Amerikai Hadügyminisztérium Zero Trust útmutatója OT környezetekre
Az Egyesült Államok Hadügyminisztériuma (DoW) nemrégiben közzétett egy Zero Trust (ZT) útmutatót, amely felülvizsgált intézkedéseket tartalmaz az OT környezetekben a ZT elvek jelenlegi és jövőbeli alkalmazásának megkönnyítése érdekében, figyelembe véve az IT és az OT védelmi intézkedések közötti egyértelmű különbségeket. Az OT környezetekre vonatkozó ZT elvek összhangban vannak a vállalati IT ZT intézkedésekkel, hogy megkönnyítse a kettő közötti interoperabilitást.
A „Zero Trust for Operational Technology – Scope and Purpose”című, 28 oldalas útmutató a DoW rendelkezésében lévő OT környezetekre és vezérlőrendszerekre összpontosít, beleértve a létesítményekkel kapcsolatos vezérlőrendszereket, az elektromos hálózatokat, a víztisztító létesítményeket, a biztonsági és életvédelmi rendszereket, az energiamenedzsment rendszereket, a közlekedési hálózatokat, a logisztikai kezelést és a gyártási vezérlőrendszereket. Ez kiterjed a fegyverrendszerek (WS) vagy a védelmi kritikus infrastruktúrák (DCI) határaira, de nem kezeli az azokban lévő OT komponenseket.
A dokumentum például vonatkozik a WS-nek áramot szolgáltató villamosenergia-elosztó rendszerre, de nem terjed ki a WS belső targeting vagy tüzelési rendszereire. A WS és a DCI számára külön útmutatás készül, amely azonban felhasználhatja az OT útmutatóhoz hasonló elemeket.
A szabványos IT-biztonsági megközelítések alkalmazása az OT-környezetekben gyakran hatástalanok és kockázatosak is lehetnek az OT-specifikus prioritások miatt, mint például az üzemfolytonosság vagy a régi berendezések és a speciális ipari protokollok miatt. Az OT-re vonatkozó ZT útmutató többek között ezeket a különbségeket kezeli.
Bár a ZT alapelvei, mint például az adatvédelem, a hitelesítés, a hálózati szegmentálás és a fenyegetések figyelése relevánsak az OT környezetek esetében is, azok megvalósításakor figyelembe kell venni az OT-specifikus korlátokat, például a legacy rendszereket és a safety prioritásokat. A ZT bevezetése az OT-ban bonyolultabb, különösen az alacsony szintű folyamatvezérlők esetében, és gyakran alapos kockázatcsökkentést és tesztelést igényel a bevezetés előtt.
