NIST julkaisee Landmark Cybersecurity Frameworkin laajennetun version 2.0 auttaakseen kriittisen infrastruktuurin organisaatioita

National Institute of Standards and Technology (NIST) on julkistanut Cybersecurity Framework (CSF) -version 2.0, mikä on merkittävä virstanpylväs kyberturvallisuusstrategiassa. Alunperin kriittisen infrastruktuurin organisaatioita varten räätälöity CSF on saanut laajan hyväksynnän aiotun laajuuden ulkopuolella, mikä on saanut NIST:n parantamaan sovellettavuuttaan eri sektoreilla ja organisaatiokooilla. Päivitetty viitekehys, joka perustuu sen luonnoksesta saatuun palautteeseen, laajentaa ydinohjeistusta ja ottaa käyttöön keskeisen "hallinnan"-toiminnon, joka korjaa riskienhallinnan puutteita.

Uusi kehys, jota ei ole päivitetty noin 10 vuoteen, tulee kriittiseen aikaan, jolloin kriittisen infrastruktuurin organisaatiot kohtaavat vakavia kyberhyökkäyksiä , jotka voivat lamauttaa päivittäisiä toimintoja monilla elämän osa-alueilla. Jotkut hyökkäykset ovat karkoittaneet tehohoidon toimintoja terveysryhmissä ja monilla muilla toimialoilla, mitä uudella viitekehyksellä pyritään estämään.

Robert Booker, HITRUSTin strategiajohtaja, korosti Govern-toiminnon merkitystä ja korosti sen keskeistä roolia riskienhallinnassa kyberturvallisuusympäristössä. Erityisesti CSF 2.0 tarjoaa käyttäjille räätälöityjä toteutusesimerkkejä ja pika-aloitusoppaita, mikä helpottaa sen käytännön soveltamista. Lisäksi se sisältää haettavan lähdeluettelon, mikä virtaviivaistaa yli 50 kyberturvallisuusasiakirjan mukauttamista.

NIST:n johtaja Laurie E. Locascio korosti CSF 2.0:n dynaamista luonnetta ja kuvasi sitä mukautettavien resurssien sarjana, joka mukautuu kehittyviin kyberturvallisuustarpeisiin ja organisaatiokykyihin. Teollisen kyberturvallisuusyrityksen Dragosin Katherine Ledesma korosti viitekehyksen vaikutuksia organisaatioihin, joissa on teollisuusohjausjärjestelmiä (ICS) ja toimintateknologian (OT) järjestelmiä. Hän korosti käsityksen muutosta, jossa kyberturvallisuusinvestoinnit eivät ole pelkkä kustannuspaikka, vaan strateginen mahdollistaja liiketoiminnalle, joka on erityisen kriittinen teollisuudelle, kuten teollisuudelle ja yleishyödyllisille yrityksille.

Ledesma korosti myös IT- ja OT-ympäristöjen erottamisen tärkeyttä CSF-kehyksessä ennakoiden vivahteikkaan lähestymistavan ICS/OT-järjestelmien turvaamiseen. Hän korosti jatkuvan päivityksen ja erikoistuneiden ohjeiden tarvetta näihin järjestelmiin liittyvien ainutlaatuisten riskien käsittelemiseksi. Hän kannatti OT-kohtaisten näkökohtien sisällyttämistä laajempiin kyberturvallisuuden suunnittelu- ja ohjeasiakirjoihin.

Kaiken kaikkiaan CSF 2.0:n julkaisu merkitsee merkittävää edistystä kyberturvallisuusstrategiassa, sillä se tarjoaa kattavan kehyksen, joka on mukautettavissa erilaisiin organisaatiokonteksteihin ja korostaa kyberturvallisuuden kriittistä roolia liiketoiminnan kestävyyden ja jatkuvuuden tukemisessa.