ترجمة متطلبات إدارة المخاطر في نظام NIS2 إلى أرضية متجر OT

مع تفعيل توجيه NIS2 للاتحاد الأوروبي عبر الدول الأعضاء، يعمل مديرو أمن المعلومات بجد لضمان الامتثال عبر بنيتهم التحتية. ولكن بالنسبة للمنظمات التي تعتمد على التكنولوجيا التشغيلية (OT)، والمصانع، وشبكات الطاقة، والموانئ البحرية، وغيرها من البنى التحتية الحيوية، فإن التحدي الحقيقي يمتد إلى ما هو أبعد من غرفة الخادم.

ينص NIS2 على نهج قائم على المخاطر لقياس الأمن السيبراني، ويلزم الكيانات الأساسية والمهمة بتنفيذ "إجراءات تقنية وتشغيلية وتنظيمية مناسبة وملائمة". المشكلة؟ يتجاهل التوجيه التفريق بين بيئات IT وOT. بالنسبة لمسؤولي أمن المعلومات الأوروبيين، يطرح هذا سؤالًا ملحًا: كيف يمكن تحويل مبادئ إدارة المخاطر المجردة إلى ضوابط أمان عملية على أرضية متجر OT؟

لماذا يُعتبر OT غالبًا بقعة عمياء للامتثال

لم يتم تصميم معظم بيئات OT في الأصل مع مراعاة الأمن السيبراني. فهي تفضل التوافر والسلامة على السرية والنزاهة. تعمل الآلات على أجهزة تحكم برمجة تنتهي صلاحيتها منذ فترة طويلة، وتكون عمليات التحديث المتفرقة بسبب قيود زمن التشغيل، ويكون رؤية الأصول سيئة بشكل سيء أو معدومة. أضف إلى ذلك سلسلة توريد معقدة من الموردين والمندمجين ومقدمي الصيانة من الأطراف الثالثة، ويتضح أنه لا يمكن تطبيق NIS2 على OT عن طريق نسخ ضوابط الأمن IT ولصقها ثم مراقبة النتائج عن بُعد.

إدارة المخاطر في NIS2: فهم المتطلبات الأساسية

لتلخيص سريع، هنا هي التزامات إدارة المخاطر الرئيسية بموجب NIS2 (المادة 21):

· تحليل المخاطر وسياسات موثقة لأمن نظام المعلومات.

· إجراءات معالجة الحوادث، بما في ذلك الاكتشاف والاستجابة.

· استمرارية العمل، بما في ذلك النسخ الاحتياطي والتعافي من الكوارث.

· أمان سلسلة التوريد، التي تشمل الخدمات الخارجية والموردين.

· أمان في اقتناء وتطوير وصيانة نظم الشبكات والمعلومات.

· معالجة وتسريب الثغرات.

· سياسات وإجراءات لتقييم فعالية التدابير السيبرانية.

· استخدام التشفير والترميز حيثما كان مناسبًا.

يجب تكييف كل من هذه المتطلبات مع OT، وهذا غالبًا ما يكون نقطة الضعف في استراتيجيات الامتثال.

خارطة طريق للامتثال NIS2 المتمركز حول OT

لمساعدة مسؤولي أمن المعلومات على سد الفجوة بين السياسات والعمليات والمسؤوليات والعمليات على أرضية المتجر، هنا خارطة طريق من 4 مراحل لإدارة المخاطر في NIS2 المتوافقة مع OT.

المرحلة 1: تأسيس الحوكمة وملكية المخاطر الخاصة بـ OT

· تعيين مالك مخاطر الأمن السيبراني OT مسؤول أمام مسؤول أمن المعلومات.

· دمج OT في أطر حوكمة الأمن السيبراني على مستوى المؤسسة.

· إنشاء لجنة توجيهية متعددة الوظائف لـ NIS2 تضم مهندسي OT ومسؤولي السلامة والمشتريات والأمن IT.

التوصية: رسم نموذج المسؤوليات باستخدام RACI حيث تكون المسؤوليات محددة ومرتبة بوضوح لتجنب الغموض في استجابة الحوادث أو إشراف الموردين. يمكن استخدام IEC 62443 كدليل.

المرحلة 2: إجراء قاعدة المخاطر والأصول لـ OT

· إجراء جرد لأصول OT باستخدام حل مثل Shieldworkz وتحقق لتغطية التصنيف. توثيق الأجهزة والبروتوكولات وشرائح الشبكة.

· رسم الخرائط للتهديدات والثغرات الأمنية في المناطق الإنتاجية الحيوية (بما يتماشى مع مناطق وأنابيب IEC 62443).

· استخدام إطار تقييم مخاطره مصمم خصيصًا مثل ISO/IEC 27005 مطبق على OT، أو MITRE ATT&CK لـ ICS) لنمذجة والتحضير للسيناريوهات مثل توقف التشغيل الناجم عن الفدية أو التلاعب بسلسلة الإمداد عن بُعد.

