Arvioinnista vaatimustenmukaisuuteen: OT-verkon kehittäminen käytännössä
Useimmat OT-verkoissa toimivat organisaatiot ovat jo tietoisia siitä, että niiden järjestelmissä on puutteita. Haasteena on ymmärtää, mistä aloittaa OT-verkon kehittäminen, mikä on tärkeintä ja miten toimintaa voidaan parantaa häiritsemättä sen sujumista. Ja paine toimia kasvaa.
NIS2-direktiivi ja uudet kansalliset kyberturvallisuuslainsäädännöt asettavat selkeitä vaatimuksia riskienhallinnalle, tietoturvaloukkausten hallinnalle, toimitusketjun turvallisuudelle ja jatkuvalle seurannalle. Sääntelyviranomaiset eivät enää kysy, ottavatko organisaatiot kyberturvallisuuden vakavasti. He vaativat todisteita, dokumentoituja riskinarviointeja, määriteltyjä prosesseja sekä osoitettua kykyä havaita tietoturvaloukkaukset ja reagoida niihin.
OT-ympäristöjä ylläpitäville organisaatioille tämä on merkittävä muutos, sillä vaatimustenmukaisuutta ei voida saavuttaa yksittäisillä hankkeilla tai vuosittaisilla tarkastuksilla. Se on tulosta kypsästä ja kestävästä lähestymistavasta OT-riskien hallintaan.
Miksi tavoitteena tulisi olla OT-verkon kypsyys eikä sääntöjen noudattaminen
Monet organisaatiot suhtautuvat OT-tietoturvaan pelkkänä vaatimustenmukaisuuden täyttämisenä: vaatimukset täytetään, tarkastus läpäistään, ja siirrytään eteenpäin.
Ongelmana on, että standardit kuten IEC 62443, ON104, ISO 27001 ja NIS2 ei ole koskaan tarkoitettu kertaluonteisiksi tarkistuslistoiksi. Ne perustuvat jatkuvaan parantamiseen.
Organisaatiot, jotka saavuttavat parhaan mahdollisen sietokyvyn, eivät keskity ensisijaisesti säännösten noudattamiseen. Ne keskittyvät kypsyystasoon: kykyyn käyttää, suojata, ylläpitää ja jatkuvasti kehittää OT-ympäristöjä järjestelmällisesti ja riskejä huomioon ottaen.
Säännösten noudattaminen on pelkkä sivutuote. Tärkeämpi kysymys on, pystyyko OT-ympäristö selvitytymään siitä, mitä on tulossa.
Mikä on OT-kypsyysarviointi?
OT-kypsyysarviointi on järjestelmällinen arvio organisaation nykyisistä valmiuksista OT-hallinnan keskeisillä osa-alueilla: laitteistojen näkyvyys, hallinto ja omistajuus, riskienhallinta, verkkoarkkitehtuuri ja segmentointi, muutoksenhallinta, toimittajien hallinta, haavoittuvuuksien hallinta, havaitsemis- ja reagointivalmiudet sekä säännösten noudattaminen.
Tavoitteena ei ole laatia pitkää, suosituksilla täytettyä raporttia, vaan saada selkeä käsitys siitä, mikä toimii hyvin, missä suurimmat riskit ovat, mitkä puutteet vaativat välitöntä huomiota ja mihin tulisi seuraavaksi keskittyä.
Hyvä arviointi luo yhtenäisyyttä operatiivisen toiminnan, kyberturvallisuusryhmien, teknisen henkilöstön ja johdon välille. Se tarjoaa kaikille yhteisen kielen ja yhteisen käsityksen organisaation nykytilasta.
OT-riski eroaa IT-riskistä
Yksi yleisimmistä virheistä, joita organisaatiot tekevät, on perinteisten IT-riskimallien soveltaminen suoraan teollisuusympäristöihin, mutta nyt vaaditaan uudenlainen näkökulma.
Saatavuus on tärkeintä. Tietotekniikan alalla palvelukatkos voi heikentää tuottavuutta. Teollisuuden alalla käyttökatkos voi pysäyttää tuotannon, keskeyttää kriittisten palvelujen toiminnan, vahingoittaa laitteita tai aiheuttaa turvallisuusriskejä. Turvallisuustoimenpiteitä on siksi arvioitava paitsi niiden tehokkuuden myös niiden toiminnallisten vaikutusten perusteella.
