Serien af Security-standarder IEC 62443

Den internationale serie af standarder IEC 62443 "Industrielle kommunikationsnetværk – Netværks- og systemsikkerhed" viser, hvordan der kan etableres IT-sikkerhed inden for automatisering. Emnespektret går fra risikoanalyse over krav til sikker drift til sikker udvikling af produkter (Security by Design). Dermed er IEC 62443 i øjeblikket den bedste orienteringshjælp for driftsansvarlige for anlæg samt maskin- og modulproducenter, der ønsker at implementere Industrial Security effektivt.

IEC 62443 ser på fem områder: de grundlæggende krav til Industrial Security, princippet med zoner og kommunikationskanaler (zones and conduits), Security Level, Security for livscyklussen samt risikoanalyse.

Det centrale er her proceduren for en Security Risk Assessment, der kan fungere som grundlag for definitionen af skræddersyede Security-foranstaltninger. Der lægges også vægt på samspillet mellem organisatoriske og tekniske foranstaltninger. Tekniske løsninger alene fører i værste fald til en falsk følelse af sikkerhed, fordi tekniske foranstaltninger let kan undermineres af menneskers adfærd. En adgangskode beskytter f.eks. kun, hvis den ændres, ikke deles og ikke er synligt anbragt på enheden.

Industrielle automatiseringssystemer kræver en Defense-in-Depth-tilgang for at kunne opfylde kravene til OT-Security. Pilz hjælper maskinproducenter og driftsansvarlige med ekspert-knowhow ved implementering af de organisatoriske og tekniske krav, især i forbindelse med IEC 62443.

Med et Industrial Security-koncept og overholdelse af standarder og lovkrav øges cybersikkerheden i en virksomhed også betydeligt på maskinniveau. 

ISO/IEC TS 63074:2023

"Maskinsikkerhed – Sikkerhedsaspekter ved functional safety i sikkerhedsrelaterede styresystemer"

Denne standard henviser centralt til skæringspunktet mellem sikkerhed i betydningen Safety og Security. Den berører dermed kernen af, hvad maskinforordningen kræver. Ved identificeringen af sikkerhedstrusler og svage punkter benytter den sig af IEC 62443-serien. Den tager højde for svage punkter i Safety-styringen, som ville kunne udnyttes af Security-trusler (f.eks. uvedkommende adgang, malware eller cyberangreb). Målet er at beskytte Safety-funktionerne på en sådan måde, at de rent faktisk kan udfolde deres beskyttende effekt. Især når det gælder Safety, kan et Defence-in-Depth-princip anbefales.

Dokumentet definerer eksempler på applikationer og anvender passende trusselsmodeller på dem. Det hjælper med at forstå, hvordan Security-trusler kan påvirke Safety. Andre konsekvenser af et cyberangreb er udtrykkeligt ikke taget i betragtning.

ISO 27001 – Ledelsessystemer for informationssikkerhed (ISMS)

NIS 2 behandler emnet ledelse af informationssikkerhedssystemer. Der fokuseres her især på ISO/IEC 27001, fordi den anerkendes i hele verden som de facto-standard for informationssikkerhed og kan certificeres. Den fastsætter kravene til et ledelsessystem for informationssikkerhed.

Man taler om informationssikkerhed og ikke IT-sikkerhed, fordi alle informationer skal beskyttes, uanset om de er digitale eller analoge (håndskrevne, mundtlige, grafiske), skrevet på en seddel eller gemt i skyen. Eftersom mange informationer i dag behandles med hjælp fra IT, spiller IT-Security en tilsvarende vigtig rolle.

I bund og grund er målet at minimere informationssikkerhedsrisici på alle områder i en organisation. Dermed er produktionsmidler som maskiner og OT-netværk også omfattet.

Når en organisation har brug for et ISMS i overensstemmelse med ISO/IEC 27001 på grund af eksterne krav (f.eks. lovkrav eller kontraktlige aftaler med kunden) eller ønsker at implementere det på eget initiativ (f.eks. for at beskytte sig selv eller for at kunne bruge en kvalitetsstandard som en ekstern effekt), kan den ikke udelukke emnet industriel cybersecurity.

