Internasjonal sertifisering av cyber security

Digitaliseringen av det moderne samfunnet har gitt økt fokus på datasikkerhet. Spesielt løsninger som skal   verne mot angrep på de elektroniske systemene har blitt kritiske. IEC har en rekke standarder for nettopp Cyber Security, med program for sertifisering av produkter og systemer etter disse standardene.

Nettverk og internet

Nettverk og internet

Adobe Stock

Økt fokus på sikkerhet av elektroniske systemer

Den raske utviklingen av digitalisering av alt mulig innebærer også mange utfordringer med hensyn til sikkerhet. Særlig gjelder dette  stadig økende bekymring for ‘Cyber Security’, det vil si vern mot digitale angrep mot  elektroniske systemer. Disse systemene  er kritiske både for forbrukere, næringsliv, forsvar og offentlige myndigheter. Det søkes derfor kontinuerlig etter løsninger for å begrense risikoen for svikt i formidling og behandling av data og informasjon. Testing og uavhengig sertifisering av produkter og systemer i henhold til relevante standarder kan spille en viktig rolle, og initiativ tas nå internasjonalt, blant annet av IEC . Innen IEC er industrien en vesentlig bidragsyter til utviklingen av anvendelige tekniske standarder. Industrien er også en av hoved-interessentene i IECs Conformity Assessment (CA) systems, sammen med aktuelle myndigheter, testlaboratorier og sertifiseringsorganer.

Standarder for Cyber Security

IECs Cyber Security (CS) standarder er rettet mot spesifikke sektorer. Standardene i IEC 62443-serien fokuserer på operasjonell teknologi (OT) for å sikre at kritiske systemer, som for eksempel at elforsyning fungerer som den skal. Standardene i ISO/IEC 27000-serien adresserer styringen av informasjonsteknologi (IT) for å sikre effektiv flyt og korrekthet av informasjon/data. Begge er nødvendige og kompletterer andre sektorspesifikke standarder slik som IEC 62351-serien for den elektriske energisektoren.

Sertifisering

IECs CA systemer håndterer Cyber Security på flere måter.  Den store internasjonale IECEE/CB-ordningen* skal ivareta testing-og sertifiseringsbehov for alle aktuelle sektorer og har utviklet et program for IEC 62443 standardene. Selv om dette i utgangspunktet er tiltenkt sektoren for industriell automasjon, så kan det bli anvendt for hvilken som helst sektor med kritisk infrastruktur. Dette inkluderer forsyning av strøm og vann, medisinsk sektor, og automotive sektor. IECQ på sin side fokuserer på sertifisering av ledelsessystemer, og arbeider for harmonisert anvendelse av ISO/IEC 27001 for sertifisering innen de elektrotekniske områdene.

Vedrørende det europeiske “EU Cyber Security Certification Framework”, har det tidligere i år blitt avholdt et møte i Brüssel mellom IEC, EU-Kommisjonen, ENISA and CENELEC. Under møtet ble IECs program for Cyber Security sertifisering presentert.  De europeiske representantene anser et slikt internasjonalt program som et bedre alternativ enn en regional europeisk løsning. IEC samarbeider også med FN om etablering av et felles internasjonalt Cyber Security regelverk.

Opptak og presentasjon fra et IEC webinar om Cyber Security sertifisering foreligger på IEC Academy site (ved datoen 2019.08.13)

 

*) IECEE administrerer den store internasjonale CB-ordningen for testing og sertifisering av elektrisk utstyr og komponenter, og er den desidert største av IECs fire sertifiseringssystemer.
Det er p.t. 53 IECEE medlemsland og 82 nasjonale sertifiseringsorgan med  520 tilknyttede testlaboratorier.
NEK den norske medlemsparten i IECEE. Nemko er nasjonalt sertifiseringsorgan og en av de største aktørene innen IECEE. I 2018 ble det totalt utstedt over 100.000 CB-sertifikater. Den største andelen for produkter innenfor IT-utstyr, husholdningsapparater og audio/video utstyr.

IECEEs arbeidsgruppe for Cyber Security er WG-31.