Подробный разбор по теме в нашем закрытом телеграмм канале ВЭД Логика. В чате можно задать вопрос, посоветоваться с экспертами, поделиться новостью.
В ответ на растущие киберугрозы по всему миру Палата общин Канады представила законопроект C-26, призванный установить основу для хорошей кибергигиены в критической инфраструктуре страны. Законопроект появился в ответ на растущее число инцидентов, связанных с кибербезопасностью по всей стране.
Законопроект, также известный как Закон о защите критически важных киберсистем (CCSPA), уполномочивает губернатора в совете определять любую услугу или систему как жизненно важную для безопасности страны и устанавливать класс операторов (или организаций), которые несут ответственность за кибербезопасность этих жизненно важных систем. Назначенные операторы затем привязываются к ветви правительства, которая будет контролировать выполнение нормативных требований, изложенных в законопроекте. Например, министру транспорта будет поручено контролировать программы кибербезопасности любой транспортной системы, регулируемой на федеральном уровне.
<блоковая цитата>
В 2019 году 21% канадских предприятий сообщили, что на них повлияли инциденты, связанные с кибербезопасностью. Однако вполне вероятно, что это число еще выше, поскольку до смерти C-26 в стране не было мандата на сообщение об инцидентах. CCSPA конкретно нацелен на телекоммуникации, финансы, энергетику и транспорт. Это первый случай, когда Канада приняла закон, касающийся кибербезопасности в критической инфраструктуре, и следует аналогичным законам, принятым в США, таким как S.2491 – Закон о защите инфраструктуры США 2021 г.
Что поставлено на карту
Цели законопроекта многогранны. Назначенным операторам необходимо будет реализовать программы кибербезопасности, разработать системы для смягчения уязвимостей цепочки поставок и ввести двухэтапный процесс отчетности о любых инцидентах кибербезопасности, которые могут произойти. Эти правила призваны пролить свет на масштабы кибератак по всей стране и дать регулирующим органам представление о текущем состоянии киберугроз для критически важной инфраструктуры. Хотя в настоящее время организации, возможно, не слишком заинтересованы сообщать об инцидентах, в соответствии с новым законом теперь будут введены штрафы для тех, кто не сообщает об инциденте.
Законопроект также наделяет ответственных регулирующих органов широкими полномочиями по проверке и аудиту, включая возможность требовать от организаций проведения внутреннего аудита. Несоблюдение положений CCSPA (включая задержки в сообщении об инцидентах) может привести к штрафам на сумму до 15 миллионов канадских долларов, а несоблюдение определенных разделов может привести к уголовным штрафам или тюремному заключению.
Из Центра знаний Создание прочного фундамента OT-кибербезопасности для долгосрочного успеха
Адаптация к новой среде
Поскольку назначенные операторы приспосабливаются к новой нормативной среде, им необходим опытный партнер. ABS Consulting предлагает комплексный портфель услуг по оценке, разработке и помощи в реализации программ кибербезопасности OT, которые помогают компаниям соблюдать требования CCSPA. Более того, поскольку новые требования к отчетности раскрывают истинный масштаб угрозы OT-системам Канады, ABS Consulting имеет возможность выйти за рамки базового соответствия, предлагая стратегии кибербезопасности, призванные помочь организациям в мониторинге, обнаружении, реагировании и восстановлении атак.
Решение
Базовая кибергигиена может сыграть важную роль в снижении промышленного киберриска. Чтобы снизить риск и сократить возможности атак, компаниям следует:
- Относитесь к промышленной кибербезопасности серьезно. Промышленная кибербезопасность должна стать императивом бизнеса. Это может быть так же важно для вашего роста, как и любые другие стратегические инвестиции. Убедитесь, что у вас есть программа, инвестиции и возможности, позволяющие минимизировать кибер-риски OT.
- Узнайте, что защищать. Убедитесь, что у вас есть надежная и автоматизированная система инвентаризации и управления активами. Это позволит компаниям узнать, что им необходимо защищать и какие компоненты подключены.
- Управлять уязвимостями. Как только компания знает, что защищать, она может начать оценивать дыры в своей защите, расставлять приоритеты для этих дыр и закрывать их.
- Рассматривайте кибербезопасность с самого начала. Кибербезопасность должна начинаться на этапе разработки концепции. Компании должны убедиться, что безопасность при проектировании и управление рисками в цепочке поставок являются основной частью их нового строительства и расширения.
- <сильный>Сохраняйте прозрачность и контроль. Компаниям следует инвестировать в надежные программы мониторинга и реагирования. Без этих программ команды по кибербезопасности могли бы действовать вслепую.
- Найдите подходящего партнера. Промышленный кибербезопасность – это непростая задача. Для этого необходимы знания в предметной области и решение, созданное специально для сред OT. Наша команда экспертов по кибербезопасности OT поможет вам разработать программу, которая лучше всего соответствует вашим потребностям.
Хорошая гигиена кибербезопасности приводит к профилактическим действиям.
