Řada bezpečnostních norem IEC 62443

Řada mezinárodních norem IEC 62443 „Průmyslové komunikační sítě – IT bezpečnost pro sítě a systémy“ ukazuje, jak zajistit IT bezpečnost v oblasti automatizace. Spektrum témat se rozprostírá od analýzy rizik před požadavky na bezpečný provoz až po bezpečný vývoj produktů (Security by Design). IEC 62443 je v současné době nejlepší orientační pomůckou pro provozovatele zařízení a výrobce strojů a zařízení, která jim umožní efektivně realizovat bezpečnostní opatření v oblasti kybernetické bezpečnosti.

IEC 62443 zahrnuje pět oblastí: základní požadavky na kybernetickou bezpečnost, princip zón a komunikačních kanálů (Zones and Conduits), úroveň bezpečnosti, životní cyklus bezpečnosti a analýza rizik.

Jádrem je přitom postup pro Security Risk Assessment, který slouží jako základ pro definování individuálních opatření kybernetické bezpečnosti v průmyslu. Velký důraz je přitom kladen na souhru organizačních a technických opatření. Technická opatření sama o sobě mohou v nejhorším případě vést k pocitu zdánlivé bezpečnosti – právě tato opatření jsou však nejvíce ohrožena chováním lidí. Například heslo může představovat účinnou ochranu pouze tehdy, bude-li včas měněno, zůstane utajené a nebude viditelně upevněno přímo na stroji.

Aby průmyslové automatizační systémy vyhovovaly požadavkům OT-Security, musí být dodržován princip „Defense-in-Depth“ Pilz podporuje expertním know-how výrobce a provozovatele strojních zařízení při realizaci organizačních a technických požadavků, vyplývajících speciálně z IEC 62443

Koncept Industrial Security a dodržování norem a dalších zákonných požadavků výrazně zvyšuje kybernetickou bezpečnost v průmyslu i na úrovni strojních zařízení. 

ISO/IEC TS 63074:2023

"Safety of machinery - Security aspects related to functional safety of safety-related control systems"

Tato norma se zaměřuje na bezpečnost z hlediska rozhraní mezi Safety a Security. Zabývá se tedy jádrem požadavků Nařízení o strojních zařízeních. Při identifikaci ohrožení bezpečnosti a napadnutelných míst vychází z řady IEC-62443. Bere v úvahu napadnutelná místa řídicích systémů Safety, která jsou vystavena kybernetickým hrozbám (nepovolaný přístup, malware, útok hackerů). Cílem je chránit funkce kybernetické bezpečnosti, aby jejich efekt nemohl být ničím narušen. Práve v případě Safety je doporučován princip Defense-in-Depth.

Dokument definuje případy aplikace a využívá k tomu příslušné modely ohrožení. Účinně tak napomáhá pochopit, jaký vliv může mít ohrožení kybernetické bezpečnosti v průmyslu na ostatní bezpečnost. Další účinky kyberútoku nejsou explicitně sledovány.

ISO 27001 – Systémy řízení bezpečnosti informací (ISMS)

NIS 2 se zabývá tématem řízení systémů bezpečnosti informací. Zvláštní pozornost je přitom přikládána normě ISO/IEC 27001, která je celosvětově uznávána jako skutečný standard pro bezpečnost informací a umožňuje certifikaci. Obsahuje požadavky na systém řízení bezpečnosti informací.

Hovoříme o bezpečnosti informací, nikoli o IT bezpečnosti, protože chráněny musí být bez výjimky všechny informace, ať už jsou v digitální nebo analogové (ručně psané, ústní, obrazové) podobě a jsou zaznamenány na listu papíru nebo uloženy v cloudu. Protože v dnešní době je většina informací zpracovávána za pomocí IT technologií, hraje samozřejmě IT-Security důležitou roli.

V podstatě se jedná o to, aby byla minimalizována rizika v oblasti bezpečnostních informací na všech místech v rámci příslušné organizace. To se týká i výrobních prostředků jako jsou strojní zařízení a sítě OT.

Jestliže organizace v důsledku externích požadavků (např. zákonné předpisy nebo smlouvy se zákazníkem) potřebuje ISMS podle ISO/IEC 27001 nebo má vlastní důvody pro jeho zavedení (např. vlastní ochrana nebo zavedení standardu kvality jako signálu pro ostatní svět), nemůže přitom téma  kybernetické bezpečnosti v průmyslu vypustit.

