NIST OT Security: USB-adathordozók
A NIST SP 1334 kiadványa az OT-környezetekben használt USB-médiák biztonsági hátterére fókuszál. A dokumentum a fizikai és logikai kontrollok, a mozgás‑ és integritás-ellenőrzés, a titkosítás, valamint az eszközselejtezés szabályozásával kínál gyakorlatias védelmi megoldásokat. A cél, hogy a kritikus infrastruktúrákban használatos hordozható eszközöket érdemi biztonsági rétegként kezeljék, nem pedig támadási felületként.
A NIST kiemelt figyelmet fordít a hordozható tárolóeszközökre, különösen a USB-alapú meghajtókra kiberbiztonsági veszélyei olyan ipari (OT) környezetekben, ahol a hálózati elérhetőség korlátozott vagy kiegyenlítetlen. A dokumentum hangsúlyozza, hogy bár ezek az eszközök hatékonyan segítik az adatmozgatást elszigetelt rendszerek között, a védelem nélkül hátrányos kompromittálódásokat – fertőzést, adatvesztést vagy jogosulatlan hozzáférést – eredményezhetnek.
A kétoldalas ajánlás egyaránt tér ki fizikai és logikai ellenőrzésekre. A gyakorlatban ez azt jelenti, hogy az USB-meghajtókat zárt, csak jogosult személyek számára hozzáférhető helyeken kell tárolni és címkézni, és a mozgásukat monitorozni kell. Emellett javasolt olyan technikai intézkedések bevezetése, mint a port tiltás, az írásvédelmi módok preferálása, az autorun-funkciók tiltása és a hordozható eszközök titkosított használata.
Az SP 1334 kihangsúlyozza a rendszeren belüli adatmozgatás szabályos gyakorlását, azaz mielőtt egy eszközt más OT-szigeteken használ mellett, újraformázással kell ellátni, hogy megelőzhető legyen a keresztfertőzés. A dokumentum kiemeli továbbá az adattovábbítás integritásának fenntartását, amelyhez ellenőrzőösszeg és hash‑ellenőrzés javasolt. A javaslatok sora részletesen foglalkozik az adathordozók portbiztonságával is, a szállítás során használatos zárható és titkosított tárolók, valamint a mozgások dokumentációja és jóváhagyási folyamatok bevezetése révén csökkenthetők a veszélyek.
A dokumentum szót ejt a selejtezés szabályozott végrehajtásáról is: a használaton kívüli vagy meghibásodott meghajtókat megfelelő sanitáció után kell megsemmisíteni, ami dokumentálást és folyamatkövetést igényel.
Az kiadvány az SP 800‑82 NIST‑irányelvek megfelelő kiegészítéseként épül fel, az OT- és IT‑rendszerek egyre inkább összefonódnak; a hordozható eszközök a legtöbb OT-rendszer sebezhető pontjaivá váltak. A kezdeményezés célja világos és konkrét iránymutatást adni a gyártóknak és az üzemeltetőknek, amelyek rövid idő alatt alkalmazhatók.
