A NIS2 irányelv az elmúlt évek egyik legfontosabb kiberbiztonsági szabályozási változása Európában. Célja, hogy az érintett szervezetek egységesen magasabb szintű védelmet alakítsanak ki hálózati és információs rendszereik számára.
A szabályozás nem csupán informatikai kérdés. A NIS2 hatása különösen fontos azoknál a vállalatoknál, ahol ipari automatizálási, gyártási, technológiai vagy infrastruktúra-rendszerek működnek. Ezekben a környezetekben ugyanis nemcsak adatok védelméről beszélünk, hanem termelési folyamatokról, gépekről, berendezésekről és sok esetben üzembiztonsági kérdésekről is.
Mi az a NIS2, és miért fontos?
A NIS2 egy európai uniós kiberbiztonsági irányelv, amely szigorúbb követelményeket határoz meg számos kiemelten fontos ágazat szereplői számára. A célja, hogy az érintett szervezetek tudatosabban kezeljék a kiberbiztonsági kockázataikat, felkészüljenek az incidensekre, és megfelelő technikai, szervezeti, valamint működési intézkedéseket vezessenek be.
Magyarországon a NIS2-höz kapcsolódó követelmények a hazai kiberbiztonsági szabályozáson keresztül jelennek meg. Az érintett szervezeteknek többek között azonosítaniuk kell elektronikus információs rendszereiket, biztonsági osztályba kell sorolniuk azokat, és fel kell készülniük a kapcsolódó auditokra.
A NIS2 tehát nem egy egyszeri adminisztrációs feladat, hanem egy hosszabb távú működési és biztonsági szemlélet kialakítása.
Mi az az EiR, OT és OT EiR?
Az EiR, vagyis elektronikus információs rendszer, olyan rendszer, amely digitális adatok kezelésére, feldolgozására, tárolására vagy továbbítására szolgál. A legtöbb szervezet elsőként a klasszikus IT rendszerekre gondol: szerverekre, levelezésre, vállalatirányítási rendszerekre, fájlszerverekre vagy munkaállomásokra.
Az OT, vagyis Operational Technology, ezzel szemben azokat a rendszereket jelenti, amelyek fizikai folyamatokat vezérelnek, mérnek vagy felügyelnek. Ide tartozhatnak például a PLC-k, SCADA rendszerek, HMI panelek, ipari kommunikációs hálózatok, mérőrendszerek, szenzorok, aktuátorok és gyártósori vezérlések.
Az OT EiR olyan elektronikus információs rendszer, amely OT környezetben működik, vagy közvetlenül kapcsolódik ipari, gyártási, technológiai vagy infrastruktúra-folyamatokhoz. Ilyen lehet például egy SCADA rendszer, egy PLC-hálózat, egy ipari adatgyűjtő rendszer vagy egy IT/OT kapcsolódási pont.
Miért fontos az OT a NIS2 megfelelésben?
Tapasztalataink alapján sok szervezet a NIS2-re való felkészülést elsősorban IT-projektként kezeli. Ez érthető, de ipari környezetben nem elegendő.
Az OT rendszerek ma már egyre gyakrabban kapcsolódnak vállalati hálózatokhoz, távoli elérésekhez, adatgyűjtő rendszerekhez vagy akár felhőalapú szolgáltatásokhoz. Ez hatékonyabb működést tesz lehetővé, ugyanakkor új kockázatokat is létrehoz.
Egy OT incidens következménye más jellegű lehet, mint egy hagyományos IT incidensé. Nemcsak adatvesztésről vagy szolgáltatáskimaradásról beszélhetünk, hanem termelésleállásról, hibás technológiai működésről, selejtgyártásról, berendezéskárosodásról vagy akár munkabiztonsági kockázatról is.
Ezért az OT rendszerek NIS2 szempontú vizsgálata nem hagyható figyelmen kívül. Egy ipari vállalat esetében az OT környezet sokszor a tényleges működés alapja.
Miért igényel más szemléletet az OT, mint az IT?
Az IT és az OT kiberbiztonsági megközelítése jelentősen eltér egymástól.
Az IT világában természetesek a rendszeres frissítések, végpontvédelmi megoldások, jogosultságkezelési szabályok, naplózások és sérülékenységvizsgálatok. Az OT környezetben azonban más prioritások érvényesülnek. Itt a folyamatos rendelkezésre állás, a technológiai folyamat stabilitása, a gépek biztonságos működése és a termelésfolytonosság sokszor elsődleges szempont.