Tím se uzavírá spojení s normou IEC 62443, která v současně době nabízí nejlepší možnosti pro posuzování bezpečnosti informací v rámci Industrial Security.

Nepříjemně rychlý nárůst kyberútoků s obrovskými ekonomickými škodami nutí celý svět k zavádění zákonných rámcových podmínek, které stanoví alespoň minimální standardy pro podniky, průmyslová zařízení, strojní zařízení a strojní komponenty. Kyberbezpečnost představuje nový požadavek, bez kterého se zejména infrastruktura nemůže obejít.

Evropský zákonodárce proto pro redukci tohoto ohrožení vydal nová závazná pravidla.

Nařízení o strojních zařízeních

Nařízení o strojních zařízeních 2023/1230 bylo přijato v červnu 2023 a po přechodné době v délce 42 měsíců bude závazné pro všechny státy EU. Nařízení o strojních zařízeních se týká výrobců strojních zařízení nebo souborů pro stroje, tedy výrobců (OEM = Original Equipment Manufacturer) a systémových integrátorů. Výrobci strojních zařízení budou muset napříště potvrdit, že jejich strojní zařízení odpovídají ustanovením Nařízení o strojních zařízení, tj. i aspektům Security. Sem patří ochrana před falšováním a opatření, která umožní čelit úmyslným snahám třetích stran, vytvářet nebezpečné situace. Dodržení požadavků Nařízení o strojních zařízeních se formálně potvrzuje v prohlášení o shodě. Viditelným potvrzením je značka CE umístěná na strojním zařízení. Strojní zařízení, která požadavky nového Nařízení o strojních zařízeních nesplní, nebudou smět být v EU prodávána.

Pilz již po dlouhou dobu pomáhá výrobcům strojních zařízení zvládat proces posouzení shody, a to prakticky ve všech jeho fázích – od koncepce bezpečnosti přes analýzu a posouzení rizik až po vystavení prohlášení o shodě. V budoucnu k tomu připojíme i plnění požadavků v oblasti Security.

Druhá směrnice EU o bezpečnosti sítí a informací (NIS 2) 2022/2555

Nová směrnice EU pro sítě a informační systémy (NIS 2) upravuje jednotnou úroveň ochrany z hlediska kyberútoků pro „podstatná a důležitá“ zařízení v rámci EU. Na rozdíl od Nařízení o strojních zařízení popisuje požadavky kladené v oblasti kyberbezpečnosti na firmy a nikoli na strojní zařízení. Směrnice obsahuje různé požadavky pro různé oblasti, v závislosti na významu firmy pro národní hospodářství (kritický stav). Vysoký kritický stav platí např. pro firmy z oblasti zásobování energiemi nebo kolejové dopravy. NIS 2 platí navíc mj. pro výrobce strojů a zařízení s více než 50 zaměstnanci nebo ročním obratem převyšujícím 10 mil. EUR i z méně kritických sektorů.

Firmy musí zavést technická, provozní a organizační opatření, která umožní zvládnout rizika ohrožující bezpečnost síťových a informačních systémů. Kromě jiného sem patří i školení vedoucích pracovníků a zaměstnanců. Důležité je si uvědomit, že tato opatření se netýkají pouze klasických kancelářských systémů (Office IT), ale také oblasti OT a tedy Industrial Security.

Cyber Resilience Act (2024/2847)

Cyber Resilience Act (CRA) požaduje zlepšení opatření z oblasti ochrany dat pro produkty s digitálními prvky. Týká se tedy výrobců a všech, kdo produkty uvádějí na trh. Sem patří i výrobci strojních zařízení. CRA zavádí závazné požadavky Security pro celý životní cyklus produktů. Požaduje povinnou péči po celou dobu životnosti, ke které náleží i povinnost výrobce dodávat aktualizaci softwaru pro Patch Management provozovatele po dobu nejméně 5 let, pokud u produktu bylo zjištěno místo napadnutelné z hlediska kybernetické bezpečnosti. Značka CE dodržení tohoto požadavku potvrzuje od okamžiku, kdy CRA nabyl platnosti. CRA tedy doplňuje NIS 2 a Nařízení o strojních zařízeních o vlastnosti produktů týkající se kybernetické bezpečnosti.