Ordonanța PCICSO privind protecția infrastructurilor critice (sisteme informatice) reprezintă un nou cadru legislativ introdus de Guvernul din Hong Kong pentru a consolida securitatea cibernetică și reziliența operatorilor de infrastructuri critice (CIO). În vigoare din ianuarie 2026, ordonanța stabilește obligații legale pentru CIO de a-și proteja sistemele informatice împotriva amenințărilor cibernetice, de a gestiona proactiv riscurile și de a răspunde eficient la incidentele de securitate cibernetică. Această reglementare clarifică faptul că operatorii de infrastructuri critice trebuie acum să demonstreze că aplică controale stricte și executorii asupra modului în care sunt gestionate sistemele, dispozitivele și datele.
Ordonanța privind protecția infrastructurilor critice (sisteme informatice) (PCICSO)
Cadrul de reglementare PCICSO se articulează în jurul a trei obligații fundamentale, menite să ofere CIO-urilor o abordare cuprinzătoare și sistematică pentru gestionarea riscurilor cibernetice. CIO-urile sunt definite ca organizații desemnate de autoritatea de reglementare pe baza gradului lor de dependență de operațiunile esențiale ale sistemelor informatice, a caracterului sensibil al datelor controlate, a nivelului de control operațional și de gestionare asupra infrastructurii, precum și a informațiilor furnizate în scopul asigurării conformității.
Cele trei obligații principale pe care directorii IT trebuie să le respecte sunt:
- Aspecte organizaționale: Cerințe de guvernanță și organizaționale menite să asigure o responsabilitate clară, politici și supraveghere în domeniul securității cibernetice.
- Preventive: Măsuri preventive și de protecție, care impun operatorilor să pună în aplicare măsuri de securitate tehnice și operaționale adecvate pentru a asigura securitatea sistemelor informatice critice.
- Raportarea incidentelor și reacția la acestea: Capacități care să asigure detectarea, gestionarea și notificarea în timp util a incidentelor semnificative de securitate cibernetică.
Punctele cheie
Deși ordonanța acoperă o gamă largă de cerințe, există câteva aspecte esențiale pe care directorii IT ar trebui să le aibă în vedere. Conform Anexei 3, Partea 1 a ordonanței, operatorii sunt obligați să dispună de politici care să asigure:
- Identificarea, evaluarea, monitorizarea, atenuarea și gestionarea riscurilor legate de securitatea sistemelor informatice și de vulnerabilitățile acestora
- Controlul accesului la sistemele informatice critice
- Gestionarea furnizorilor de servicii și produse informatice utilizate în cadrul sistemelor
Soluții de vârf în domeniu pentru a facilita conformitatea
Endpoint dispozitivelor și Endpoint ca bază
Ghidurile PCICSO pun un accent deosebit pe starea Endpoint și pe gestionarea vulnerabilităților, impunând ca vulnerabilitățile să fie detectate, evaluate și remediate în timp util. Numai dispozitivele conforme ar trebui să aibă permisiunea de a interacționa cu sistemele critice, în timp ce dispozitivele finale care prezintă patch-uri lipsă, software învechit sau riscuri de securitate trebuie blocate sau restricționate până la remediere. MetaDefender asigură conformitatea cu aceste cerințe prin impunerea conformității dispozitivelor înainte de acordarea accesului și prin evaluarea fiecărui terminal în raport cu politicile organizaționale. Această evaluare include starea vulnerabilităților și a patch-urilor, asigurându-se că numai dispozitivele care îndeplinesc cerințele de securitate necesare se pot conecta.
În plus, MetaDefender Endpoint gestionarea vulnerabilităților și a patch-urilor la nivelul terminalelor, acoperind atât sistemele de operare, cât și aplicațiile terțe. Acesta detectează în mod activ vulnerabilitățile, remediază riscurile și oferă soluții recomandate, oferind suport pentru aplicarea patch-urilor la peste 1.100 de aplicații. Pentru asigurarea conformității verificabile și investigarea incidentelor, toate aspectele legate de securitatea terminalelor și starea de conformitate pot fi monitorizate și auditate centralizat prin intermediul My Central Management.
Reducerea Media amovibile
Controlul accesului reprezintă unul dintre domeniile cheie vizate de ordonanță. Acest lucru accentuează necesitatea ca directorii IT să gestioneze cu atenție toate căile de acces la sistemele critice, inclusiv suporturile amovibile.
Utilizarea USB și a altor suporturi portabile rămâne o practică obișnuită în mediile operaționale, în special în cazul rețelelor segmentate sau izolate, ceea ce le transformă într-un vector de atac cu risc ridicat în mediile OT/ICS. Conform Raportului SANS privind bugetul OT/ICS pentru 2025, 15,2% dintre vectorii de atac au provenit de la suporturi amovibile compromise.
Pentru a reduce aceste riscuri, OPSWAT organizațiile să prevină riscurile asociate suporturilor amovibile prin:
- Reducerea Media amovibile la punctul de intrare:MetaDefender asigură securitatea fluxurilor de date către mediile critice prin scanarea și curățarea suporturilor amovibile la punctul de intrare. Produsul a fost inclus în programul DeltaV Silver Alliance al Emerson, dovedindu-și eficacitatea în diverse medii și scenarii de utilizare.
