Sub incidența OUG155/2024 au intrat și organizații care au infrastructuri SCADA sau medii OT. În Cyfun (aflat în consultare publică pe situl DNSC) subiectul are prevederi explicite (spre deosebire de legislația anterioară). De cîte controale de securitate este însă nevoie în acest caz?
Functia PROTECȚIE conține cel mai mare număr de controale specifice OT (19 grupuri), reflectînd importanța critică a măsurilor preventive în mediile industriale. IDENTIFICARE (13 grupuri) este a doua categorie ca mărime, subliniind că o cunoaștere precisă a activelor OT este fundamentală pentru toate celelalte funcții de securitate. Am numărat aproximativ 52 de referințe la mediile OT. Lucrurile se complică puțin pentru că Cyfun nu este limitativ ci face la rîndul său trimitere explicită la alte standarde.
De exemplu:
GV.OC-04.2
Organizația trebuie să definească și să documenteze cerințele de securitate cibernetică pentru operațiunile esențiale, să le valideze prin teste și audituri, să păstreze înregistrări ale rezultatelor și măsurilor corective și să actualizeze periodic cerințele în funcție de evoluția riscurilor.
(…)
Pentru a atinge acest obiectiv, trebuie luate în considerare următoarele măsuri concrete:
• Identificare și documentare.
- Definirea serviciilor critice și a dependențelor acestora printr-o evaluare structurată a riscurilor.
- Documentați cerințele de securitate și operaționale, inclusiv cerințele specifice reglementărilor și industriei (de exemplu, CyFun®, ISO/IEC 27001, IEC 62443).
Sau:
PR.IR-01.2
Pentru protejarea sistemele critice, organizațiile trebuie să implementeze segmentarea și segregarea rețelelor în conformitate cu limitele de încredere și criticitatea activelor, limitând astfel propagarea amenințărilor și impunând un control strict al accesului.
(…)
Pentru implementarea acest control, ar trebui luate în considerare următoarele:
(…)
• Separarea mediilor IT și OT.
În mediile cu sisteme industriale (OT), rețelele de birou și de producție ar trebui separate. Rețelele pentru oaspeți și cele mobile nu ar trebui să aibă acces direct la sistemele interne de birou sau de producție. Segmentarea ar trebui să respecte standardul IEC 62443, în special cerințele SR 5.1 până la SR 5.3.
• Utilizarea VLAN-urilor cu prudență.
VLAN-urile ar trebui utilizate doar ca parte a unei strategii mai ample de apărare în profunzime (defence-in-depth). Nu ar trebui să se bazeze numai pe acestea pentru îndeplinirea cerințelor de Securitate de Nivel 2 prevăzute în IEC 62443-3-3. VLAN-urile ar trebui combinate cu firewall-uri, controale de acces și monitorizare.
Și cum începînd cu noile reglementări este evaluată și maturitatea tehnică a unui control, va fi nevoie de soluții de securitate dedicate OT:
| Functie CyFun | Controale OT/SCADA |
| GUVERNARE (GV) — 10 controale | Guvernanța OT, lanțul de aprovizionare, integrarea managementului riscului. |
| IDENTIFICARE (ID) — 13 controale | Inventar active OT, managementul vulnerabilităților, evaluarea riscurilor. |
| PROTECȚIE (PR) — 19 controale | Control acces, segmentare rețea, protectia datelor, reziliența. |
| DETECȚIE (DE) — 6 controale | Monitorizare endpoint/rețea OT, integritate hardware, SIEM. |
| RĂSPUNS (RS) — 2 controale | Răspuns la incidente OT, limitare, coordonare specialiști OT |
| RECUPERARE (RC) — 2 controale | Prioritizarea recuperării OT, continuitate operațională. |
ADRIAN B. MUNTEANU 