Национальный центр кибербезопасности (NCSC) опубликовал руководство (скачать – cybersecurity-best-practices-for-smart-cities_508) по передовой практике в области кибербезопасности при разработке “умных городов”.
Рекомендуемые меры включают применение принципа наименьших привилегий, многофакторную аутентификацию и применение упреждающего подхода к управлению рисками в цепочке поставок.
Руководство подготовлено совместно с агентствами из США, Австралии, Канады и Новой Зеландии и призвано помочь обеспечить подключение технологий и интеграцию в инфраструктуру таким образом, чтобы защитить системы и данные.
В нем признается положительный потенциал, но также подчеркивается ряд рисков в развитии “умных городов”, включая расширенную и взаимосвязанную поверхность атаки, в которой субъекты угрозы могут использовать уязвимости. Например, если они могут получить доступ к сети Интернета вещей местного правительства (IoT), они могут получить боковой доступ к системам экстренного оповещения, если они подключены.
Существуют также риски, связанные со слабыми местами в цепочке поставок ИКТ и автоматизации операций инфраструктуры, которые могут обеспечить несколько точек входа в сеть.
Несколько шагов
В ответ на это руководство рекомендует шаги, начинающиеся с безопасного планирования и проектирования для интеграции новой технологии с устаревшей инфраструктурой, с последующим применением принципа наименьших привилегий, в соответствии с которым каждому объекту в сети предоставляется минимальная системная авторизация и ресурсы, необходимые для выполнения его функции.
Это должно сопровождаться использованием многофакторной аутентификации, архитектуры нулевого доверия, своевременным исправлением систем и приложений, тщательным управлением коммуникациями между подсетями и безопасным управлением активами, такими как датчики и мониторы.
Также должен применяться упреждающий подход к управлению рисками в цепочке поставок с использованием только надежных поставщиков ИКТ и компонентов и с участием организаций всех уровней. Это должно сопровождаться установлением требований безопасности или средств контроля для поставщиков программного обеспечения, а также исследованием должной осмотрительности в отношении того, как поставляются и собираются устройства IoT и аппаратное обеспечение.
Поставщики управляемых услуг и облачных сервисов также должны подчиняться четким требованиям безопасности.
Внутри компании необходимо хранить и изолировать резервные копии ИТ-систем, чтобы препятствовать распространению программ-вымогателей, проводить соответствующее обучение персонала, а также разрабатывать и тестировать планы реагирования на инциденты и восстановления.
Сбалансируйте преимущества с гарантиями
Линди Кэмерон, генеральный директор NCSC, сказала: “Подключенные места потенциально могут сделать повседневную жизнь граждан более безопасной и жизнестойкой; однако жизненно важно, чтобы преимущества были сбалансированы таким образом, чтобы гарантировать безопасность и конфиденциальность данных.
“Наше новое совместное руководство поможет сообществам управлять рисками, возникающими при интеграции подключенных технологий в их инфраструктуру, и принимать меры для защиты систем и данных от онлайн-угроз”.
Author: admin
Related Posts
Обновленная Национальная стратегия контрразведки США: Новые приоритеты и вызовы
Великая кража интеллектуальной собственности: Риски для инноваций в Америке
