Security standardisarja IEC 62443

Kansainvälinen standardisarja IEC 62443 ”Teolliset tiedonsiirtoverkot - IT-turvallisuus verkoille ja järjestelmille“ käsittelee IT-turvallisuutta automaatiossa. Aihevalikoima yltää riskianalyysistä turvallisen käytön perusteisiin ja tuotteiden turvalliseen suunnitteluun (Security by Design). Siksi IEC 62443 on tällä hetkellä paras opas järjestelmäoperaattoreille, koneenrakentajille ja laitevalmistajille Industrial Securityn tehokkaaseen toteuttamiseen.

IEC 62443 käsittelee viittä aluetta: perusvaatimukset Industrial Securitylle, vyöhykkeiden ja kanavien periaate (zones and conduits), Security Level, Security-elinkaari sekä riskianalyysi.

Keskeistä on Security-riskien arviointimenettely, jota voidaan käyttää perustana räätälöityjen Security-toimenpiteiden määrittelylle. Myös organisatoristen ja teknisten toimenpiteidenvuorovaikutusta korostetaan. Pahimmassa tapauksessa pelkät tekniset ratkaisut johtavat väärään turvallisuudentunteeseen, sillä ihmisten käyttäytyminen voi helposti heikentää teknisiä toimenpiteitä. Esimerkiksi salasana suojaa vain, jos se vaihdetaan, sitä ei jaeta eikä se ole näkyvästi kiinni laitteessa.

Teollisuusautomaatiojärjestelmät edellyttävät perusteellista puolustusta, jotta ne täyttäisivät OT-turvallisuusvaatimukset. Pilz tukee konevalmistajia ja operaattoreita asiantuntevalla tietotaidolla organisatoristen ja teknisten vaatimusten täytäntöönpanossa , erityisesti IEC 62443:n osalta.

Industrial Security -konseptin sekä standardien ja lakisääteisten vaatimusten noudattamisen ansiosta yrityksen kyberturvallisuus paranee merkittävästi myös konetasolla. 

ISO/IEC TS 63074:2023

"Koneturvallisuus - Turvallisuuteen liittyvien ohjausjärjestelmien toiminnalliseen turvallisuuteen liittyvät Security-näkökohdat"

Tässä standardissa viitataan keskeisesti Securityn ja turvatoimien väliseen risteyskohtaan. Näin ollen se koskettaa koneasetuksen keskeistä sisältöä. Se käyttää IEC 62443 -sarjaa turvallisuusuhkien ja haavoittuvuuksien tunnistamiseen. Siinä otetaan huomioon Safety-ohjausten haavoittuvuudet, joita Security-uhat (kuten luvaton pääsy, haittaohjelmat tai verkkohyökkäykset) voivat hyödyntää. Tavoitteena on suojata Safety-toiminnot siten, että ne voivat todella toteuttaa suojavaikutustaan. Safetyn kannalta on erityisen suositeltavaa noudattaa syvyyspuolustuksen periaatetta.

Asiakirjassa määritellään käyttötapaukset ja niitä vastaavat uhkamallit. Tämä auttaa ymmärtämään, miten Security-uhat voivat vaikuttaa turvallisuuteen. Muita kyberhyökkäyksen vaikutuksia ei nimenomaisesti oteta huomioon.

ISO 27001 - Tietoturvallisuuden hallintajärjestelmät (ISMS)

NIS 2 johtaa tietoturvajärjestelmien hallinnointiin. Erityistä huomiota kiinnitetään ISO/IEC 27001 -standardiin, koska se on tunnustettu maailmanlaajuisestitietoturvan tosiasialliseksi standardiksi ja se voidaan sertifioida. Siinä määritellään tietoturvallisuuden hallintajärjestelmää koskevat vaatimukset.

Puhumme tietoturvallisuudesta emmekä IT-turvallisuudesta, koska kaikki tieto on suojattava, olipa se digitaalista tai analogista (käsinkirjoitettua, sanallista, kuvallista), paperille kirjoitettua tai pilvipalveluun tallennettua. Koska nykyään paljon tietoa käsitellään tietotekniikan tuella, IT-turvallisuus on vastaavasti tärkeässä asemassa.

Tavoitteena on pohjimmiltaan minimoida tietoturvariskit kaikilla organisaation osa-alueilla. Tämä vaikuttaa myös tuotantolaitteisiin, kuten koneisiin ja OT-verkkoihin.

Jos organisaatio tarvitsee ISO/IEC 27001 -standardin mukaisen ISMS-järjestelmän ulkoisten vaatimusten vuoksi (esim. lakisääteiset vaatimukset tai asiakkaan kanssa tehdyt sopimukset) tai jos se haluaa ottaa sen käyttöön omasta aloitteestaan (esim. suojellakseen itseään tai voidakseen käyttää laatustandardia ulkoisena vaikutuksena), se ei voi sulkea pois  teollista kyberturvallisuutta koskevaa aihetta.

