NEK IEC 62443 – en bærebjelke for cybersikkerhet
Cybersikkerhet blir ofte sett på som en ren IT-utfordring. Dette kan delvis være sant i visse tjenestesektorer som økonomi eller forsikring; industrielle systemer er imidlertid avhengig av operativ teknologi (OT), som utvilsomt også må tas i betraktning når det gjelder cyberrisiko.
Det primære formålet med IEC 62443-serien av standarder er å inkludere OT-systemene i arbeidet med cybersikkerhet. Standardserien er utarbeidet av IEC Technical Committee (TC) 65: Måling, kontroll og automatisering av industrielle prosesser, i samarbeid med medlemmer av Committee 99 of the International Society of Automation (ISA99). I Norge er det NEK NK 65 som behandler, kommenterer og voterer på standardserien IEC 62443.
Omfattende sikring av industriell automatiserings -og kontrollsystemer
IEC 62443-serien ble utviklet for å sikre industrielle kommunikasjonsnettverk og industrielle automatiserings- og kontrollsystemer (IACS) gjennom en systematisk tilnærming.
Serien inneholder for tiden ni standarder, tekniske rapporter (TR) og tekniske spesifikasjoner (TS) med fire deler som fortsatt er under utvikling. IACS finnes i et stadig voksende utvalg av domener og bransjer, som strøm og energiforsyning og distribusjon, transport, produksjon osv. Den er sentral i kritisk infrastruktur. IACS inkluderer også SCADA-systemer (Supervisory Control and Data Acquisition), som ofte brukes av virksomheter som opererer i kritisk infrastrukturindustri, slik som strømproduksjon, overføring og distribusjon, olje/gass og vanndistribusjonsnett. Oppnåelse av tilstrekkelig risikoredusering og robusthet mot sårbarheter er derfor essensielt.
Forebygging av ulovlig eller utilsiktet tilgang
Innen IECs 62443-publikasjoner anses begrepet “security” å bety forebygging av; ulovlig eller uønsket inntrengning, forsettlig eller utilsiktet inngrep på normal og tiltenkt drift, eller utilsiktet tilgang til konfidensiell informasjon”.
Security – “inkluderer datamaskiner, nettverk, operativsystemer, applikasjoner og andre programmerbare konfigurerbare komponenter i systemet”.
IEC 62443-standarder dekker alle aspekter av cybersikkerhet i alle ledd og er en bærebjelke i en «secure by design-tilnærming».
Et slikt omfang over IEC 62443-publikasjoner er nødvendig, ettersom de er relevante for alle industrielle kommunikasjonsnettverk og IACS-brukere, inkludert virksomhetseiere (asset owners), systemintegratorer, utstyrsprodusenter, leverandører, anleggsoperatører, vedlikeholds-utøvere og alle private og offentlige virksomheter involverte med, eller påvirket av, cybersikkerhetsstyring» (IEC / TS 62443-1-1 Industrielle kommunikasjonsnettverk – Nettverks- og systemsikkerhet – Del 1-1: Terminologi, konsepter og modeller).
NEK IEC 62443-serien er organisert i fire deler og dekker følgende:
- Generelt (NEK IEC 62443-1. * – en del av fire publisert)
- Policy og prosedyrer (NEK IEC 62443-2. * – tre deler av fire er publisert)
- System (NEK IEC 62443-3. * – alle tre delene publisert)
- Komponenter (NEK IEC 62443-4. * – begge deler er publisert)
Tydelig og omfattende tilnærming
Mange virksomheter og bransjer som bruker IT, har hatt veletablerte styringssystemer for cybersikkerhet (CSMS) som definert i ISO/IEC 27001 og ISO/IEC 27002-standardene for informasjonssikkerhet, utviklet av Joint Technical Committee for Information Technology (ISO/IEC JTC 1), etablert av IEC og ISO.
NEK IEC 62443-serien inkluderer på sin side sikkerhet for både IT og OT. Denne IT-OT-integrasjonen dekker flere aspekter og gir et fleksibelt rammeverk for å håndtere og redusere nåværende og fremtidige sikkerhetsproblemer i IACS.
7 grunnleggende krav
IEC 62443s generelle del, NEK IEC TS 62443-1-1: 2009 “definerer terminologien, konseptene og modellene for IACS-sikkerhet. Den etablerer grunnlaget for de øvrige standardene i NEK IEC 62443-serien.” Den lister opp følgende syv grunnleggende krav:
- “Identifikasjon og autentiseringskontroll” – Identification and authentication control (IAC),
- “Bruker-kontroll” – Use control (UC),
- “Systemintegritet” – System integrity (SI),
- “Datakonfidensialitet” – Data confidentiality (DC),
- “Begrenset datastrøm” – Restricted data flow (RDF),
- “Tidlig respons på hendelser” – Timely response to events (TRE), og
- “Ressurstilgjengelighet” – Resource availability (RA)
Policy og prosedyrer
Innen policy og prosedyrer definerer NEK IEC 62443-2-1: 2010 “elementene som er nødvendige for å etablere et CSMS for IACS og gir veiledning om hvordan disse elementene skal utvikles. CSMS-elementene beskrevet i denne standarden er policy, prosedyre, praksis og personell-relatert. Totalt beskriver den hva som skal eller bør inkluderes i den endelige CSMS for organisasjonen. ”
Vedlikehold
NEK IEC TR 62443-2-3: 2015, omhandler “patch-management” (oppdaterings-ledelse), og beskriver krav til virksomhetseiere og IACS-produktleverandører som har etablert og vedlikeholder et IACS patch management-program.
