14 oktober 2024

IEC 62443: En helhetlig veiledning for cybersikkerhet i industrisystemer

CO2-boosterpump-kiwa-news.jpg

IEC 62443-serien inneholder standarder og tekniske rapporter som definerer prosedyrer for implementering av sikre industriautomatiserings- og kontrollsystemer (IACS). Denne serien er viktig for sluttbrukere, systemintegratorer, og leverandører av kontrollsystemer. Med økende cyberangrep, er det mer kritisk enn noensinne å sikre disse systemene.

Hva skiller IT og OT?

IT (Information Technology) fokuserer på behandling, lagring og overføring av informasjon. OT (Operational Technology), derimot, er dedikert til overvåking og styring av fysiske prosesser og systemer. Mens IT-sikkerhet hovedsakelig dreier seg om dataintegritet og konfidensialitet, prioriterer OT-sikkerhet tilgjengelighet og systemintegritet for å sikre kontinuerlig drift av kritiske prosesser. Selv om de to systemene har ulike formål, henger de ofte sammen, særlig i industrielle miljøer der både IT- og OT-systemer brukes for å oppnå helhetlig sikkerhet og effektivitet.

IT-sikkerhet har tradisjonelt vært rettet mot å sikre dataintegritet og konfidensialitet, mens OT-sikkerhet prioriterer tilgjengelighet og systemintegritet for å sikre kontinuerlig drift av kritiske prosesser. For å møte sikkerhetsmål i et miljø der IT og OT overlapper, kan det være hensiktsmessig å kombinere rammeverk som ISO 27001 og IEC 62443. Dette gir en strukturert tilnærming til styring av sikkerhetsarbeidet på tvers av begge teknologiene.

Hva er IEC 62443?

IEC 62443 er en serie standarder utviklet for å beskytte IACS mot cybertrusler. Disse standardene dekker alt fra generelle konsepter og terminologi til spesifikke tekniske krav og sikkerhetsprosedyrer for systemer og komponenter.

Bakgrunn

IEC 62443 ble utviklet gjennom samarbeid mellom IEC TC 65 WG10 og ISA99, samt i nært samarbeid med ISO/IEC JTC1 SC27. Serien er delt inn i fire hoveddeler, som hver dekker ulike aspekter av cybersikkerhet for industriell automatisering og kontrollsystemer, som vist i figuren nedenfor.

blobid2.png

Diagram fra ISA over IEC 62443-Serien av standarder

Formål

Det primære formålet med IEC 62443 er å integrere OT-systemer i cybersikkerhetsarbeidet. Standardene tar sikte på å forebygge uønsket eller ulovlig tilgang til industrielle systemer, beskytte konfidensiell informasjon, og sikre driften av kritisk infrastruktur.

Ledelsessystem og tilknytning til andre standarder

IEC 62443 inneholder en beskrivelse av et eget ledelsessystem for cybersikkerhet, men det anbefales ofte å integrere kravene og kontrolltiltakene fra IEC 62443 inn i et eksisterende ledelsessystem for informasjonssikkerhet, som ISO 27001. Dette kan gi en mer sammenhengende løsning og unngå duplisering av prosesser. Dersom virksomheten ikke har et passende ledelsessystem, kan ISO 27001 være en god referanse, siden IEC 62443 nå også anbefaler dette rammeverket i nyere utgaver.

For virksomheter som allerede har ledelsessystemer som ISO 9001, kan eksisterende systemer brukes som utgangspunkt. Ved å utvide disse med risikostyring fra ISO 27001 og behandle IEC 62443 som en slags "Annex B", kan man oppnå en mer robust og fremtidsrettet sikkerhetsløsning.

Hvem omfattes av IEC 62443?

IEC 62443 er relevant for en bred gruppe aktører innen industriell automatisering, inkludert:

  • Virksomhetseiere (asset owners)
  • Systemintegratorer
  • Utstyrsprodusenter
  • Leverandører
  • Anleggsoperatører
  • Vedlikeholdsutøvere
  • Offentlige og private virksomheter involvert i eller påvirket av IACS

Praktiske Implikasjoner

Forberedelser

Implementeringen av IEC 62443 krever en systematisk tilnærming som inkluderer risikovurdering, etablering av sikkerhetspolitikker, og opplæring av ansatte. Organisasjoner må definere Systemer Under Vurdering (SUC), dele SUC i soner og kanaler, og vurdere risiko for hver del.

Fordeler

Ved å følge IEC 62443 kan organisasjoner oppnå bedre beskyttelse mot cybertrusler, økt robusthet mot sårbarheter, og sikre kontinuiteten i kritiske operasjoner. Standardene gir også et rammeverk som kan hjelpe virksomheter å møte regulatoriske krav og bevise deres forpliktelse til cybersikkerhet.

Spesifikke Krav i IEC 62443

IEC 62443 inkluderer syv grunnleggende krav:

  1. Identifikasjon og autentiseringskontroll (IAC)
  2. Brukerkontroll (UC)
  3. Systemintegritet (SI)
  4. Datakonfidensialitet (DC)
  5. Begrenset dataflyt (RDF)
  6. Rask respons på hendelser (TRE)
  7. Ressurstilgjengelighet (RA)

Konklusjon

IEC 62443-serien er en avgjørende standard for enhver organisasjon som opererer med industriell automatisering og kontrollsystemer. Ved å følge disse standardene kan man redusere risikoen for cyberangrep og sikre robusthet og kontinuitet i driften av kritisk infrastruktur.

Forkortelser

OT = Operational Technology

IT = Operational Technology

IACS =  Industrial Automation and Control Systems

SUC= System under consideration / system under vurdering

Kilder

IEC 62443 Kurs | Cybersikkerhet for OT | Kiwa Norge

IEC 62443-serien - Norsk Elektroteknisk Komite (NEK)

NEK IEC 62443 - en bærebjelke for cybersikkerhet - NEK

Structuring the ISA/IEC 62443 Standards