A NIST kiadja a Landmark Cybersecurity Framework kiterjesztett 2.0-s verzióját, hogy segítse a kritikus infrastrukturális szervezeteket

A Nemzeti Szabványügyi és Technológiai Intézet (NIST) bemutatta kiberbiztonsági keretrendszerének (CSF) 2.0-s verzióját, amely a kiberbiztonsági stratégia jelentős mérföldkövét jelenti. Az eredetileg kritikus infrastrukturális szervezetekre szabott CSF a tervezett hatókörén túl széles körben elterjedt, ami arra késztette a NIST-t, hogy fokozza alkalmazhatóságát a különböző ágazatokban és szervezeti méretekben. A frissített keretrendszer a tervezetére vonatkozó visszajelzések alapján kibővíti az alapvető iránymutatást, és bevezeti a kulcsfontosságú „kormányzási” funkciót, amely orvosolja a kockázatkezelés hiányosságait.

Az új keretrendszer, amelyet körülbelül 10 éve nem frissítettek, olyan kritikus időszakban érkezik, amikor a kritikus infrastruktúrával foglalkozó szervezetek súlyos kibertámadásokkal néznek szembe, amelyek az élet számos területén megbéníthatják a mindennapi funkciókat. Egyes támadások gyökerestől felszámolták a kritikus ellátást az egészségügyi csoportokban és sok más iparágban, amit az új keretrendszer meg kíván akadályozni.

Robert Booker, a HITRUST stratégiai igazgatója hangsúlyozta a kormányzási funkció jelentőségét, hangsúlyozva annak kulcsfontosságú szerepét a kockázatkezelésben a kiberbiztonsági környezetben. Nevezetesen, a CSF 2.0 személyre szabott megvalósítási példákat és gyors üzembe helyezési útmutatókat kínál a felhasználóknak, megkönnyítve a gyakorlati alkalmazást. Ezenkívül tartalmaz egy kereshető hivatkozási katalógust, és egyszerűsíti a több mint 50 kiberbiztonsági dokumentumhoz való igazodást.

A NIST igazgatója, Laurie E. Locascio hangsúlyozta a CSF 2.0 dinamikus természetét, testreszabható erőforrások sorozataként ábrázolva, amelyek alkalmazkodnak a fejlődő kiberbiztonsági igényekhez és szervezeti képességekhez. Katherine Ledesma, a Dragos ipari kiberbiztonsági cég munkatársa kiemelte, hogy a keretrendszer milyen hatással van az ipari vezérlőrendszerekkel (ICS) és működési technológiai (OT) rendszerekkel rendelkező szervezetekre. Hangsúlyozta a felfogás megváltozását, a kiberbiztonsági befektetéseket nem csupán költséghelyként, hanem stratégiai előmozdítóként pozícionálta az üzleti műveletek számára, különösen az olyan iparágak számára, mint a gyártás és a közművek.

Ledesma azt is hangsúlyozta, hogy fontos különbséget tenni az IT és OT környezetek között a CSF keretein belül, árnyalt megközelítést irányozva elő az ICS/OT rendszerek védelmére. Hangsúlyozta, hogy folyamatos frissítésekre és speciális útmutatásra van szükség az ezekkel a rendszerekkel kapcsolatos egyedi kockázatok kezelésére, és szorgalmazta az OT-specifikus megfontolások integrálását a szélesebb körű kiberbiztonsági tervezési és útmutató dokumentumokba.

Összességében a CSF 2.0 kiadása jelentős előrelépést jelent a kiberbiztonsági stratégia terén, amely átfogó keretrendszert kínál, amely adaptálható a különböző szervezeti környezetekhez, és hangsúlyozza a kiberbiztonság kritikus szerepét az üzleti rugalmasság és folytonosság támogatásában.