Seuraukset ovat tärkeämpiä kuin todennäköisyys. Teollisuusympäristöissä harvinaiset tapahtumat voivat aiheuttaa erittäin vakavia seurauksia. Manipuloitu ohjelmoitava logiikkasäädin (PLC), luvaton konfiguraatiomuutos tai vaarantunut suunnittelutyöasema voivat vaikuttaa fyysisiin prosesseihin eikä pelkästään digitaalisiin resursseihin. Tämä muuttaa perustavanlaatuisesti tapaa, jolla riskejä tulisi arvioida ja priorisoida.
Riippuvuudet aiheuttavat ketjureaktioita. Yhden ympäristön osan häiriö voi vaikuttaa nopeasti useisiin tuotantojärjestelmiin, laitoksiin tai toimintaprosesseihin. Norjan energia-alalla ja teollisuuden tuotantoympäristöissä havaitsemme jatkuvasti, että näitä riippuvuussuhteita on dokumentoitu puutteellisesti – ja että niiden ymmärtäminen on olennaisen tärkeää perusteltujen tietoturvapäätösten tekemiselle.
Ilman tätä näkökulmaa riskinarvioinnit johtavat usein harhaanjohtaviin johtopäätöksiin ja virheelliseen priorisointiin.
OT-verkon maturiteetin ymmärtäminen
Kypsyysmallit auttavat organisaatioita ymmärtämään, missä vaiheessa ne tällä hetkellä ovat ja millaista kehityksen tulisi olla.
ON104:n kaltaisessa viitekehyksessä kuvataan neljä yleistä kypsyystasoa.
Taso 1 – Aloitustaso: Valvontamenettelyjä on olemassa, mutta ne ovat pääosin epävirallisia ja riippuvat yksittäisten henkilöiden osaamisesta. Tieto on keskittynyt harvojen avainhenkilöiden käsiin. Menettelytavat ovat epäjohdonmukaisia.
Taso 2 – Hallinnoitu: Prosessit on määritelty ja dokumentoitu. Turvallisuustoimet ovat toistettavissa, vaikka niitä ei aina sovelleta yhdenmukaisesti koko organisaatiossa.
Taso 3 – Määritelty: Hallinto, prosessit ja valvontamenetelmät on yhdenmukaistettu koko organisaatiossa. OT-tietoturva on integroitu osaksi virallista johtamisjärjestelmää.
Taso 4 – Optimoitu: Jatkuva parantaminen on integroitu päivittäiseen toimintaan. Suorituskykyä mitataan. Kokemuksista otetaan oppia. Turvallisuus kehittyy toimintavaatimusten mukana.
Suurin osa nykyisistä teollisuusyrityksistä toimii tason 1 ja 2 välimaastossa. Useimmille yrityksille tavoitteena ei ole päästä heti tasolle 4. Tavoitteena on luoda kestävä hallinta ja edetä tasaisesti kohti korkeampaa kypsyystasoa ajan myötä.
Puuteanalyysi: tulosten muuntaminen prioriteeteiksi
Kypsyysarvioinnilla selvitetään, missä vaiheessa organisaatio on tällä hetkellä. Puuteanalyysin avulla määritetään, mitä seuraavaksi tulisi tehdä.
Monet puuteanalyysit epäonnistuvat, koska niissä keskitytään asiakirjoihin päätöksenteon sijaan.
Jokaisen aukon kohteleminen yhtä tärkeänä Tuloksena on kymmeniä suosituksia sisältävä luettelo, jossa ei ole asetettu prioriteetteja. Mitään ei saada toteutettua, koska kukaan ei tiedä, mistä aloittaa.
Keskittyminen pelkästään teknologiaan menettää olennaisen. Hallinto, omistajuus, toimittajien hallinta ja toimintaprosessit vaikuttavat usein kokonaisriskiin enemmän kuin mikään yksittäinen tekninen valvontatoimenpide.
Raporttien laatiminen ilman etenemissuunnitelmia tarkoittaa, että työllä on vain vähäinen arvo. Puutteiden kartoituksen tulisi johtaa toimenpiteisiin – sen tulisi toimia johtamisen välineenä, ei vain hyllyllä pölyttyvänä asiakirjana.
Tehokas puutteiden analysointi on riskilähtöistä, priorisoitua, toimintakeskeistä, toimintaympäristön todellisuuteen sovitettua ja suoraan tunnustettuihin viitekehyksiin ja säännöksiin sidottua.
Suunnitelman laatiminen: mistä pitäisi aloittaa?
Yleistä ohjeistusta ei ole. Tietyillä menetelmillä saavutetaan kuitenkin johdonmukaisesti parempia tuloksia kuin toisilla.
