Ahogy az előző, úgy ez a bejegyzés is az ipari, termelési rendszerek kiberbiztonságát járja körül az aktualitások kapcsán. A legutóbbi bejegyzést úgy zártuk, tik-tak, az óra ketyeg. Nos nemsokára üt is.

Az OT vagy "Operációs Technológia" olyan rendszerek és eszközök összessége, amelyek közvetlenül az ipari folyamatok felügyeletére és irányítására szolgálnak. Ezek az eszközök például olyan ipari gépek, szenzorok, automatizálási rendszerek és egyebek, amelyek segítik a gyárak és létesítmények működését. Az OT különbözik az informatikai (IT) rendszerektől, mivel célja a fizikai folyamatok irányítása, míg az IT inkább az adatok és információk kezelésére összpontosít.

A digitalizáció, az IT-OT konvergencia, az IoT, IIoT eszközök terjedése számos előnnyel jár a termelő vállalatok számára, de egyúttal növelik az ipari folyamatokat irányító rendszerek kitettségét a rosszindulatú fenyegetések felé. Ezek az eszközök sok éve úgy lettek tervezve és kivitelezve, hogy szigetüzemben, az egyéb hálózatoktól elzárva működjenek. Ebbe „rondított” bele az Ipar 4.0, amit nyugodtan nevezhetünk Security 0.4-nek is.

Az OT rendszerek kiberbiztonsága általánosságban is 10-15 évvel van elmaradva a klasszikus IT rendszerektől. Ennek egyik oka az alkalmazott platformok jellemzően hosszabb életciklusa, hisz egy termelő berendezést, gépsort a legritkább esetben cserélünk vagy újítunk fel 5-6 év után. 15-25 éves rendszerek sem ritkák, ezek pedig jellemzően 20-30 évvel ezelőtti informatikai tudást, technológiát használnak. A másik jellemző ok a hozzáállás, attitűd, üzemeltetési gyakorlat területén keresendő, míg az IT világa azért működik mert piszkálják, az OT rendszereknél a szlogen: „ ha nem romlott el ne piszkáld”

Hazai viszonyok közt ez a lemaradás jellemzően 5-10 évvel több, a sok esetben erősen forráshiányos szereplők ritkán költenek felújításokra, fejlesztésekre, kevés helyen alakultak ki jó gyakorlatok és ezek nyomán szabályzások.

2024. október 17-től hazánkban is bevezetésre kerül az EU kötelező kiberbiztonsági alapelve a NIS2, amely a kijelölt iparágakban kockázatarányos kiberbiztonsági intézkedéseket, ezek tanúsítását és a jelentős incidensek bejelentését írja elő.

A hazai jogharmonizáció alapeleme a 2023 évi XXIII. törvény, a Kibertanúsításról, vagy másképp a Kibertan tv. Ez tartalmazza az elvárásokat és kötelezettségeket, határidőket a NIS2 alkalmazása kapcsán. Az érintett szervezetek listája is ezen törvény mellékleteiben található. Felsorolhatnánk nagyvonalúan az érintett ágazatokat, de azt gondolom, helyesebb, ha minden döntéshozó a törvény betűje alapján dönti el, vonatkoznak-e rá az előírások. A mellékletekben konkrét NACE (TEÁOR) azonosítók segítik a tisztánlátást.

A NIS2 magyarországi jogharmonizációja folyamatban van, a felkészülési időszak elkezdődött. A felkészülés első lépéseként minden érintett szervezetnek regisztrálnia kell magát az SZTFH online felületén 2024 június 30-ig. Előzetes becslések szerint mintegy 2500 hazai vállalkozást érint az intézkedés, ennek ellenére május végi adatok alapján még csak pár száz cég regisztrált. Vajon mi lehet ennek az oka?

Egész biztosan jelentős része a cégeknek kivár, és az utolsó pillanatokban teszi meg a regisztrációt (zh. előtti este tenulunk), de személyes tapasztalatom, hogy sok esetben, leginkább kisebb cégek esetén, ahol nincs erre dedikált személyzet, egyszerűen a döntéshozó(k)ig sem jutott el az információ. Másik, szintén saját élmény, több helyről is, hogy mivel a fő tevékenység nem tartozik a Kibertan tv. hatálya alá, egyszerűen és nagyvonalúan átsiklanak a részletek felett. Több kisebb cég esetén is előkerültek olyan, akár már nem is végzett melléktevékenységek, amikből a vállalkozás jellemzően nem szerez bevételt, mégis mint TEÁOR kód ott vannak a cégbírósági bejegyzésben. Az SZTFH állásfoglalása alapján, a hivatal nem vizsgálja sem azt hogy egy adott tevékenység fő vagy mellék, sem azt hogy ebből származik-e egyáltalán jövedelem. Az esetek egy jelentős részében a leg fájdalom mentesebb megoldás ezen tevékenységek törlése, a későbbi viták megelőzése érdekében.

De mit kell tegyenek, akik mégiscsak a NIS2 hatálya alá tartoznak?

Június 30-ig, tehát relatíve gyorsan, a vállalkozás vezetőjének a következő lépéseket kell megtennie:

• önazonosítás: meg kell vizsgálni, hogy az adott cég tevékenységei a 2023/XXIII. törvény mellékletei alapján a törvény hatálya alá esnek-e. Ebben kérheti külső szakértő támogatását akár kiberbiztonsági akár jogi területről.
• Információ Biztonsági Felelős kinevezése. Ő lesz a kapcsolattartó a hatósággal, készíti elő a kockázat elemzéseket, koordinálja az intézkedéseket. A jelenlegi törvényi környezetben nincs megfogalmazott végzettségi vagy tapasztalati követelmény (ellentétben pl az Információ Biztonsági Törvénnyel)
• Rendszerek biztonsági osztályba sorolása. A kockázatok alapján az alkalmazott rendszereket alap, jelentős vagy magas biztonsági osztályba kell sorolni, ez lesz az alapja az elvárt intézkedéseknek.
• Nyilvántartásba vétel és adatszolgáltatás. Folyó év első napján már működő vállalkozások esetén június 30-ig, új cégek esetén az alapítást követő 30 napon belül, a következő elérhetőségen:
• https://sztfh.hu/ugyintezes/nyomtatvanyok-es-urlapok/sztfh420/

Van tehát feladat bőven. Szerencsére elérhetőek a hazai piacon ma már szakértő cégek, amelyek alkalmazása, tekintve a feladat kampány jellegét és a szükséges speciális tudást indokolt lehet.

Ez tehát a pillanatnyi helyzetkép, és a sürgős tennivalók. Következő bejegyzésünkben arra keressük majd a választ, miben más egy ipari rendszer, amikor védelmi technológiákat, intézkedéseket tervezünk.