A külső adathordozók kockázatainak csökkentése OT környezetekben
Az Egyesült Államok Nemzeti Szabványügyi és Technológiai Intézete (NIST) véglegesítette a “NIST Special Publication (SP) 1334, Reducing the Cybersecurity Risks of Portable Storage Media in Operational Technology (OT) Environments” útmutatót, amely segítséget nyújt a szervezeteknek a külső adathordozók által jelentett kockázatok csökkentésében OT környezetekben. A mobil adathordozók, például az USB-eszközök kényelmesek, de használatuk kiberbiztonsági kockázatokat jelent az OT (és IT) környezetek számára.
A NIST SP 1334 egy kétoldalas dokumentum, amely négy kategóriára osztja a mobil adathordozókkal kapcsolatos védelmi intézkedéseket, úgy mint eljárási, fizikai, technikai intézkedések, valamint szállítás és végleges adattörlés.
Az útmutató szerint a szervezetnek olyan irányelveket kell kidolgozni, amelyek támogatják az eszközmenedzsmentet és kiterjednek a szervezet tulajdonában lévő adathordozók beszerzésére, engedélyezésére és kezelésére. Más forrásokból származó eszközöket nem megbízhatónak kell tekinteni. A beszerzés során figyelembe kell venni, hogy az eszközök támogassák a hardveralapú titkosítási szabványokat, például a FIPS-t. Szabályozni kell az eszközök kiadását, tárolását, szanitizálását és megsemmisítését is. Naplózni kell az eszközök használatát a nyomonkövethetőség érdekében.
A fizikai intézkedések tekintetében a mobil adathordozók használatával járó kockázat minimalizálásának érdekében intézkedéseket kell hozni a hozzáférés, a címkézés és a tárolás tekintetében. Az adathordozókat fizikailag biztonságos helyen kell tárolni, amelyhez csak az engedélyezett személyek férhetnek hozzá. z engedélyezett adathordozókat nyilván kell tartani és címkézni kell. A címkéken fel kell tüntetni, hogy ki használhatja, melyik hálózaton/rendszeren, valamint az eszköz funkcionális célját.
A külső adathordozókat OT környezetekben a NIST SP 800-82 Rev. 3 szerinti iránymutatásoknak megfelelően kell védeni. A szervezetnek olyan technikai intézkedéseket kell bevezetnie többek között, mint a felesleges portok tiltása, használat előtti és utáni ellenőrzés, az eszközök újraformázása, mielőtt más
eszközökön vagy környezetekben használná a szervezet, írásvédelem, automatikus futtatás letiltása, a teljes adathordozó vagy a tárolt adatok titkosítása.
