta ja erityisesti tärkeimmät. Koska ei ole mahdollista tai realistista yrittää suojella kaikkea tasapuolisesti, on tärkeää tunnistaa, mikä on arvokkainta ja ansaitsee parhaimman suojan.
Järjestelmälähtöinen lähestymistapa toimii priorisoimalla ja lieventämällä riskejä hyväksyttävälle tasolle, mikä edellyttää neutraalia lähestymistapaa, jossa otetaan huomioon erilaiset vaatimustenmukaisuuden arvioinnit – itsearvioinnista riippumattomaan kolmannen osapuolen testaukseen – eri riskitasojen mukaan.
Kyberturvallisuus ja vaatimusten mukaisuuden arviointi
Kaikkien kyberturvallisuusstrategioiden tavoitteena on suojata mahdollisimman monta ominaisuutta ja erityisesti tärkeimmät “kruununjalokivet”. Kaikkien jalokivien suojaamisen tavoittelu ei monesti ole toteuttamiskelpoista, järkevää tai edes tehokasta. Tästä syystä on tunnistettava, mikä on arvokasta ja tarvitsee suurinta suojaa, tunnistaa haavoittuvuudet ja asettaa tärkeysjärjestys, jonka pohjalta voi rakentaa syvän puolustuksen kyberturvallisuus arkkitehtuurin, joka varmistaa liiketoiminnan jatkuvuuden.
Oheisesta linkistä löydät yleiskatsaus IEC-standardeihin ja kyberturvallisuuden vaatimustenmukaisuuden arviointiin.
Kyberturvallisuuden ABC
Kyberturvallisuuden ABC:
A = riskin arviointi
B = parhaat käytännöt riskin käsittelemiseksi
C = noudattamisen arviointi seurantaa ja ylläpitoa varten.
IEC ja kyberturvallisuus
Yksi kriittisimmistä haasteista on yhteyksissä olevien kyberfyysisten järjestelmien turvallisuus. Usein suunnitteluvaiheessa kiinnitetään hyvin vähän tai ei lainkaan huomiota siihen, että yhteydessä olevat objektit ovat suojattuja haitallisilta hyökkäyksiltä.
Infrastruktuurijärjestelmien kyberhaavoittuvuuksien hyödyntämisestä on tullut kasvava uhka liiketoiminnalle ja yhteiskunnan kokonaisvaltaiselle turvallisuudelle.
Horisontaaliset ja vertikaaliset standardit
ISOn ja IEC:n yhteinen tekninen komitea (JTC1) kehittää ISO/IEC 27000 -standardiperhettä tietotekniikkajärjestelmille. IEC:n tekninen komitea 65 (TC 65) julkaisee IEC 62443 -standardisarjaa teollisen ja kriittisen infrastruktuurin operatiivisesta teknologiasta, mukaan lukien energialaitokset, vesihuoltojärjestelmät, terveydenhuolto ja liikennejärjestelmät.
Nämä horisontaaliset standardit, joita kutsutaan myös perusstandardeiksi, ovat teknologiariippumattomia. Niitä voidaan soveltaa monilla teknisillä alueilla.
Vertikaaliset standardit on suunniteltu vastaamaan erityisiin teknisiin tarpeisiin esimerkiksi energia-alalla, valmistuksessa, terveydenhuollossa tai merenkulussa. Useat tekniset komiteat ja alakomiteat valmistelevat kansainvälisiä standardeja, jotka suojaavat tiettyjä aloja ja pitävät teollisuuden ja kriittisen infrastruktuurin omaisuuden turvassa.
Vaatimustenmukaisuuden arviointi
Standardit antavat kirjalliset ohjeet. Testaus ja sertifiointi (vaatimustenmukaisuuden arviointi) varmistaa, että näitä ohjeita sovelletaan oikein todellisissa teknisissä järjestelmissä.
IEC:llä on neljä vaatimustenmukaisuuden arviointijärjestelmää (CA) jopa 54 jäsenmaassa. Kyberturvallisuuden alalla IECEE:llä on tällä hetkellä johtava rooli IEC 62443 -standardisarjaan perustuvien palvelujen tarjoamisessa. IECEE Industrial Cyber Security Programme luotiin testaamaan ja sertifioimaan teollisuusautomaatioalan kyberturvallisuutta.
IECEE: n “toiminta-asiakirja” OD-2061 kuvaa, miten vaatimustenmukaisuuden arviointia voidaan soveltaa IEC 62443 -sarjaan.
IECQ tarjoaa maailmanlaajuisen ISO/IEC 27001 -sertifiointijärjestelmän, joka määrittelee vaatimukset tietoturvallisuuden hallintajärjestelmän (ISMS) käyttöönotolle, ylläpidolle ja jatkuvalle parantamiselle. Se sisältää vaatimukset organisaation tarpeisiin räätälöityjen tietoturvariskien arvioinnista ja käsittelystä
Kyberturvallisuus ja resilienssi
Tämä IEC:n teknologiaraportti tarjoaa ohjeita, jotka auttavat johtajia älykkään energian toimintaympäristössä Lue lisää
Terminologia
Lisää kyberturvallisuusdesta:
Artikkeleita kyberturvallisuusstandardeista – Sesko ry
Rautateiden kyberturvallisuus – IEC-standardin valmistelu alkamassa – Sesko ry
CEN-CENELEC-ETSI Joint Technical Body valmistelemaan Radiolaitedirektiivin edellyttämiä kyberturvallisuusstandardeja – Sesko ry
Merenkulun radiolaitteita ja järjestelmiä standardoiva IEC TC 80 kokoontui Espoossa – Sesko ry
Sähkö varustautuu jo vision vaatimalla älyllä – Sesko ry
Tekijänoikeus © IEC 2023. Suomennos © SESKO. Kaikki oikeudet pidätetään.