IEC 62443 – En sikkerhedsstandard til automations- og produktionssystemer
”Defence-in-depth” – fokus på både “sikkerhedsprocessen” og teknikken.
I alt 9 standarder og 5 tekniske dokumenter, som danner rammen for IEC62443. De arbejder med 2 gennemgående principper:
7 “Foundational Requirements”, er tekniske områder og foranstaltninger, som OT-infrastrukturen skal arbejde med:
- FR 1 Identification & authentication control
- FR 2 Use control
- FR 3 System integrity
- FR 4 Data confidentiality
- FR 5 Restricted data flow
- FR 6 Timely response to events
- FR 7 Resource availability
4 ”Security Levels” som beskriver den funktionalitet og sikkerhedsniveau, som man ønsker at opnå. Dette er sat op imod den risiko, som identificeret af virksomheden:
- SL1 – beskyttelse imod det ”tilfældige” angreb
- SL2 – Beskyttelse imod det målrettede angreb med simple angrebsmetoder, få ressourcer, lav teknisk indsigt og lav motivation.
- SL3 – Beskyttelse imod det målrettede angreb med sofistikerede angrebsmetoder, begrænset ressourcer, moderat teknisk indsigt og medium niveau af motivation.
- SL4 – Beskyttelse imod det målrettede angreb med sofistikerede angrebsmetoder, mange ressourcer, høj teknisk indsigt og højt niveau af motivation.
For hver af de ”7 Foundational requirements” fremsætter standarden råd og anbefalinger til tekniske implementeringer, som man skal implementere i OT-infrastrukturen for at opnå de respektive ”Security Levels”. Det er primært adresseret i 62443-3-3.
De tekniske råd er ikke specifikke for et bestemt produkt, teknologi eller leverandør, men mere generiske koncepter, som vil højne sikkerhedsniveauet i OT-infrastrukturen.
Hvor er standarderne oplagte at bruge?
For en forsyningsvirksomhed eller en produktionsvirksomhed vil de forskellige dokumenter og standarder komme med anbefalinger til arbejdet med at sikre OT-infrastruktur:
- Organisering og forankring af sikkerhed (62443-1-1, 2-1, 2-2 & 2-4)
- Håndtering af sårbarheder og patch i OT-infrastruktur (62443-2-3)
- Metoder til gennemførelse risikovurderinger af OT-infrastruktur (62443-3-2)
- Implementeringer af tekniske foranstaltninger i OT-frastruktur (62443-3-1 & 3-3)
- Krav til og certificering af produkter ift. sikkerhedsfunktioner (62443-4-1 og 4-2)
Hvorfor skal du bruge IEC/ISA 62443?
- Referencerammen har fokus på trusler og risici imod OT-infrastruktur
- Den arbejder ud fra de præmisser om hvordan cybersecurity skal håndteres i OT-infrastruktur.
- Generel tilgang til OT-sikkerhed, som er uafhængig af teknologi platform.
- Den tilbyder håndgribelige råd og indsatsområder, som kan bruges af den store og lille virksomhed.
SecuriOT ser denne referenceramme som en central del i forbindelse med vores rådgivning og risikovurdering hos vores kunder.
Vi er medlem af ISA og holder løbende os opdateret igennem kurser og webinarer, så vi kan rådgive vores kunder bedst muligt.
ISA har udarbejdet et dokument, som giver et overview af standarden og fordele ved denne. Udfyld formularen til højre for at downloade dokumentet.
ISA/IEC 62443-serien af standarder, udviklet af ISA99-komiteen (https://www.isa.org/isa99/) giver en fleksibel ramme til at adressere og håndtere aktuelle og fremtidige sikkerhedssårbarheder i de såkaldte ”Industrial Automation & Control Systems (IACS)”.
Komiteen arbejder tæt med IACS-sikkerhedseksperter fra hele verden for at udvikle standarder, der er gældende for alle industrisektorer og kritisk infrastruktur.