Nettverkssikkerhet - CyberSecurity blir ofte sett på som en ren IT-utfordring. Dette kan delvis være sant i visse tjenestesektorer som finans eller forsikring, men industrielle systemer er avhengige av operasjonell teknologi (OT), som utvilsomt må vurderes når det gjelder cyberrisiko.
NEK IEC 62443 er en internasjonal standard for industriell sikkerhet og sikkerhet i industrielle kontrollsystemer. Den definerer krav til sikkerhet, inkludert autentisering, autorisasjon, kryptering, loggføring, overvåkning, og vedlikehold av sikkerhet.
Det primære formålet med IEC 62443-serien av standarder er å inkludere OT-systemene i arbeidet med cybersikkerhet. Standardserien er utarbeidet av IEC Technical Committee (TC) 65: Måling, kontroll og automatisering av industrielle prosesser, i samarbeid med medlemmer av Committee 99 of the International Society of Automation (ISA99). I Norge er det NEK NK 65 som behandler, kommenterer og voterer på standardserien IEC 62443.
IEC 62443-serien ble utviklet for å sikre industrielle kommunikasjonsnettverk og industrielle automatiserings- og kontrollsystemer (IACS) gjennom en systematisk tilnærming.
Serien inneholder for tiden ni standarder, tekniske rapporter (TR) og tekniske spesifikasjoner (TS) med fire deler som fortsatt er under utvikling. IACS finnes i et stadig voksende utvalg av domener og bransjer, som strøm og energiforsyning og distribusjon, transport, produksjon osv. Den er sentral i kritisk infrastruktur. IACS inkluderer også SCADA-systemer (Supervisory Control and Data Acquisition), som ofte brukes av virksomheter som opererer i kritisk infrastrukturindustri, slik som strømproduksjon, overføring og distribusjon, olje/gass og vanndistribusjonsnett. Oppnåelse av tilstrekkelig risikoredusering og robusthet mot sårbarheter er derfor essensielt.
Innen IECs 62443-publikasjoner anses begrepet “security” å bety forebygging av; ulovlig eller uønsket inntrengning, forsettlig eller utilsiktet inngrep på normal og tiltenkt drift, eller utilsiktet tilgang til konfidensiell informasjon”.
Security – “inkluderer datamaskiner, nettverk, operativsystemer, applikasjoner og andre programmerbare konfigurerbare komponenter i systemet”.
IEC 62443-standarder dekker alle aspekter av cybersikkerhet i alle ledd og er en bærebjelke i en «secure by design-tilnærming».
Et slikt omfang over IEC 62443-publikasjoner er nødvendig, ettersom de er relevante for alle industrielle kommunikasjonsnettverk og IACS-brukere, inkludert virksomhetseiere (asset owners), systemintegratorer, utstyrsprodusenter, leverandører, anleggsoperatører, vedlikeholds-utøvere og alle private og offentlige virksomheter involverte med, eller påvirket av, cybersikkerhetsstyring» (IEC / TS 62443-1-1 Industrielle kommunikasjonsnettverk – Nettverks- og systemsikkerhet – Del 1-1: Terminologi, konsepter og modeller).
NEK IEC 62443-serien er organisert i fire deler og dekker følgende:
Mange virksomheter og bransjer som bruker IT, har hatt veletablerte styringssystemer for cybersikkerhet (CSMS) som definert i ISO/IEC 27001 og ISO/IEC 27002-standardene for informasjonssikkerhet, utviklet av Joint Technical Committee for Information Technology (ISO/IEC JTC 1), etablert av IEC og ISO.
NEK IEC 62443-serien inkluderer på sin side sikkerhet for både IT og OT. Denne IT-OT-integrasjonen dekker flere aspekter og gir et fleksibelt rammeverk for å håndtere og redusere nåværende og fremtidige sikkerhetsproblemer i IACS.
IEC 62443s generelle del, NEK IEC TS 62443-1-1: 2009 “definerer terminologien, konseptene og modellene for IACS-sikkerhet. Den etablerer grunnlaget for de øvrige standardene i NEK IEC 62443-serien.” Den lister opp følgende syv grunnleggende krav:
Innen policy og prosedyrer definerer NEK IEC 62443-2-1: 2010 “elementene som er nødvendige for å etablere et CSMS for IACS og gir veiledning om hvordan disse elementene skal utvikles. CSMS-elementene beskrevet i denne standarden er policy, prosedyre, praksis og personell-relatert. Totalt beskriver den hva som skal eller bør inkluderes i den endelige CSMS for organisasjonen.”
NEK IEC TR 62443-2-3: 2015, omhandler “patch-management” (oppdaterings-ledelse), og beskriver krav til virksomhetseiere og IACS-produktleverandører som har etablert og vedlikeholder et IACS patch management-program.