Det bringer os tilbage til standarden IEC 62443, som i øjeblikket tilbyder den bedste ramme for at tage emnet informationssikkerhed inden for Industrial Security med i betragtning.

Den hurtigt voksende trussel fra cyberangreb med potentiale for enorme økonomiske tab medfører, at der over hele verden indføres lovgivningsmæssige rammer for at opfylde minimumsstandarder for virksomheder, industrianlæg, maskiner og maskinkomponenter. Cybersecurity er et nyt krav og især en nødvendighed for kritisk infrastruktur.

For at mindske risikoen har de europæiske lovgivere indført nye regler.

Maskinforordningen

Maskinforordningen 2023/1230 blev vedtaget i juni 2023 og er bindende for alle EU-lande efter en overgangsperiode på 42 måneder. Maskinforordningen gælder for producenter af maskiner eller moduler til maskiner, dvs. producenter (OEM = Original Equipment Manufacturer) og systemintegratorer. Fremover skal producenter af maskiner bekræfte, at maskinerne overholder maskinforordningen, som også omfatter Security-aspekter. Dette omfatter beskyttelse mod forfalskning og foranstaltninger til at kunne modstå ondsindede forsøg fra tredjeparter på at skabe farlige situationer. Overholdelsen af maskinforordningen bekræftes formelt i overensstemmelseserklæringen. Som et synligt tegn på dette mærkes maskinen med CE-mærket. Maskiner, som ikke opfylder kravene i den nye maskinforordning, må ikke længere sælges i EU.

Pilz har i mange år hjulpet maskinproducenter med overensstemmelsesprocessen inden for næsten alle områder, som f.eks. sikkerhedskoncept, risikoanalyse og risikovurdering, helt frem til overensstemmelseserklæringen. I fremtiden vil vi også gøre det for Security-aspekterne.

Andet EU-direktiv om netværks- og informationssikkerhed (NIS 2) 2022/2555

Det nye EU-direktiv om netværk og informationssystemer (NIS 2) regulerer et ensartet beskyttelsesniveau mod cyberangreb for "væsentlige og vigtige" organer i EU. I modsætning til maskinforordningen beskriver den cybersecuritykravene til virksomheder, ikke til maskiner. Direktivet indeholder forskellige krav til forskellige områder, afhængigt af hvor stor en betydning en virksomhed har for den nationale økonomi (kritisk betydning). Virksomheder inden for energiforsyning og jernbanetransport har f.eks. en stor kritisk betydning. Bl.a. er producenter af maskiner og anlæg med mere end 50 ansatte eller en årlig omsætning på mere end 10 millioner euro også omfattet af NIS 2. Det gælder også virksomheder fra mindre kritiske sektorer.

Virksomhederne skal træffe tekniske, driftsmæssige og organisatoriske foranstaltninger for at beherske risiciene for netværks- og informationssystemers sikkerhed. Hertil hører bl.a. uddannelse af ledere og medarbejdere. Der skal her ikke kun tages hensyn til klassisk kontor-IT, men også OT-området og dermed Industrial Security.

Cyber Resilience Act (2024/2847)

Cyber Resilience Act (CRA) har til formål at forbedre Security-egenskaberne for produkter med digitale elementer. Den gælder derfor for producenter og markedsførende af produkter. Hertil hører også maskinproducenter. CRA indfører bindende Security-krav for produkternes samlede livscyklus. Den kræver omsorgspligt for hele livscyklussen, herunder producenternes pligt til at levere softwareopdateringer til den driftsansvarliges Patch Management over en periode på mindst 5 år, hvis et svagt Security-punkt i produktet bliver kendt. CE-mærkningen af produkter kræver overholdelse af CRA, når den træder i kraft. Dermed supplerer CRA NIS 2-direktivet og maskinforordningen med Security-egenskaberne i produkterne.