Danmark | dansk

Serien af Security-standarder IEC 62443

Den internationale serie af standarder IEC 62443 "Industrielle kommunikationsnetværk – Netværks- og systemsikkerhed" beskæftiger sig med IT-sikkerhed inden for automatisering. Emnespektret går fra risikoanalyse over krav til sikker drift til sikker udvikling af produkter (Security by Design). Dermed er IEC 62443 i øjeblikket den bedste orienteringshjælp for driftsansvarlige for anlæg og modulproducenter, der ønsker at implementere Security effektivt.
Den ser på fem områder: De grundlæggende krav til Security, princippet med zoner og kommunikationskanaler (Zones and conduits), Security Level, Security for livscyklussen samt risikoanalyse.

Serien af Security-standarder IEC 62443

Oversigt over de vigtigste dele af standarderne:

Til komponentproducenter Til systemintegratorer Til driftsansvarlige
62443-4-1 Udviklingsproces 62443-2-4 Retningslinjer og fremgangsmåder 62443-2-4 Retningslinjer og fremgangsmåder
62443-4-2 Security-funktioner for komponenterne 62443-3-2 Security-funktioner for automatiserings- og styringssystemer 62443-2-1 Drift og service
62443-3-3 Security-funktioner for det komplette automatiserings- og styringssystem

62443-3-3 Security-funktioner for det komplette automatiserings- og styringssystem

 

 

Grundlæggende krav til Security

Krav til Security

Med til de grundlæggende krav (Foundational requirements) til Security hører:

  • Identifikation og autentificering
  • Anvendelseskontrol
  • Systemintegritet
  • Dataenes fortrolighed
  • Begrænset dataflow
  • Rettidig reaktion på hændelser
  • Adgang til ressourcerne

For hvert af disse grundlæggende krav er der defineret flere systemkrav, der kan bruges som grundlag for implementering af Security-foranstaltninger.

Security Level

Security Level

Security Level definerer det sikkerhedsniveau, som den driftsansvarlige for anlægget eller producenten ønsker at nå ved hjælp af sikkerhedsforanstaltninger. Dette findes ved at foretage en forudgående risikovurdering. I risikovurderingen defineres det, hvad der skal beskyttes, og det opklares, hvor stor sandsynligheden er for, at dette materiale angribes. Ud fra dette vælges Security Level (SL). SL-2, dvs. beskyttelse mod "forsætlig påvirkning/manipulation med enkle midler, få ressourcer, normale evner og uden særlig motivation" bør i dag betragtes som minimumstandard. For at holde denne minimumstandard skal virksomheden have et vist Security-niveau. Selv den bedste firewall er nytteløs, hvis medarbejderne i en virksomhed stadig klæber post-its med adgangskoder på pc-skærmen og ikke installerer opdateringer. Jo mere virksomheden beskæftiger sig med emnet Security, desto bedre bliver beskyttelsen totalt set. Derfor er det vigtigt at have et komplet Security-koncept. F.eks. kan Application Firewallen SecurityBridge bidrage til et højt Security Level som del af et komplet koncept.

Oversigt over de forskellige Security Levels:
Security Level 1: Beskyttelse mod simpelt eller tilfældigt misbrug
Security Level 2: Beskyttelse mod forsætligt misbrug med enkle midler.
Security Level 3: Beskyttelse mod forsætligt misbrug med avancerede midler
Security Level 4: Beskyttelse mod forsætligt misbrug med avancerede midler og omfattende ressourcer

Risikovurdering af Security

Security-udviklingsprocessen er en udvidelse af den generelle produktudviklingsproces. Et grundlæggende aspekt i en Security-udviklingsproces i overensstemmelse med standarden (iht. IEC 62443-4-1 – Krav til sikker produktudviklingslivscyklus) er at foretage en risikovurdering. Den afslører, hvilke farer og risici et produkt er udsat for fra "cyberspace", og hvilke foranstaltninger der skal træffes for at minimere dem.

Risikovurderingen af Security bør altid gennemføres i de følgende 6 trin:

  1. Identifikation af assets: Hvad ønsker jeg at beskytte?
  2. Analyse af trusler: Hvilke risici findes der med det materiale, der skal beskyttes?
  3. Fastlæggelse af relevante beskyttelsesmål: Hvilke mål ønsker jeg at nå?
  4. Analyse og vurdering af risici: Hvor stor er sandsynligheden for, at der opstår en risiko?
  5. Valg og implementering af beskyttelsesforanstaltninger: Hvordan kan jeg beskytte mod en mulig risiko?
  6. Administration af modstandsdygtighed: Hvad skal der gøres efter et angreb? Hvordan kan jeg give Security en stærkere forankring i virksomheden?
Risikovurdering af Security

Security gennem en livscyklus

Security gennem en livscyklus

Security er et "moving target", dvs. at Security ændrer sig gennem et produkts livscyklus. Angribere udvikler hele tiden bedre metoder til at overvinde forsvarsforanstaltninger. Derfor skal foranstaltningerne mod cybertrusler forbedres kontinuerligt. Ansvaret for dette ligger først og fremmest hos de driftsansvarlige for anlæggene. En effektiv Security-strategi kan øge deres anlægs levetid. Maskinbyggere og komponentproducenter bør straks informere de driftsansvarlige om nye sikkerhedsproblemer. De skal stille opdateringer til rådighed til softwaren i deres moduler, så deres kunder kan afhjælpe svage punkter. Hvis systemintegratorer også er en del af processen, fungerer de som formidlere mellem producenter og driftsansvarlige. Det er vigtigt, at alle involverede samarbejder tæt gennem produkternes komplette livscyklus. Kun på denne måde kan der opnås en høj grad af beskyttelse.

Mere om Security 4.0

Kontakt

Pilz Skandinavien K/S
Ellegårdvej 25 D
6400 Sønderborg
Denmark

Telefon: +45 74436332
E-mail: pilz@pilz.dk

Teknisk support

Telefon: +45 74436332
E-mail: pilz@pilz.dk