Vízművek Iparág
„A tiszta ivóvízellátás és a hatékony szennyvíz-kezelés létfontosságú – OT kiberstratégia nélkül súlyos következményekre számíthatunk.”
Helyzetfelismerés
Észlelés (Mi történik?)
- Nemzetállami, üzletszerű bűnözői és hacktivista támadások célpontja a szektor.
- Elavult rendszerek, fokozott IT/OT konvergencia, és alacsony OT-készség növeli a kitettséget.
- Konvergencia, földrajzi és szervezeti bonyolultság kiterjeszti a támadási felületet.
- Növekvő szabályozói nyomás (pl. EU NIS2, NDAA 2021) kiberstratégia felülvizsgálatra késztet.
Megértés (Miért fontos?)
- Az OT rendszerek manipulációja túlfolyást, vízszennyezést vagy akár emberi életet veszélyeztető eseményeket idézhet elő.
- Jogszabályi, szabályozói és megfelelési követelmények elmulasztása pénzügyi és jogi szankciókkal járhat.
Kockázatkezelés
Korlátozott OT-program esetén javasolt holisztikus, kétlépéses stratégia:
1. lépés – Kockázatok feltárása
Azonosítsák a kritikus OT-funkciókat (tisztító- és szennyvízkezelő egységek), becsüljék meg a leállások következményeit. Vonják be rendszerüzemeltetőket, készítsenek valós támadási forgatókönyveket, térképezzék fel hálózatot, felhasználói jogosultságokat, beszállítói láncokat és fizikai biztonságot.
2. lépés – OT Kibervédelmi Keretrendszer (OT-CSF)
Formális irányelvek és eljárások kidolgozása az alábbi szabványokra alapozva:
- ISA/IEC 62443
- NIST CSF
- NERC-CIP
- ISO/IEC 27001/27002/27019
Minimálisan tartalmaznia kell:
- Kormányzási modell (RACI)
- End-to-end működési modell
- Szabályozói megfelelés (pl. EU NIS2, NDAA)
- Eszköznyilvántartás
- Hálózati topológiák
- Incidenskezelési terv
- Dolgozói képzés
- Eljárásos kontrollok (hozzáférés, változáskezelés, mentés)
- Monitoring és riportálás
Érettségi szinttől függően egészítsék ki önértékeléssel, külső auditokkal, beszállítói megfeleléssel, fenyegetésfigyeléssel, sebezhetőség-észleléssel és PAM-megoldásokkal.
Győződjenek meg arról, hogy a büdzsé, a belső készségek, a beszállítói támogatás és az irányítási mechanizmusok fenntarthatóak.