Denne tekniske rapporten anbefaler et definert format for distribusjon av informasjon om sikkerhetsoppdateringer fra virksomhetseiere til IACS-produktleverandører. Den gir også en beskrivelse for noen av aktivitetene som er knyttet til utviklingen av oppdateringen av IACS-produktleverandører og distribusjon/installasjon av oppdateringer for virksomhetseiere.
Utvekslingsformatet og aktivitetene er definert for bruk i sikkerhetsrelaterte oppdateringer; Det kan imidlertid også være aktuelt for ikke-sikkerhetsrelaterte oppdateringer. (…) Det differensieres ikke mellom produktleverandørene som leverer infrastrukturkomponentene eller IACS-applikasjonene; den gir veiledning for alle gjeldende oppdateringer (…) ”
NEK IEC 62443-2-4: 2017, spesifiserer krav til sikkerhetsfunksjoner for IACS-tjenesteleverandører som de kan tilby til virksomhetseiere ved integrasjon og vedlikehold av en automatiseringsløsning.
Systemdelen, NEK IEC TR 62443-3-1: 2009, Industrielle kommunikasjonsnettverk – Nettverks- og systemsikkerhet – Sikkerhetsteknologier for IACS, “gir en aktuell vurdering av ulike cybersikkerhetsverktøy, skadereduserende tiltak og teknologi som effektivt kan anvendes for moderne elektronisk-baserte kontrollanlegg, som regulerer og overvåker mange næringer og kritisk infrastruktur.
Den beskriver flere kategorier av kontrollsystem-sentriske cybersikkerhetsteknologier, hvilke typer produkter som er tilgjengelige i disse kategoriene, fordeler og ulemper ved å bruke disse produktene i automatiserte kontrollmiljøer, i forhold til forventede trusler og kjente sårbarheter. Og, viktigst av alt, aktuelle anbefalinger og veiledning for bruk av disse cybersikkerhetsteknologiske produktene og/eller mottiltakene.
NEK IEC 62443-3-2: 2020, Security for IACS vektlegger sikkerhetsrisikovurdering for systemdesign. Den setter blant annet krav til:
Når det gjelder komponenter, fokuserer NEK IEC 62443-4-1: 2018 på sikre livssykluskrav for produktutvikling. “Den spesifiserer prosesskravene for sikker utvikling av produkter som brukes i industriell automatiserings- og kontrollsystemer (…).
Den definerer sikre utviklingslivssykluskrav knyttet til cybersikkerhet for produkter beregnet på bruk i kontrollmiljøer (IACS) og gir veiledning om hvordan du oppfyller kravene beskrevet for hvert element. Livssyklusbeskrivelsen inkluderer definisjon av sikkerhetskrav, sikker design, sikker implementering (inkludert kode-retningslinjer), verifisering og validering, feilhåndtering, patchhåndtering og produktets levetid (end-of-life).
Disse kravene kan brukes på nye eller eksisterende prosesser for utvikling, vedlikehold og avhending av maskinvare, programvare eller fastvare (hardware). ”
Disse kravene gjelder bare for utvikleren og vedlikeholderen av produktet, og gjelder ikke integratoren eller brukeren av produktet.
NEK IEC 62443-4-2: 2019, tekniske sikkerhetskrav for IACS-komponenter, gir detaljerte tekniske krav til kontrollsystemkomponenter knyttet til de syv grunnleggende kravene oppført ovenfor i IEC TS 62443-1-1. Inkludert er definisjon av kravene til kontrollsystemets sikkerhetsnivåer (SL) og deres komponenter.
Tilstrekkelig cybersikkerhet er en økende bekymring for bransjer der cyberangrep kan rettes mot både IT- og OT-systemer. Derfor støtter mange seg på NEK IEC 62443-serien for beskyttelse, risikoreduksjon og robusthet, i tillegg til øvrige aktuelle standarder.
I energisektoren er distribusjonsnett med sine systemer avhengig av NEK IEC 62443-standarder, blant annet for å redusere cyberrisiko. Dette gjelder også vannkraftanlegg og en rekke energilagringssystemer. Atomkraftverk er også avhengige av NEK IEC 62443.
I transportsektoren er det en økende digitalisering. Jernbane, frakt/gods og luftfart bruker i stor grad NEK IEC 62443 for å forhindre eller redusere cyberrisiko.
På samme måte er NEK IEC 62443 standarder avgjørende for industriell automatisering, spesielt med tanke på den raske innføringen av Industrial Internet of Things-enheter (IIoT).
Internasjonale ingeniørselskaper og klassifiseringsselskaper nevner at de overholder NEK IEC 62443-standarder som bevis på kvaliteten på produktene og tjenestene de tilbyr.
Den bredere adopsjonen av IEC 62443-standarder er således satt til rask utbredelse.
Dette er en bearbeidet og oversatt artikkel hentet fra IEC eTech