NIST wydaje rozszerzoną wersję 2.0 Landmark Cybersecurity Framework, aby pomóc organizacjom zajmującym się infrastrukturą krytyczną

Narodowy Instytut Standardów i Technologii (NIST) zaprezentował wersję 2.0 swoich ram cyberbezpieczeństwa (CSF), co stanowi kamień milowy w strategii cyberbezpieczeństwa. Pierwotnie dostosowany dla organizacji zajmujących się infrastrukturą krytyczną, CSF zyskał szerokie zastosowanie poza zamierzonym zakresem, co skłoniło NIST do zwiększenia jego zastosowania w różnych sektorach i rozmiarach organizacji. Zaktualizowane ramy, oparte na opiniach na temat ich projektu, rozszerzają podstawowe wytyczne i wprowadzają kluczową funkcję „Zarządzania”, eliminującą luki w zarządzaniu ryzykiem.

Nowe ramy, które nie były aktualizowane od około 10 lat, pojawiają się w krytycznym momencie, gdy organizacje zajmujące się infrastrukturą krytyczną stają w obliczu poważnych ataków cybernetycznych , które mogą sparaliżować codzienne funkcjonowanie w wielu aspektach życia. Niektóre ataki wykorzeniły działalność w zakresie intensywnej opieki zdrowotnej w grupach zajmujących się opieką zdrowotną i w wielu innych branżach, czemu nowe ramy mają pomóc udaremnić.

Robert Booker, dyrektor ds. strategii w HITRUST, podkreślił znaczenie funkcji zarządzania, podkreślając jej kluczową rolę w zarządzaniu ryzykiem w krajobrazie cyberbezpieczeństwa. Warto zauważyć, że CSF 2.0 zapewnia użytkownikom dostosowane przykłady wdrożeń i przewodniki szybkiego startu, ułatwiając jego praktyczne zastosowanie. Ponadto zawiera przeszukiwalny katalog odniesień, co ułatwia dostosowanie do ponad 50 dokumentów dotyczących cyberbezpieczeństwa.

Dyrektor NIST Laurie E. Locascio podkreśliła dynamiczny charakter CSF 2.0, przedstawiając go jako zestaw konfigurowalnych zasobów, które można dostosować do zmieniających się potrzeb w zakresie cyberbezpieczeństwa i możliwości organizacyjnych. Katherine Ledesma z firmy Dragos zajmującej się cyberbezpieczeństwem przemysłowym podkreśliła konsekwencje tego modelu dla organizacji posiadających przemysłowe systemy sterowania (ICS) i systemy technologii operacyjnej (OT). Podkreśliła zmianę w postrzeganiu, pozycjonując inwestycje w cyberbezpieczeństwo nie tylko jako centrum kosztów, ale jako strategiczny czynnik umożliwiający operacje biznesowe, szczególnie krytyczne dla branż takich jak produkcja i usługi użyteczności publicznej.

Ledesma podkreśliła również znaczenie rozróżnienia między środowiskami IT i OT w ramach CSF, przewidując zróżnicowane podejście do zabezpieczania systemów ICS/OT. Podkreśliła potrzebę ciągłych aktualizacji i specjalistycznych wytycznych w celu uwzględnienia wyjątkowych zagrożeń związanych z tymi systemami, opowiadając się za włączeniem zagadnień specyficznych dla OT do szerszych dokumentów dotyczących planowania cyberbezpieczeństwa i wytycznych.

Ogólnie rzecz biorąc, wydanie CSF 2.0 oznacza znaczący postęp w strategii cyberbezpieczeństwa, oferując kompleksowe ramy, które można dostosować do różnych kontekstów organizacyjnych i podkreślając kluczową rolę cyberbezpieczeństwa we wspieraniu odporności i ciągłości biznesowej.