- Endpoint și controlul dispozitivelor înainte de rulare: MetaDefender oferă protecție avansată pentru terminalele din mediile operaționale, scanând activ suporturile amovibile la introducerea acestora și asigurându-se că numai dispozitivele sau conținutul curat pot fi accesate în cadrul sistemelor critice.
- Media ca un nivel suplimentar de protecție: MetaDefender Endpoint și MetaDefender Media asigură un nivel suplimentar de securitate prin aplicarea politicilor de scanare și curățare.
- Monitorizarea centralizată a protecției: Prin intermediul Central Management My Central Management, MetaDefender și MetaDefender permit aplicarea centralizată a politicilor pentru controlul accesului la dispozitive, monitorizarea și gestionarea utilizării suporturilor portabile, precum și înregistrarea activităților.
Reglementarea accesului Supply Chain pentru contractori și Supply Chain și stocarea Secure
Întrucât infrastructura critică nu poate funcționa în izolare totală, operațiunile zilnice necesită adesea acordarea accesului la rețea pentru dispozitive externe aduse de furnizori, contractori și parteneri. Dispozitivele temporare, precum laptopurile terților și stațiile de lucru de înlocuire, pot ocoli procesul de verificare corespunzător din cauza presiunii timpului sau a instrumentelor de verificare insuficiente, creând astfel potențiali vectori de atac inițiali.
Date recente din industrie, preluate din rapoartele SANS 2025 ICS/OT și IBM 2025 Cost of a Data Breach, au arătat că:
- Atacurile asupra dispozitivelor tranzitorii au crescut cu 221%
- 27,3% din totalul incidentelor OT au avut la origine dispozitive tranzitorii
- Incidentele de securitate legate de terți și de lanțul de aprovizionare generează pierderi medii de aproximativ 4,9 milioane de dolari pe fiecare breșă de securitate
MetaDefender Drive conceput pentru a rezolva aceste probleme prin scanarea și verificarea dispozitivelor temporare înainte de a le acorda acces la rețelele dvs. critice. Prin intermediul scanării securizate înainte de pornire, operatorii pot inspecta dispozitivele dincolo de sistemul de operare al gazdei pentru a detecta amenințările ascunse înainte ca acestea să pătrundă în rețea.
În cazul sistemelor critice care nu pot fi oprite din cauza unor constrângeri operaționale, MetaDefender Drive oferăDrive funcția de scanare în timpul sesiunii, permițând inspectarea dispozitivului în timp ce sistemul de operare este în funcțiune, ceea ce asigură o inspecție aprofundată în medii critice în care întreruperile de funcționare sunt inacceptabile.
În plus, MetaDefender Drive Smart Touch permite stocarea sigură a fișierelor, funcționând similar cu o USB standard, dar ascunzând fișierele nescanate și permițând partajarea sau distribuirea doar a celor scanate.
Segmentarea rețelei și fluxul unidirecțional de date
Dincolo de segmentarea logică, PCICSO recunoaște că anumite sisteme critice necesită garanții mai solide decât cele oferite de măsurile de control bazate pe software. Firewall-urile, listele de control al accesului (ACL) și politicile de segmentare rămân vulnerabile la configurări incorecte, la utilizarea abuzivă a datelor de autentificare și la exploatări de tip zero-day. Pentru sistemele cu impact ridicat, în cazul cărora disponibilitatea și integritatea sunt esențiale, impunerea fizică a limitelor de încredere reprezintă o măsură de control decisivă.
MetaDefender răspunde acestei cerințe prin intermediul unui flux de date unidirecțional asigurat la nivel hardware, pentru a garanta că datele pot fi transferate din mediile critice în scopul monitorizării, analizei și raportării conformității, împiedicând în același timp comunicarea de intrare. Spre deosebire de controalele de rețea convenționale care se bazează pe aplicarea politicilor, această abordare elimină din start întregi clase de vectori de atac. Aceasta împiedică malware-ul, comenzile la distanță și mișcarea laterală să revină în sistemele protejate, susținând accentul pus de PCICSO pe reducerea riscului sistemic și limitarea căilor de expunere la sistemele critice.
Din punct de vedere operațional, MetaDefender le permite directorilor IT să îndeplinească obligațiile de monitorizare, înregistrare și raportare fără a compromite izolarea sistemului. Jurnalele, datele de telemetrie și indicatorii operaționali pot fi transmise în siguranță către mediile IT sau SOC pentru o analiză centralizată, în timp ce sistemele OT și de control rămân intacte, asigurând respectarea prevederilor ordonanței.
De la conformitate la reziliență
Aplicarea noilor orientări prevăzute de ordonanța privind securitatea cibernetică din Hong Kong ajută organizațiile să asigure conformitatea dispozitivelor, să controleze circulația fișierelor, să gestioneze suporturile amovibile și să segmenteze rețelele. Pe măsură ce infrastructurile critice devin tot mai interconectate, continuând totuși să se bazeze pe sisteme care nu tolerează întreruperile, măsurile de securitate trebuie să funcționeze fără a perturba activitatea operațională.
OPSWAT integrează aceste funcționalități la nivelul terminalelor, suporturilor amovibile, dispozitivelor temporare și fluxurilor de date, acoperind punctele de intrare comune și oferind în același timp vizibilitatea pe care o așteaptă autoritățile de reglementare. Pentru a afla mai multe despre modul în care OPSWAT organizațiile din domeniul infrastructurilor critice să îndeplinească aceste cerințe și să-și consolideze reziliența cibernetică, contactați unul dintre experții noștri chiar astăzi.
