Nové pokyny, Cybersecurity Best Practices for Smart Cities, mají zvýšit povědomí mezi komunitami a organizacemi zavádějícími technologie chytrých měst, a upozorňují, že tyto užitečné technologie mohou mít také potenciální zranitelnosti. Země spolupracující v rámci aliance Five Eyes (Austrálie, Kanada, Nový Zéland, Spojené království a USA) radí komunitám, které zvažují stát se chytrými městy, aby vyhodnotily a zmírnily rizika kybernetické bezpečnosti, která tato technologie přináší.
To, co dělá chytrá města pro útočníky atraktivní, jsou shromažďovaná a zpracovávaná data. Protože se k integraci těchto dat používají systémy s umělou inteligencí, měla by jim být při kontrole zranitelností věnována zvláštní pozornost.
Průvodce se zaměřuje na tři oblasti: bezpečné plánování a návrh, proaktivní řízení rizik dodavatelského řetězce a provozní odolnost.
Bezpečné plánování a design
Při plánování integrace technologií chytrých měst do systémů infrastruktury musejí komunity zahrnout strategické předvídání a proaktivní procesy řízení rizik kybernetické bezpečnosti. Nové technologie by měly být pečlivě integrovány do starších systémů. Chytré nebo propojené funkce musejí být bezpečné již od návrhu. Komunity by si měly být vědomy toho, že starší infrastruktura může vyžadovat přepracování, aby bylo možné bezpečně nasadit systémy inteligentních měst.
Organizace zavádějící technologii chytrých měst by měly uplatňovat zásadu nejmenšího privilegia v celém svém síťovém prostředí. To znamená přezkoumat výchozí a stávající konfigurace spolu se zpřísněnými pokyny od dodavatelů, aby bylo zajištěno, že hardwaru a softwaru bude povolen přístup pouze k systémům a datům, které potřebuje k plnění svých funkcí.
Chcete dostávat do mailu týdenní přehled článků z CIO Business Worldu? Objednejte si náš mailový servis a žádná důležitá informace vám neuteče. Objednat si lze také newsletter To hlavní, páteční souhrn nejdůležitějších článků ze všech našich serverů. Newslettery si můžete objednat na této stránce.
Tyto organizace by měly rozumět svému prostředí a pečlivě řídit komunikaci mezi podsítěmi, včetně nově propojených podsítí propojujících infrastrukturní systémy.
Mezi další úvahy patří vynucení vícefaktorové autentizace (MFA), implementace architektury nulové důvěry, bezpečná správa aktiv inteligentních měst, zlepšení zabezpečení zranitelných zařízení, ochrana internetových služeb, včasné záplatování systémů a aplikací, revize právních předpisů, zabezpečení, a rizika ochrany soukromí spojená s nasazením.
Proaktivní řízení rizik dodavatelského řetězce
Všechny organizace zapojené do implementace technologie inteligentních měst by měly proaktivně řídit rizika dodavatelského řetězce informačních a komunikačních technologií (ICT) pro jakoukoli novou technologii, včetně hardwaru nebo softwaru, které podporují implementaci systémů inteligentních měst nebo poskytovatelů služeb podporujících implementaci a provoz, je doporučeno v pokynech. Úředníci veřejných zakázek z komunit zavádějících systémy inteligentních měst by také měli informovat dodavatele o minimálních bezpečnostních požadavcích a formulovat opatření, která přijmou v reakci na porušení těchto požadavků.
Provozní odolnost
Organizace odpovědné za projekty inteligentních měst by měly vyvíjet, posuzovat a udržovat nepředvídané události pro manuální ovládání všech funkcí kritické infrastruktury a odpovídajícím způsobem školit personál. Tyto nepředvídané události by měly zahrnovat plány na odpojení systémů infrastruktury od sebe navzájem nebo od veřejného internetu, aby fungovaly autonomně. V případě kompromisu by organizace měly být připraveny izolovat postižené systémy a provozovat jinou infrastrukturu s co nejmenším narušením. Aby k tomu mohlo dojít, je v pokynech doporučeno provést školení zaměstnanců o tom, jak izolovat kompromitované IT systémy od OT a v případě potřeby ručně ovládat základní funkce.
Mělo by se také zaměřit na vytváření, údržbu a testovací zálohy, a to jak pro záznamy IT systémů, tak pro manuální provozní schopnosti fyzických systémů integrovaných do sítě chytrého města. Doporučuje se také vypracovat a uplatnit plány reakce na incidenty a obnovy.
Pokyny jsou výsledkem spolupráce následujících organizací:
- Australské centrum kybernetické bezpečnosti (ACSC)
- Kanadské centrum pro kybernetickou bezpečnost (CCCS)
- Novozélandské národní centrum kybernetické bezpečnosti (NCSC-NZ)
- Národní centrum kybernetické bezpečnosti Spojeného království (NCSC-UK)
- Americká agentura pro kybernetickou bezpečnost a bezpečnost infrastruktury (CISA), Federální úřad pro vyšetřování (FBI) a Národní bezpečnostní agentura (NSA).
„Organizace by měly zavádět tyto osvědčené postupy v souladu se svými specifickými požadavky na kybernetickou bezpečnost, aby zajistily bezpečný a bezpečný provoz systémů infrastruktury, ochranu soukromých dat občanů a bezpečnost citlivých vládních a obchodních dat,“ uvádí se v pokynech.
CIO Business World si můžete objednat i jako klasický časopis (v tištěné i v digitální podobně) Věnujeme se nejnovějším technologiím a efektivnímu řízení podnikové informatiky. Přinášíme nové ekonomické trendy a analýzy a zejména praktické informace z oblasti podnikového IT se zaměřením na obchodní a podnikatelské přínosy informačních technologií. Nabízíme možná řešení problémů spojených s podnikovým IT v období omezených rozpočtů. Naší cílovou skupinou je vyšší management ze všech odvětví ekonomiky.