1. Aloita näkyvyydestä. Et voi suojata sitä, mitä et näe. Resurssien kartoitus ja passiivinen verkkoanalyysi muodostavat tosiasioihin perustuvan pohjan kaikille myöhemmille päätöksille.
2. Luodaan hallintorakenne ja omistajuus. Ennen uusien teknologioiden käyttöönottoa on määriteltävä selkeästi, kuka vastaa OT-turvallisuudesta, kuka hyväksyy muutokset, miten vastuut jaetaan IT- ja OT-toimintojen välillä ja miten riskit eskaloidaan. Ilman hallintojärjestelmää teknisiä parannuksia on vaikea ylläpitää.
3. Vahvista toimintaprosesseja. Keskeiset prosessit – muutoksenhallinta, toimittajien pääsyn hallinta, omaisuuden elinkaaren hallinta ja poikkeustilanteiden hallinta – tulisi vakiinnuttaa ennen edistyneempien tietoturvaominaisuuksien käyttöönottoa.
4. Parannetaan arkkitehtuuria ja segmentointia. Kun läpinäkyvyys ja hallinto on saatu vakiinnutettua, segmentointi voidaan perustaa todellisiin viestintä- ja toimintavaatimuksiin oletusten sijaan.
5. Otetaan käyttöön jatkuva valvonta ja OT SOC -valmiudet. Tämä on usein ensimmäinen ominaisuus, jonka organisaatiot haluavat ottaa käyttöön. Todellisuudessa se on yleensä viides.
Nykyaikainen OT SOC tarjoaa jatkuvaa valvontaa, tapahtumien havaitsemista, tutkintaa ja reagointia sekä IT- että OT-ympäristöissä. Pohjoismaissa teemme yhteistyötä energiayhtiöiden, vesilaitosten, satamaoperaattoreiden ja teollisuusvalmistajien kanssa, joille tämä integraatio on yhä tärkeämpää – etenkin kun NIS2-direktiivi asettaa nimenomaisia vaatimuksia jatkuvalle valvonnalle ja tapahtumien raportoinnille.
Ilman läpinäkyvyyttä, hallintoa ja määriteltyjä prosesseja seurantatyökalut tuottavat kuitenkin enemmän häiriötä kuin hyötyä. Analyytikot käyttävät aikansa väärien hälytysten selvittämiseen sen sijaan, että reagoisivat todellisiin uhkiin.
Kun perustukset ovat valmiina, SOC muuttaa OT-valvonnan kausittaisesta toiminnasta jatkuvaksi toiminnaksi.
Mitä NIS2-direktiivi ja lainsäädäntö merkitsevät operatiiviselle tekniikalle
NIS2-direktiivi ja sen kansalliset täytäntöönpanotoimet – mukaan lukien Norjan digitalsikkerhetsloven – muuttavat kriittistä infrastruktuuria ja elintärkeitä palveluja ylläpitäviä organisaatioita kohtaan asetettuja odotuksia. Tämä koskee laajasti esimerkiksi energiayhtiöitä, vesi- ja jätevesihuollon toimijoita, satamaviranomaisia, tuotantolaitoksia sekä osaa merenkulkusektorista.
OT-ympäristöjen kannalta keskeisimpiä vaatimuksia ovat:
Riskienhallinta: Organisaatioiden on tunnistettava, arvioitava ja hallittava kyberturvallisuusriskejä – myös niitä, jotka vaikuttavat teolliseen toimintaan.
Tapahtumien havaitseminen ja raportointi: Organisaatioiden on kyettävä havaitsemaan, tutkimaan, reagoimaan ja raportoimaan merkittävistä tapahtumista määritellyissä aikarajoissa.
Toimitusketjun turvallisuus: Toimittajiin, palveluntarjoajiin ja kolmansiin osapuoliin liittyvät riskit on arvioitava ja hallittava.
Jatkuva seuranta: Säännölliset tarkastukset eivät enää riitä. Organisaatioiden on pidettävä ympäristöjään jatkuvasti silmällä.
Organisaatioille, jotka jo noudattavat standardeja IEC 62443, ON104 tai ISO 27001, monet näistä käsitteistä ovat tuttuja. Ero on siinä, että ne ovat nyt lakisääteisiä velvoitteita – ja sääntelyviranomaiset ovat alkaneet vaatia asiakirjoja.
