OSOTS - MRU



OSOTS

OSOTS – operacinių technologijų sensorius, skirtas gerinti kibernetinių incidentų aptikimą ir reagavimą, siekiant užtikrinti kritinių ir pramoninių infrastruktūrų sistemų veikimo stabilumą, patikimumą bei apsaugą nuo potencialių kibernetinių grėsmių.

Mykolo Romerio universitetas (MRU) dalyvauja mokslinių tyrimų ir eksperimentinės plėtros projekte „OSOTS: Atvirojo kodo operacinių technologijų jutiklis su dirbtinio intelekto funkcijomis“. Projekto tikslas – sukurti pažangų jutiklį, skirtą kibernetinių incidentų aptikimui ir reagavimui pramoniniuose valdymo sistemose, ypač energetikos, vandens tiekimo ir kitose kritinės infrastruktūros srityse. 

MRU šiame projekte atsakingas už teisinės atitikties užtikrinimą – analizuoja BDAR reikalavimus, privatumo apsaugos principus ir kibernetinio saugumo reguliavimą. MRU atlieka duomenų apsaugos poveikio vertinimus, rengia rekomendacijas dėl atitikties Europos ir tarptautiniams standartams (pvz., NIS2, ISO/IEC, NIST CSF, IEC 62443), taip prisidėdamas prie produkto pasirengimo komercializavimui. 

Projektą įgyvendina konsorciumas, kurį sudaro BPTI, NRD Cyber Security, Vilnius Tech ir MRU. Kuriamas jutiklis naudos mašininio mokymosi algoritmus anomalijų aptikimui OT tinkluose, bus pritaikomas įvairioms pramonės šakoms ir pasižymės lankstumu, saugumu bei galimybe integruotis į esamas sistemas. MRU indėlis užtikrina, kad technologija būtų ne tik efektyvi, bet ir teisiškai atspari bei tinkama naudoti realiomis sąlygomis. 

Tikslas. Padidinti pramoninių infrastruktūrų saugumą nuo kibernetinių grėsmių.

Sprendimas. Sukurtas OT (operacinės technologijos) jutiklis, kuris padeda identifikuoti ir vertinti kritinių sistemų pažeidžiamumą.

Rezultatas. Pagerinta pramoninių sistemų patikimumo, atsparumo ir reagavimo į incidentus kokybė.

 

Projektas: OSOTS – Atvirojo kodo operacinių technologijų jutiklis su mašininio mokymosi galimybėmis kibernetinių incidentų aptikimui ir reagavimui pramoninėse valdymo sistemose

Veiklą vykdantis partneris: Mykolo Romerio universitetas (MRU)

Tyrimų laikotarpis: 2024 m. sausis – 2026 m. gegužė

Projekto svetainė: https://www.mruni.eu/misija-saugi-ir-itrauki-e-visuomene-02-002-p-0001/ 

Mokslinių tyrimų rezultatai

OSOTS projekte kuriamas atvirojo kodo operacinių technologijų (OT) jutiklis su integruotu mašininio mokymosi (ML) modeliu, skirtas kibernetinių incidentų aptikimui ir reagavimui į juos pramoninėse valdymo sistemose (ICS). Jutiklis projektuojamas tam, kad sustiprintų anomalijų aptikimą ir prisidėtų prie ypatingos svarbos infrastruktūros sektorių – elektrinių ir elektros tinklų, saulės ir vėjo jėgainių, dujų ir skystojo kuro gamintojų, švaraus vandens tiekėjų bei pramonės subjektų – apsaugos. Mykolo Romerio universiteto (MRU) vaidmuo projekte – nepriklausomi moksliniai tyrimai teisinio reguliavimo, asmens duomenų apsaugos (BDAR), kibernetinio saugumo reguliavimo atitikties, OT/ICS standartų, teismų praktikos ir atsakingo technologijų diegimo srityse. MRU tyrė ne techninę jutiklio inžineriją, kurią vykdo projekto partneriai, o teisinį – reguliacinį, duomenų apsaugos ir valdysenos pagrindą, kuriuo turi remtis atsakingas ir teisiškai gintinas OT/ICS stebėsenos sprendimas.