Näin pääsemme takaisin IEC 62443 -standardiin, joka tarjoaa tällä hetkellä parhaat puitteet tietoturvan tarkasteluun Industrial Securityn alalla.

Nopeasti kasvava kyberhyökkäysten uhka, joka voi aiheuttaa valtavia taloudellisia vahinkoja, on johtanut siihen, että kaikkialla maailmassa on otettu käyttöön oikeudellisia reunaehtoja yrityksille, teollisuuslaitoksille, koneille ja koneenosille asetettujen vähimmäisvaatimusten täyttämiseksi. Kyberturvallisuus on uusi vaatimus ja välttämättömyys erityisesti kriittisten infrastruktuurien osalta.

Riskien vähentämiseksi eurooppalaiset lainsäätäjät ovat luoneet uusia säännöksiä.

Koneasetus

Koneasetus 2023/1230 annettiin kesäkuussa 2023, ja se sitoo kaikkia EU:n jäsenvaltioita 42 kuukauden siirtymäajan jälkeen. Koneasetusta sovelletaan koneiden tai konekokoonpanojen valmistajiin eli tuottajiin (OEM = Original Equipment Manufacturer) ja järjestelmäintegraattoreihin. Tulevaisuudessa koneiden valmistajien on vahvistettava, että koneet ovat koneasetuksen mukaisia, ja se koskee myös Security-näkökohtia. Tähän sisältyy suoja väärentämiseltä ja toimenpiteet, joilla torjutaan kolmansien osapuolten ilkivaltaiset yritykset luoda vaaratilanteita. Koneasetuksen noudattaminen vahvistetaan virallisesti vaatimustenmukaisuusvakuutuksessa. Koneessa on näkyvä CE-merkintä. Koneita, jotka eivät täytä uuden koneasetuksen vaatimuksia, ei saa enää myydä EU:ssa.

Pilz on tukenut konevalmistajia vaatimustenmukaisuusprosessissa jo useiden vuosien ajan lähes kaikilla osa-alueilla, kuten turvallisuuskonseptissa, riskianalyysissä ja riskinarvioinnissa, aina vaatimustenmukaisuusvakuutukseen asti. Jatkossa teemme näin myös Security-näkökohtien osalta.

Toinen EU-direktiivi verkko- ja tietoturvasta (NIS 2) 2022/2555

EU:n uudessa verkko- ja tietojärjestelmädirektiivissä (NIS 2) säädetään EU:n "keskeisten ja tärkeiden" laitosten vakiomuotoisesta suojaustasosta verkkohyökkäyksiä vastaan. Toisin kuin koneasetuksessa, siinä kuvataan yritysten, ei koneiden, kyberturvallisuusvaatimuksia. Direktiivi sisältää erilaisia vaatimuksia eri aloille sen mukaan, kuinka tärkeä yritys on kansantaloudelle (kriittisyys). Esimerkiksi energiahuolto- ja rautatieliikennealan yritykset ovat erittäin kriittisiä. NIS 2 koskee myös sellaisten koneiden ja järjestelmien valmistajia, joilla on yli 50 työntekijää tai joiden vuotuinen liikevaihto on yli 10 miljoonaa euroa, myös vähemmän kriittisillä aloilla.

Yritysten on toteutettava teknisiä, toiminnallisia ja organisatorisia toimenpiteitä verkko- ja tietojärjestelmien turvallisuuteen kohdistuvien riskien hallitsemiseksi. Tähän kuuluu myös johtajien ja työntekijöiden koulutus. On tärkeää ottaa huomioon klassisen toimisto-IT:n lisäksi myös OT-alue ja siten myös Industrial Security.

Kyberkestävyyslaki (2024/2847)

Kyberkestävyyslailla (Cyber Resilience Act, CRA) pyritään parantamaan digitaalisia elementtejä sisältävien tuotteiden turvallisuusominaisuuksia. Se koskee siten tuotteiden valmistajia ja jakelijoita. Tämä koskee myös koneiden valmistajia. CRA:ssa esitelllään sitovia turvallisuusvaatimuksia koko tuotteen elinkaaren ajaksi. Se edellyttää huolellisuusvelvollisuutta koko elinkaaren ajan, mukaan lukien valmistajien velvollisuus toimittaa ohjelmistopäivityksiä, jotta käyttäjä voi hallita korjauksia vähintään viiden vuoden ajan, jos tuotteessa havaitaan tietoturva-aukko. Tuotteiden CE-merkintä edellyttää, että ne ovat CRA:n mukaisia, kun se tulee voimaan. Näin ollen CRA täydentää NIS 2 -direktiiviä ja koneasetusta tuotteiden Security-ominaisuuksista.