Usein kysyttyjä kysymyksiä OT-kypsyydestä
Mitä eroa on OT-kypsyysarvioinnilla ja tunkeutumistestillä? Penetraatiotestillä tunnistetaan tekniset haavoittuvuudet. OT-kypsyysarvioinnissa arvioidaan organisaation laajempaa toimintakykyä – hallintoa, prosesseja, arkkitehtuuria ja operatiivisia valvontamenetelmiä. Nämä kaksi menetelmää täydentävät toisiaan, ja kypsyysarviointi tarjoaa usein tarvittavan kontekstin penetraatiotestien tulosten tulkitsemiseksi tehokkaasti.
Voimmeko tehdä puuteanalyysin itse? Kyllä, ja säännölliset itsearvioinnit ovat arvokkaita. Ulkopuoliset arvioinnit tarjoavat kuitenkin objektiivisemman näkökulman, laajemman toimialakokemuksen sekä vahvemman uskottavuuden johdon ja sääntelyviranomaisten silmissä. Paras lähestymistapa on yleensä näiden kahden yhdistelmä.
Kuinka kauan OT-kypsyystason parantaminen kestää? Monet organisaatiot saavuttavat merkittäviä parannuksia priorisoiduilla alueilla kolmesta kuuteen kuukauteen. Kypsän hallintokehyksen luominen vie yleensä pidemmän aikaa. OT-kypsyyttä tulisi pitää pikemminkin jatkuvana prosessina kuin lopullisena päämääränä.
Tarvitsemmeko ISO 27001 -sertifikaatin NIS2-vaatimusten täyttämiseksi?Ei. ISO 27001 -standardin periaatteisiin perustuva hallintokehys helpottaa kuitenkin vaatimustenmukaisuuden hallintaa huomattavasti, sillä se tarjoaa tarvittavan rakenteen riskien, päätösten, parannusten ja vastuuvelvollisuuden dokumentoimiseksi.
Missä olet tänään?
Tämä on usein tärkein kysymys ja vaikein vastata ilman järjestelmällistä arviointia. Useimmilla organisaatioilla on yleinen käsitys siitä, missä heikkouksia saattaa olla. Harvoilla on objektiivinen, näyttöön perustuva käsitys organisaationsa yleisestä kypsyystasosta.
Juuri tämä ymmärrys mahdollistaa perusteltujen päätösten tekemisen: sijoittamisen sinne, missä riski on suurin, edistymisen osoittamisen johdolle ja sääntelyviranomaisille sekä kestävän sietokyvyn rakentamisen.
NetNordic OT Maturity Assessment tarjoaa objektiivisen kuvan nykytilastanne, joka on arvioitu IEC 62443-, ON104-standardien sekä NIS2-vaatimusten ja sovellettavan kansallisen lainsäädännön perusteella. Tuloksena ei ole luettelo ongelmista, vaan priorisoitu etenemissuunnitelma siitä, mitä tulisi tehdä ja missä järjestyksessä, mukautettuna yrityksenne toiminnallisiin rajoitteisiin ja riskiprofiiliin.
Arviointi kattaa koko ketjun: omaisuuden näkyvyydestä ja hallinnasta verkkoarkkitehtuurin ja prosessien kypsyystason kautta havaitsemiskykyyn ja SOC-integraatioon.
Lue lisää aiheesta:
Osa 1 Purduesta nykyaikaiseen OT-tietoturvaan
Osa 2 OT-valvonta on muutakin kuin vain turvallisuutta
NetNordic auttaa organisaatioita arvioimaan, parantamaan ja vahvistamaan jatkuvasti OT-kypsyystasoaan – laitteistojen näkyvyydestä ja hallinnasta SOC-integraatioon, sääntelyn noudattamiseen ja pitkän aikavälin toimintavarmuuteen.
Sisällysluettelo
- Miksi tavoitteena tulisi olla OT-verkon kypsyys eikä sääntöjen noudattaminen
- Mikä on OT-kypsyysarviointi?
- OT-riski eroaa IT-riskistä
- OT-verkon maturiteetin ymmärtäminen
- Puuteanalyysi: tulosten muuntaminen prioriteeteiksi
- Suunnitelman laatiminen: mistä pitäisi aloittaa?
- Mitä NIS2-direktiivi ja lainsäädäntö merkitsevät operatiiviselle tekniikalle
- Usein kysyttyjä kysymyksiä OT-kypsyydestä
- Missä olet tänään?
Aihealueet
Sisältötyypit
Aiheeseen liittyvää sisältöä
Ota yhteyttä
Uusin sisältö
NIS2-direktiivi: Kyberturvallisuus siirtyy IT-osastolta johtoryhmän pöydälle
Mitä johdon pitäisi ymmärtää verkon uusista uhista tekoälyaikana? Asiantuntijat kertovat