Denne tekniske rapporten anbefaler et definert format for distribusjon av informasjon om sikkerhetsoppdateringer fra virksomhetseiere til IACS-produktleverandører. Den gir også en beskrivelse for noen av aktivitetene som er knyttet til utviklingen av oppdateringen av IACS-produktleverandører og distribusjon/installasjon av oppdateringer for virksomhetseiere.
Utvekslingsformatet og aktivitetene er definert for bruk i sikkerhetsrelaterte oppdateringer; Det kan imidlertid også være aktuelt for ikke-sikkerhetsrelaterte oppdateringer. (…) Det differensieres ikke mellom produktleverandørene som leverer infrastrukturkomponentene eller IACS-applikasjonene; den gir veiledning for alle gjeldende oppdateringer (…) ”
Sikkerhetsfunskjoner
NEK IEC 62443-2-4: 2017, spesifiserer krav til sikkerhetsfunksjoner for IACS-tjenesteleverandører som de kan tilby til virksomhetseiere ved integrasjon og vedlikehold av en automatiseringsløsning.
System
Systemdelen, NEK IEC TR 62443-3-1: 2009, Industrielle kommunikasjonsnettverk – Nettverks- og systemsikkerhet – Sikkerhetsteknologier for IACS, “gir en aktuell vurdering av ulike cybersikkerhetsverktøy, skadereduserende tiltak og teknologi som effektivt kan anvendes for moderne elektronisk-baserte kontrollanlegg, som regulerer og overvåker mange næringer og kritisk infrastruktur.
Den beskriver flere kategorier av kontrollsystem-sentriske cybersikkerhetsteknologier, hvilke typer produkter som er tilgjengelige i disse kategoriene, fordeler og ulemper ved å bruke disse produktene i automatiserte kontrolmiljøer, i forhold til forventede trusler og kjente sårbarheter. Og, viktigst av alt, aktuelle anbefalinger og veiledning for bruk av disse cybersikkerhetsteknologiske produktene og/eller mottiltakene.
Sikkerhet for systemdesign
NEK IEC 62443-3-2: 2020, Security for IACS vektlegger sikkerhetsrisikovurdering for systemdesign. Den setter blant annet krav til:
- definere et system under vurdering/kontrol (SUC) for en IACS
- dele SUC i soner og kanaler
- vurdere risiko for hver sone og kanal
- etablering av målsikkerhetsnivå (SL-T) for hver sone og kanal
- dokumentere sikkerhetskravene.
Livssykluskrav
I forhold til komponenter, fokuserer NEK IEC 62443-4-1: 2018 på sikre livssykluskrav for produktutvikling. “Den spesifiserer prosesskravene for sikker utvikling av produkter som brukes i industriell automatiserings- og kontrollsystemer (…).
Den definerer sikre utviklingslivssykluskrav knyttet til cybersikkerhet for produkter beregnet på bruk i kontrollmiljøer (IACS) og gir veiledning om hvordan du oppfyller kravene beskrevet for hvert element. Livssyklusbeskrivelsen inkluderer definisjon av sikkerhetskrav, sikker design, sikker implementering (inkludert kode-retningslinjer), verifisering og validering, feilhåndtering, patchhåndtering og produktets levetid (end-of-life).
Disse kravene kan brukes på nye eller eksisterende prosesser for utvikling, vedlikehold og avhending av maskinvare, programvare eller fastvare (hardware). ”
Disse kravene gjelder bare for utvikleren og vedlikeholderen av produktet, og gjelder ikke integratoren eller brukeren av produktet.
Tekniske sikkerhetskrav
NEK IEC 62443-4-2: 2019, tekniske sikkerhetskrav for IACS-komponenter, gir detaljerte tekniske krav til kontrollsystemkomponenter knyttet til de syv grunnleggende kravene oppført [ovenfor] i IEC TS 62443-1-1. Inkludert er definisjon av kravene til kontrollsystemets sikkerhetsnivåer (SL) og deres komponenter.
NEK IEC 62443 -serien kan benyttes mot flere systemer og sektorer
Tilstrekkelig cybersikkerhet er en økende bekymring for bransjer der cyberangrep kan rettes mot både IT- og OT-systemer. Derfor støtter mange seg på NEK IEC 62443-serien for beskyttelse, risikoreduksjon og robusthet, i tillegg til øvrige aktuelle standarder.
I energisektoren er distribusjonsnett med sine systemer avhengig av NEK IEC 62443-standarder, blant annet for å redusere cyberrisiko. Dette gjelder også vannkraftanlegg og en rekke energilagringssystemer. Atomkraftverk er også avhengige av NEK IEC 62443.
I transportsektoren er det en økende digitalisering. Jernbane, frakt/gods og luftfart bruker i stor grad NEK IEC 62443 for å forhindre eller redusere cyberrisiko.
På samme måte er NEK IEC 62443 standarder avgjørende for industriell automatisering, spesielt med tanke på den raske innføringen av Industrial Internet of Things-enheter (IIoT).
Internasjonale ingeniørselskaper og klassifiseringsselskaper nevner at de overholder NEK IEC 62443-standarder som bevis på kvaliteten på produktene og tjenestene de tilbyr.
Den bredere adopsjonen av IEC 62443-standarder er således satt til rask utbredelse.
Dette er en bearbeidet og oversatt artikkel hentet fra IEC eTech, orginalteksten kan leses her