NIST udgiver udvidet version 2.0 af Landmark Cybersecurity Framework for at hjælpe kritiske infrastrukturorganisationer

National Institute of Standards and Technology (NIST) har afsløret version 2.0 af deres Cybersecurity Framework (CSF), der markerer en stor milepæl i cybersikkerhedsstrategien. CSF, der oprindeligt var skræddersyet til kritiske infrastrukturorganisationer, har opnået udbredt anvendelse ud over dets tilsigtede omfang, hvilket fik NIST til at forbedre dets anvendelighed på tværs af forskellige sektorer og organisationsstørrelser. Den opdaterede ramme, der er baseret på feedback på dets udkast, udvider kernevejledningen og introducerer den afgørende "Govern"-funktion, der afhjælper huller i risikostyring.

Den nye ramme, som ikke er blevet opdateret i omkring 10 år, kommer på et kritisk tidspunkt, hvor kritiske infrastrukturorganisationer står over for alvorlige cyberangreb , der kan lamme daglige funktioner inden for mange facetter af livet. Nogle angreb har fjernet operationer for kritisk pleje i sundhedsgrupper og mange andre industrier, som den nye ramme sigter mod at hjælpe med at modarbejde.

Robert Booker, Chief Strategy Officer hos HITRUST, understregede betydningen af Govern-funktionen og understregede dens centrale rolle i risikostyring inden for cybersikkerhedslandskabet. Navnlig giver CSF 2.0 brugere skræddersyede implementeringseksempler og hurtigstartvejledninger, hvilket letter den praktiske anvendelse. Desuden inkorporerer det et søgbart katalog over referencer, der strømliner tilpasningen med over 50 cybersikkerhedsdokumenter.

NIST-direktør Laurie E. Locascio understregede den dynamiske karakter af CSF 2.0 og fremstillede det som en suite af tilpassede ressourcer, der kan tilpasses til skiftende cybersikkerhedsbehov og organisatoriske kapaciteter. Katherine Ledesma, fra det industrielle cybersikkerhedsfirma Dragos, fremhævede rammernes implikationer for organisationer med industrielle kontrolsystemer (ICS) og operationel teknologi (OT) systemer. Hun understregede et skift i opfattelsen og placerede cybersikkerhedsinvesteringer som ikke blot et omkostningscenter, men som en strategisk muliggører for forretningsdrift, især kritisk for industrier som fremstilling og forsyningsvirksomhed.

Ledesma understregede også vigtigheden af at skelne mellem IT- og OT-miljøer inden for CSF-rammen, idet man forudser en nuanceret tilgang til sikring af ICS/OT-systemer. Hun understregede behovet for løbende opdateringer og specialiseret vejledning til at håndtere de unikke risici, der er forbundet med disse systemer, og slog til lyd for integration af OT-specifikke overvejelser i bredere cybersikkerhedsplanlægning og vejledningsdokumenter.

Samlet set markerer udgivelsen af CSF 2.0 et betydeligt fremskridt inden for cybersikkerhedsstrategi, der tilbyder en omfattende ramme, der kan tilpasses forskellige organisatoriske kontekster og understreger cybersikkerhedens kritiske rolle i at understøtte virksomhedens modstandskraft og kontinuitet.