МировыеРуководства

NCSC публикует руководство по кибербезопасности “умных городов”

 

Национальный центр кибербезопасности (NCSC) опубликовал руководство (скачать – cybersecurity-best-practices-for-smart-cities_508) по передовой практике в области кибербезопасности при разработке “умных городов”.

Рекомендуемые меры включают применение принципа наименьших привилегий, многофакторную аутентификацию и применение упреждающего подхода к управлению рисками в цепочке поставок.

Руководство подготовлено совместно с агентствами из США, Австралии, Канады и Новой Зеландии и призвано помочь обеспечить подключение технологий и интеграцию в инфраструктуру таким образом, чтобы защитить системы и данные.

В нем признается положительный потенциал, но также подчеркивается ряд рисков в развитии “умных городов”, включая расширенную и взаимосвязанную поверхность атаки, в которой субъекты угрозы могут использовать уязвимости. Например, если они могут получить доступ к сети Интернета вещей местного правительства (IoT), они могут получить боковой доступ к системам экстренного оповещения, если они подключены.

Существуют также риски, связанные со слабыми местами в цепочке поставок ИКТ и автоматизации операций инфраструктуры, которые могут обеспечить несколько точек входа в сеть.

Несколько шагов

В ответ на это руководство рекомендует шаги, начинающиеся с безопасного планирования и проектирования для интеграции новой технологии с устаревшей инфраструктурой, с последующим применением принципа наименьших привилегий, в соответствии с которым каждому объекту в сети предоставляется минимальная системная авторизация и ресурсы, необходимые для выполнения его функции.

Это должно сопровождаться использованием многофакторной аутентификации, архитектуры нулевого доверия, своевременным исправлением систем и приложений, тщательным управлением коммуникациями между подсетями и безопасным управлением активами, такими как датчики и мониторы.

Также должен применяться упреждающий подход к управлению рисками в цепочке поставок с использованием только надежных поставщиков ИКТ и компонентов и с участием организаций всех уровней. Это должно сопровождаться установлением требований безопасности или средств контроля для поставщиков программного обеспечения, а также исследованием должной осмотрительности в отношении того, как поставляются и собираются устройства IoT и аппаратное обеспечение.

Поставщики управляемых услуг и облачных сервисов также должны подчиняться четким требованиям безопасности.

Внутри компании необходимо хранить и изолировать резервные копии ИТ-систем, чтобы препятствовать распространению программ-вымогателей, проводить соответствующее обучение персонала, а также разрабатывать и тестировать планы реагирования на инциденты и восстановления.

Сбалансируйте преимущества с гарантиями

Линди Кэмерон, генеральный директор NCSC, сказала: “Подключенные места потенциально могут сделать повседневную жизнь граждан более безопасной и жизнестойкой; однако жизненно важно, чтобы преимущества были сбалансированы таким образом, чтобы гарантировать безопасность и конфиденциальность данных.

“Наше новое совместное руководство поможет сообществам управлять рисками, возникающими при интеграции подключенных технологий в их инфраструктуру, и принимать меры для защиты систем и данных от онлайн-угроз”.

admin
Author: admin