Egy irodai rendszer újraindítása vagy frissítése általában kezelhető üzemeltetési feladat. Egy termelési folyamatot vezérlő rendszer esetében viszont egy rosszul időzített módosítás jelentős leállást vagy technológiai problémát okozhat.
Az OT rendszerekben gyakoriak a hosszú életciklusú eszközök, régebbi operációs rendszerek, gyártóspecifikus megoldások és speciális ipari kommunikációs protokollok. Ezek értelmezése és biztonságos kezelése automatizálási, technológiai és üzemeltetési tapasztalatot is igényel.
Az OT sokszor a legképzettebb IT szakemberek számára is fekete folt
Tapasztalataink alapján az OT terület még a legképzettebb IT szakemberek számára is gyakran „fekete folt”. Ez nem szakmai hiányosság, hanem abból fakad, hogy az OT világa más logika szerint működik, mint a klasszikus informatikai környezet.
Egy PLC-program, egy SCADA architektúra, egy ipari hálózati topológia, egy gyártósori vezérlés vagy egy technológiai karbantartási kapcsolat kockázatainak értékelése nemcsak informatikai, hanem automatizálási és folyamattechnológiai ismereteket is igényel.
A MODIM Mérnöki Kft.-nél ezért automatizálási mérnökként fókuszálunk erre a témára, nem klasszikus IT szakemberként. Nem az IT szakembereket szeretnénk helyettesíteni, hanem a saját tudásunkkal kiegészíteni őket.
Meggyőződésünk, hogy a sikeres NIS2 felkészüléshez az IT és az OT oldal együttműködésére van szükség. Az IT szakemberek hozzák a vállalati informatikai, hálózati, jogosultságkezelési és kiberbiztonsági tapasztalatot, mi pedig automatizálási mérnökként az ipari rendszerek, vezérlések, technológiai folyamatok és OT környezetek gyakorlati ismeretével tudjuk kiegészíteni ezt.
A két terület nem egymás helyett, hanem egymást erősítve tud valódi, működőképes NIS2 megfelelést kialakítani.
Hogyan segíthet ebben a MODIM Mérnöki Kft.?
A MODIM Mérnöki Kft.-nél kiemelt figyelmet fordítunk arra, hogy az OT rendszereket a NIS2 megfelelés szempontjából is megfelelő szakmai szemlélettel kezeljük.
Igyekszünk a technológiával párhuzamosan fejlődni, hogy naprakész tudással támogassák partnereinket az ipari automatizálási rendszerek kiberbiztonsági felkészítésében. Automatizálási mérnökként nemcsak a szabályozási elvárásokat tartjuk szem előtt, hanem az ipari környezet valós működését, korlátait és kockázatait is.
Partnereink számára segítséget tudunk nyújtani többek között:
- OT rendszerek és OT EiR-ek azonosításában,
- ipari hálózatok és automatizálási rendszerek áttekintésében,
- IT/OT kapcsolódási pontok feltérképezésében,
- OT fókuszú kockázatok azonosításában,
- NIS2 szempontú felkészülési feladatok támogatásában,
- műszaki és szervezeti intézkedések megtervezésében,
- OT specifikus dokumentációk és intézkedési tervek előkészítésében.
Célunk, hogy az OT rendszerek ne maradjanak rejtett területként a NIS2 megfelelés során. Egy ipari szervezet esetében ugyanis a kiberbiztonság akkor lehet teljes, ha a technológiai és automatizálási környezet is megfelelő figyelmet kap.
Összegzés
A NIS2 megfelelés nemcsak IT feladat. Ipari környezetben az OT rendszerek az elektronikus információs rendszerek fontos részét képezhetik, ezért ezek azonosítása, értékelése és védelme elengedhetetlen.
Az OT más szemléletet igényel, mint a klasszikus IT. Nem elég kizárólag informatikai oldalról vizsgálni, mert ezek a rendszerek fizikai folyamatokat, gépeket és termelési környezeteket érintenek.
A MODIM Mérnöki Kft.-nél kiberbiztonsággal is foglalkozó automatizálási mérnökként közelítjük meg ezt a területet. Nem helyettesíteni szeretnénk az IT szakembereket, hanem együttműködve, egymás tudását kiegészítve segíteni partnereinket abban, hogy OT rendszereik is felkészülten nézzenek szembe a NIS2 követelményeivel.