· فهم مستوى الأمن الحالي لـ OT.

المخرجات: سجل المخاطر الشامل لـ OT المترابط مع ضوابط NIS2 المحددة مع تصنيفات الاحتمال-التأثير.

المرحلة 3: تنفيذ الضوابط التقنية والتنظيمية

· الحفاظ على جرد دقيق محدث لجميع الأصول بما في ذلك الأنظمة القديمة

· نشر التجزئة الشبكية، والجدران النارية، والضوابط حيثما يمكن.

· تأسيس قدرات كشف محددة لـ OT (IDS واعية بـ ICS، كشف الشذوذ البروتوكولي. النظر في حل كشف واستجابة الشبكة).

· تحديد وخطة استجابة الحوادث للتدريبات في حالات OT وتوثيق الدروس المستفادة.

· بناء أو تحديث خطط استمرارية الأعمال (بشكل منتظم) لحساب وقت توقف الإنتاج، والتخطي إلى اليدوية. ربط هذا بالبند الخاص باستجابة الحوادث.

· تطبيق وتتبع حوكمة التحديثات، بما في ذلك معالجات الاستثناءات القائمة على المخاطر والضوابط التعويضية.

ملاحظة: يجب أن تأخذ الضوابط "المناسبة" في الاعتبار قيود السلامة وزمن التشغيل الفريدة لـ OT.

المرحلة 4: الاستدامة والتحسين

· تحديد معايير KPI وKRI لقياس فعالية التحكم (مثل متوسط الوقت لاكتشاف حوادث OT، عدد الإنذارات الكاذبة، متوسط الوقت للاكتشاف، نسبة الأصول الحرجة المرقعة وغيرها).

· إجراء عمليات تدقيق لتقييم المخاطر بانتظام من خلال مورد تقييم المخاطر والفجوات الموثوقة بـ OT، وفحوصات جاهزية القيادة، وتدقيق فعالية السياسات ومحاكاة الحوادث التي تغطي وظيفة OT.

· ضمان التدريب المستمر على الأمن السيبراني للأفراد OT بشأن النظافة السيبرانية ومسارات التصعيد.

· تنفيذ عملية الكشف المستمر عن الثغرات وإدارة المعالجة، بالتنسيق مع فريق CSIRT الوطني الخاص بك.

· التحقق من مستوي الأمان لـ IEC 62443 (القدرة والهدف)

NIS2 على أرضية المتجر: قائمة تدقيق CISO

استخدم قائمة التحقق هذه لتتبع توافق مؤسستك مع NIS2 في بيئات OT:

المجال	الإجراء المحدد لـ OT
الحوكمة	تعيين مالك مخاطر OT والتوافق مع استراتيجية المخاطر المؤسسية
إدارة الأصول	استكمال جرد أصول OT ووضع العلامات على الأهمية القصوى
تقييم المخاطر	إجراء نمذجة التهديدات وتقييم المخاطر المخصص لـ OT
أمان الشبكة	فرض التجزئة بين IT/OT؛ تأمين الوصول عن بُعد
الكشف	نشر الكشف والتدوين المحدد لـ ICS
استجابة الحوادث	إنشاء خطط IR المخصصة لـ OT ومحاكاة السيناريوهات
استمرارية العمل	تحديث الخطط لتتضمن تأثير الإنتاج OT
التحديث	تحديد سياسة التحديث لـ OT، بما في ذلك الضوابط التعويضية
سلسلة التوريد	تقييم وتقييم موردي OT مقابل المادة 23 من NIS2
التدريب	تدريب موظفي OT على الوعي السيبراني الأساسي والتصعيد
المقاييس	مراقبة فعالية ضوابط المخاطر OT بانتظام من خلال مؤشرات الأداء الرئيسية
التحسين المستمر	تنفيذ عملية الكشف عن الثغرات المحددة لـ OT

دور CISO في إدارة مخاطر OT

رفع NIS2 المعايير بالنسبة لحوكمة الأمن السيبراني، ولم يعد كافيًا أن يركز مدراء أمن المعلومات على IT فقط. القادة الأكثر تفكيرًا بالتقدم هم الذين يرون في NIS2 عاملاً محفزًا لتوحيد الأمن السيبراني لـ IT وOT تحت لغة مخاطر مشتركة.

تحويل سياسات الحوكمة إلى ممارسة في مجال OT سيتطلب وقت وموارد وتدريب ومواءمة ثقافية. لكن العائد من حيث الأمن والتشغيل، مخاطر انخفاض توقف العمل، وضع تنظيمي أفضل، ومرونة محسنة، يجعله استثمارًا حيويًا.

NIS2 على عقلك؟ تحدث إلينا لتعرف عن تدابير الامتثال الشاملة والمثبتة لـ NIS2.

مهتم بإجراء تقييم جاهزية NIS2؟ تحدث إلينا