MRU mokslinių tyrimų uždaviniai apėmė mokslinio tyrimo – analizės ataskaitą dėl atitikties pagrindiniams asmens duomenų apsaugos (BDAR) principams; mokslinio tyrimo – analizės ataskaitą dėl atitikties kibernetinio saugumo reikalavimams; reguliacinių sistemų patikrą ir OT/ICS standartų žemėlapio sudarymą; mokslinę publikaciją bei tyrimų rezultatų viešinimą. Iki 2025 m. spalio mėn. buvo suformuotas tyrimo metodologinis pagrindas ir parengta pirminė reguliacinio žemėlapio bazė: identifikuoti OSOTS aktualūs ES ir nacionaliniai teisės aktai (NIS2, BDAR, DI aktas, CER direktyva, Kibernetinio saugumo aktas, Kibernetinio atsparumo aktas, Duomenų aktas, Budapešto konvencija). Nuo 2025 m. lapkričio mėn. analizuoti pagrindiniai OT/ICS kibernetinio saugumo standartai (IEC 62443, NIST CSF 2.0, NIST SP 800-82, ISO/IEC 27001/27002/27005/27035/27701/29134, NERC CIP, MITRE ATT&CK for ICS), suformuluota atitikties-projektuojant (compliance-by-design) logika, atlikta naujausios praktikos, teismų praktikos, atvejo ir lyginamoji analizė, parengta vieninga ontologinė sistema ir pateiktas mokslinis straipsnis tarptautiniam recenzuojamam leidiniui.

Tyrimai organizuoti keturiais etapais, kurių kiekvienas remiasi ankstesniojo rezultatais. Pirmas etapas apėmė metodologinį planavimą ir reguliacinį žemėlapį: apibrėžta tyrimo logika, identifikuoti OSOTS aktualūs teisės aktai ir pagrindiniai OT/ICS standartai, suformuluota atitikties-projektuojant logika. Antras etapas skirtas naujausios praktikos, teismų praktikos ir lyginamosios analizės darbui: nagrinėta naujausia ES ir NATO politikos praktika, Europos Sąjungos Teisingumo Teismo (ESTT) praktika, atvejo tyrimas ir geriausių praktikų apžvalga. Trečias etapas – rezultatų konsolidavimas: radiniai sujungti į vieningą ontologinę sistemą ir mokslinį straipsnį. Ketvirtas etapas – galutiniai rezultatai: parengtos galutinės analitinės ataskaitos, OT/ICS standartų žemėlapis, reguliacinių sistemų patikros ataskaita ir poveikio duomenų apsaugai vertinimo (PDAV / DPIA) loginis modelis. Tokia seka leido išvengti fragmentiško darbo: teisės aktų analizė maitino standartų žemėlapį, teismų praktika informavo atsakingo diegimo logiką, o ontologija suteikė semantinį integracijos sluoksnį, jungiantį visus radinius.

Kibernetinio saugumo reguliavimo analizė susiejo konkrečias OSOTS technines funkcijas – pasyvią tinklo stebėseną, paketų gaudymą, OT/ICS protokolų analizę, ML pagrįstą anomalijų ir „švyturių“ (beaconing) aptikimą, įspėjimų generavimą bei integraciją su SIEM ir kibernetinės grėsmių žvalgybos (CTI) sistemomis – su taikytinais reguliaciniais reikalavimais. Analizės ašis – NIS2 direktyva, vertinta esminių ir svarbių subjektų kategorijų, kritinės infrastruktūros operatorių prievolių, rizikos valdymo, incidentų aptikimo ir pranešimo, sąveikos su CSIRT, tiekimo grandinės saugumo bei žurnalų tvarkymo požiūriu. Esminė tyrimo perskyra – OT jutiklis tipiškai veikia ne kaip atskiras reguliuojamas vienetas, o kaip techninė priemonė, kurią naudoja reguliuojamas subjektas; todėl NIS2 prievolės pirmiausia tenka OSOTS diegėjui ir operatoriui, o jutiklio projektavimas gali šių prievolių vykdymą arba palengvinti, arba apsunkinti. Be NIS2, įvertintas DI akto, CER direktyvos, Kibernetinio saugumo akto, Kibernetinio atsparumo akto (CRA), Duomenų akto ir Budapešto konvencijos aktualumas, kiekvienu atveju nurodant ne galutinę atitikties išvadą, o aktualybės laipsnį ir klausimus tolesniam projektavimo etapui.

BDAR ir duomenų apsaugos analizė rėmėsi niuansuotu požiūriu į esminį klausimą: ar ir kada OT/ICS tinklo srauto duomenys laikytini asmens duomenimis. MRU analizėje vengiama dviejų kraštutinumų – tiek prielaidos, kad visa OT/ICS telemetrija yra asmens duomenys, tiek priešingos prielaidos, kad pramoninių sistemų duomenys niekada nesusiję su asmeniu. OT/ICS tinklo srauto duomenys daugeliu atvejų gali būti nesusiję su asmeniu (mašininiai arba įrenginio duomenys), tačiau jie gali tapti asmens duomenimis, kai siejami su identifikuojamais operatoriais, administratoriais, naudotojų paskyromis, darbo vietos veikla, prieigos kredencialais ar incidentų įrašais. Remiantis šia perskyra, sistemingai aptarti BDAR principai OSOTS tvarkymo scenarijuose: teisėto tvarkymo pagrindas, tikslo ribojimas, duomenų minimizavimas, saugojimo ribojimas, tikslumas, vientisumas ir konfidencialumas, taip pat pseudonimizavimo ir anonimizavimo vaidmuo, duomenų subjekto teisės, PDAV reikalingumas ir valdytojo, tvarkytojo bei bendro valdytojo vaidmenų pasiskirstymas. Ypač svarbus darbo vietos ir pramoninės stebėsenos ribų klausimas: jutiklis, skirtas proceso ir saugumo stebėsenai, neturėtų virsti darbuotojų elgesio stebėsenos priemone be atskiro teisinio pagrindo ir proporcingumo vertinimo. Visos išvados formuluojamos atsargiai – ataskaitoje nedaroma išvada, kad sistema yra „BDAR atitinkanti“; vietoje to identifikuojami konkretūs atitikties svarstymai ir rekomenduojami projektavimo bei valdysenos sprendimai.

