I den internationella standardserien IEC 62443 ”Industriella kommunikationsnätverk – IT-säkerhet för nätverk och system” beskrivs IT-säkerhet inom automation. Den tar bland annat upp riskanalys, krav för säker drift och säker utveckling av produkter (Security by Design). Det innebär att IEC 62443 för närvarande är den bästa översikten för anläggningsoperatörer och tillverkare för effektiv Industrial security-implementering.
Den tar upp fem områden: grundläggande krav för Industrial security, principen om zoner och kommunikationskanaler (Zones and conduits), Security Level, Security-livscykel samt riskanalys.
Security-standardserien IEC 62443
Överblick över de viktigaste standardavsnitten:
För komponenttillverkare | För systemintegratörer | För operatörer |
---|---|---|
62443-4-1 Utvecklingsprocess | 62443-2-4 Riktlinjer och tillvägagångssätt | 62443-2-4 Riktlinjer och tillvägagångssätt |
62443-4-2 Security-funktioner för komponenterna | 62443-3-2 Security-funktioner för automations- och styrsystem | 62443-2-1 Drift och service |
62443-3-3 Security-funktioner för hela automations- och styrsystemet |
Produktutveckling som är dubbelt säkrad i enlighet med standarden för Industrial Security
Vi är experter på säkerhet. Det är viktigt för oss att våra produkter inte bara är säkra, utan även secure. Därför gav vi TÜV Süd i uppdrag att granska våra utvecklingsprocesser och kontrollera dem utifrån standarden IEC 62443-4-1. Den definierar säker utveckling av produkter, den s.k. ”Security Development Lifecycle”-processen (SDL-processen). Denna metod tar hänsyn till möjliga security-egenskaper redan när en ny produkt utformas. Den ska se till att alla security-risker i en produkt identifieras med hjälp av hotmodellering och helst åtgärdas i produkten under utvecklingsprocessen.
Resultatet av granskningen: Pilz utveckling uppfyllde kraven i standarden och lever upp till SDL-processen. Därför kan vi nu med säkerhet säga: Pilz utvecklar inte bara safe, utan även secure!
Enligt TÜV Süd tar Pilz utvecklingen av säkra produkter i enlighet med IEC 62443-4-1 på stort allvar och skapar en fast grund för kommande produktcertifieringar.
Grundläggande krav på Industrial Security
Till grundkraven (Foundational requirements) för Security räknas:
- identifiering och autentisering
- användningskontroll
- systemintegritet
- sekretess för data
- begränsat dataflöde
- reaktioner i tid på händelser
- resursernas tillgänglighet
För alla dessa grundkrav har ytterligare systemkrav definierats, som kan användas för att implementera Security-åtgärder.
Security Level
Med Security Level definieras säkerhetsnivån som anläggningsoperatörer och tillverkare bör uppnå med hjälp av säkerhetsåtgärder. Detta kan fastställas i förhand med en riskbedömning. I riskbedömningen definieras vad som ska skyddas och identifieras hur hög sannolikheten är att produkten angrips. Utifrån detta väljs sedan Security Level (SL). SL-2, skydd mot ”avsiktligt intrång/manipulering med enkla medel, få resurser, normala förmågor och utan särskild motivation” ska idag ses som minimistandard. För att upprätthålla denna minimistandard måste företaget ha en viss Security-mognadsgrad. Även om företaget har en utmärkt brandvägg hjälper det inte om medarbetarna ändå skriver upp lösenord på post it-lappar på bildskärmen eller inte genomför uppdateringar. Ju mer företaget satsar på Security, desto mer effektivt blir skyddet. Därför måste Security-konceptet vara heltäckande. Application Firewall SecurityBridge som del av ett helhetskoncept kan bidra till en hög Security Level.
Security Level-översikt:
Security Level 1: skydd mot enkelt eller slumpmässigt missbruk
Security Level 2: skydd mot avsiktligt missbruk med enkla medel.
Security Level 3: skydd mot avsiktligt missbruk med avancerade medel
Security Level 4: skydd mot avsiktligt missbruk med avancerade medel och omfattande resurser
Industrial Security riskbedömning
Security-utvecklingsprocessen är en utökning av den allmänna produktutvecklingsprocessen. En grundläggande del av Security-utvecklingsprocesser som uppfyller gällande standard (enligt IEC 62443-4-1 – Secure product development lifecycle requirements) är att genomföra en riskbedömning. I riskbedömningen undersöks vilka faror och risker från ”cyberrymden” som en produkt utsätts för och vilka åtgärder som måste vidtas för att minimera dessa risker och faror.
Security-riskbedömningen ska alltid innehålla följande 6 steg:
- Identifiera assets (tillgångar): Vad vill jag skydda?
- Analysera hot: Vilka risker finns för produkten som ska skyddas?
- Identifiera relevanta skyddsmål: Vilka mål vill jag uppnå?
- Analysera och bedöma risker: Hur hur är sannolikheten att en risk inträffar?
- Välja och implementera skyddsåtgärder: Hur kan jag skydda mot en möjlig risk?
- Resilienshantering: Vad ska göras efter en attack? Hur kan jag förankra Security mer i företaget?
Industrial Security livscykel
Security är ett ”moving target”, dvs. Security förändras under livscykeln för en produkt. Angripare utvecklar ständigt bättre metoder för att komma runt skyddsåtgärder. Därför måste åtgärderna mot cyberhot hela tiden förbättras. Ansvaret för detta ligger främst hos anläggningsoperatörerna. Med en effektiv Security-strategi kan anläggningarnas livslängd förbättras. Maskintillverkare och komponenttillverkare ska informera operatörerna direkt om nya säkerhetsproblem. De måste tillhandahålla uppdateringar för programvarorna i sina enheter, så att kunderna kan åtgärda svaga punkter. Om systemintegratörer är en del av processen fungerar de som kontaktpunkt mellan tillverkare och operatörer. Det är viktigt att alla som deltar i hela produktlivscykeln har ett nära samarbete. Det krävs för att få ett starkt skydd.
Mer om Security 4.0
Pilz GmbH & Co. KG
Felix-Wankel-Straße 2
73760 Ostfildern
Tyskland
Telefon: +49 711 3409-0
E-post: pilz.gmbh@pilz.de
Telefon: +49 711 3409 444
E-post: support@pilz.com
Amerika
- Mexiko: +52 55 5572 1300
- Brasilien: + 55 11 4942-7032
- USA (avgiftsfritt): +1 877-PILZUSA (745-9872)
- Kanada: +1 888-315-PILZ (315-7459)
Europa
- Irland: +353 21 4804983
- Österrike: +43 1 7986263-444
- Finland: +358 10 3224030 / +45 74436332
- Italien: +39 0362 1826711
- Ryssland: +7 495 6654993
- Spanien: +34 938497433
- Danmark: +45 74436332
- Schweiz: +41 62 889 79 32
- Tyskland: +49 711 3409 444
- Belgien: +32 9 321 75 70
- Turkiet: +90 216 5775552
- Nederländerna: +31 347 320477
- Frankrike (avgiftsfritt): +33 3 88104000
- Sverige: +46 300 13990 / +45 74436332
- Portugal: +351 229 407 594
- Storbritannien: +44 1536 460866
Asien-Stillahavsregionen
- Sydkorea: +82 31 778 3390
- Nya Zeeland: +64 9 6345350
- Japan: +81 45 471 2281
- Taiwan: +886 2 25700068
- Singapore: +65 6829 2920
- Thailand: +66 210 54613
- Kina: +86 400-088-3566
- Australien (avgiftsfritt): +61 3 9560 0621 / 1300 723 334