Reguliacinių sistemų patikra ir OT/ICS standartų žemėlapis papildo atitikties analizę sistemingu reguliacinių ir techninių sistemų inventorizavimu. Patikra nustato kiekvienos sistemos privalomumo statusą – kurie reikalavimai yra teisiškai privalomi, kurie sudaro reguliacines gaires, o kurie lieka savanoriškais standartais – ir žemėlapiu susieja jas su OSOTS funkcijomis bei gyvavimo ciklo etapais. OT/ICS standartų žemėlapis detaliau išplečia techninių ir organizacinių standartų sluoksnį, susiedamas OSOTS funkcijas su IEC 62443 serija, NIST CSF 2.0 šešiomis funkcijomis (Govern, Identify, Protect, Detect, Respond, Recover), NIST SP 800-82, NERC CIP, ISO/IEC 27000 serija ir MITRE ATT&CK for ICS žinių baze (94 priešiškos technikos). OSOTS pozicionuojamas pirmiausia kaip aptikimo (Detect) priemonė, prisidedanti ir prie reagavimo (Respond) funkcijos, o standartų papildomumas išryškina, kurią spragą kiekvienas standartas užpildo ir kur jų reikalavimai sutampa. Šis susiejimas tapo ir vieningos ontologinės sistemos pagrindu.

Atskiri, tačiau viso karkaso atžvilgiu esminiai rezultatai – naujausios praktikos (Recent Practices) tyrimas, atvejo tyrimas, lyginamoji bei turinio analizė ir ESTT teismų praktikos analizė. Teismų praktikos analizėje nagrinėtos bylos, tiesiogiai aktualios ML pagrįsto anomalijų aptikimo teisėtumui: La Quadrature du Net (C-511/18) dėl srauto duomenų saugojimo ribojimo; Ligue des droits humains (C-817/19) dėl žmogaus peržiūros (human-in-the-loop); SCHUFA (C-634/21) ir Dun & Bradstreet (C-203/22) dėl automatizuoto sprendimų priėmimo ir paaiškinamumo; EDPS v SRB (C-413/23 P) dėl pseudonimizuotų duomenų; Deutsche Wohnen (C-807/21) dėl deramo rūpestingumo įrodymo. Šie radiniai pagrindžia saugojimo ribojimo, žmogaus priežiūros, paaiškinamumo ir auditabilumo reikalavimus, kurie atitikties-projektuojant (compliance-by-design) ir saugumo-projektuojant (security-by-design) rezultate paverčiami konkrečiomis projektavimo kontrolėmis pagal grandinę reikalavimas → kontrolė → patikra → įrodymas.

Tyrimų grandies semantine ašimi tapo vieninga ontologinė sistema (A Unified Ontological Framework for Integrated Regulatory Compliance and Cybersecurity Requirements in Critical Infrastructure). Ji integruoja kelias reguliacines ir technines sistemas į vieną semantinį modelį, susiejantį teisines prievoles (NIS2, BDAR, DI aktas, CRA, CER), organizacines kibernetinio saugumo funkcijas (NIST CSF 2.0), techninius kontrolės mechanizmus (IEC 62443) ir priešiškus elgsenos modelius (MITRE ATT&CK for ICS). Ontologija formalizuota naudojant RDF ir OWL; pagrindinės klasės – Regulation, RegulatoryRequirement, CybersecurityFunction, SecurityControl, Asset, ThreatTechnique ir ThreatModel – susietos objektinėmis savybėmis (imposesRequirement, mapsToFunction, implementedBy, appliesTo, mitigates), leidžiančiomis atsekti reguliacinį reikalavimą per valdysenos, techninį ir operacinį sluoksnius iki konkrečios grėsmių mažinimo priemonės. Sistema įgyvendinta Stardog žinių grafo platformoje ir patikrinta SPARQL užklausomis. Ontologija yra ir savarankiškas mokslinis rezultatas, sprendžiantis izoliuotų, tik vieną instrumentą apimančių ontologijų problemą, ir metodinis instrumentas, suteikiantis OSOTS projektui bendrą atsekamumo struktūrą; vis dėlto ji nepatvirtina jokios konkrečios OSOTS konfigūracijos teisinės atitikties ir reikalauja tolesnės patikros realioje diegimo aplinkoje. Atskiras atitikties karkasas parengtas „Mission 2“ kategorijos DI sistemoms pagal ES DI aktą ir darniuosius standartus.

Skersinis tyrimų sluoksnis – teisinių, etinių, reguliacinių ir visuomeninių aspektų (ELSA / ELRS) analizė, integruota į visus etapus. Kadangi OT/ICS jutiklis veikia ypatingos svarbos infrastruktūroje, kurioje klaidingas veikimas gali turėti tiesioginių saugos, operacinių ir visuomeninių pasekmių, analizė klausia ne tik ar technologija teisėta, bet ir kokiomis sąlygomis jos naudojimas yra atsakingas. Nagrinėtos stebėsenos ribos ir netrikdymas, aiškus saugumo bei proceso stebėsenos atskyrimas nuo darbuotojų ar asmenų stebėsenos, klaidingų teigiamų rezultatų operacinės pasekmės, žmogaus priežiūra, atskaitomybė, proporcingumas, skaidrumas ir visuomeninis pasitikėjimas. Šios dimensijos tiesiogiai susietos su konkrečiais projektavimo reikalavimais: klaidingų teigiamų rezultatų rizika lemia žmogaus peržiūros reikalavimą, profiliavimo rizika – stebėsenos ribų modelį, atskaitomybės principas – auditabilumo ir įrodymų grandinės reikalavimą.

Nepriklausomų tyrimų rezultatai turi reikšmę keliais lygmenimis: jie formuoja OT jutiklio teisinę-reguliacinę architektūrą ir atitikties mechanizmus; suteikia BDAR ir kibernetinio saugumo atitikties metodologinę bazę, tiesiogiai pritaikomą projektavimui; užtikrina mašiniškai interpretuojamą žinių struktūrizavimą per ontologiją; ir stiprina projekto mokslinį indėlį per recenzuojamą mokslinę publikaciją bei tyrimų rezultatų sklaidą. Šie rezultatai neapima techninio jutiklio diegimo, bet suteikia reikalavimų, kontrolių ir patikros įrodymų pagrindą, kuriuo partneriai gali remtis atsakingiau, teisiškai gintiniau ir labiau atsižvelgdami į duomenų apsaugą plėtodami ir ateityje diegdami OT/ICS jutiklį su ML pagrįsto anomalijų aptikimo galimybėmis.

Tyrimų rezultatų dokumentai

Žemiau pateikiami atsisiunčiami MRU mokslinių tyrimų rezultatų dokumentai (PDF):

  1. Mokslinio tyrimo-analizės ataskaita dėl kibernetinio saugumo reguliavimo ir asmens duomenų apsaugos (BDAR) atitikties – reguliacinis žemėlapis ir susijusi analizė
    OSOTS MRU Regulatory analysis.pdf
  2. Recenzuota mokslinė publikacija: vieninga ontologinė sistema integruotai reguliacinei atitikčiai ir kibernetinio saugumo reikalavimams ypatingos svarbos infrastruktūroje
    OSOTS MRU Publication – Unified Ontological Framework for Integrated Regulatory Compliance and CS Requirements in Critical Infrastructure.pdf
  3. MRU neekonominės MTEP veiklos viešinimas – mokslinių tyrimų rezultatų pristatymas projekto svetainei
    OSOTS MRU neekonominės MTEP veiklos viešinimas.pdf
  4. OSOTS vertinimo modelis (Assessment Model) – DI sistemos atitikties ir patikimumo įsivertinimo modelis
    OSOTS MRU Assessment Model.pdf
  5. Analizės ataskaita dėl kibernetinio saugumo taisyklių laikymosi ir reguliacinių sistemų patikra
    OSOTS MRU Report on Compliance with Cybersecurity Regulations .pdf
  6. Kibernetinio saugumo atitikties klausimynas – savęs vertinimo priemonė kibernetinio saugumo reikalavimų laikymuisi patikrinti
    OSOTS MRU cyber security compliance questionnaire.pdf
  7. Atitikties karkasas DI sistemoms pagal ES DI aktą ir darniuosius standartus
    OSOTS MRU Compliance Framework under the AI Act and Harmonised Standards.pdf
Mykolo Romerio universitetas
Juridinio asmens kodas 111951726
PVM mokėtojo kodas LT119517219
Adresas: Ateities g. 20, LT-08303 Vilnius
Tel.: Studentų priėmimas: +370 5 271 4700, priemimas@mruni.eu Rektoriaus priimamasis: +370 5 271 4625, roffice@mruni.eu
Greitosios nuorodos