België | nederlands

Security normenreeks IEC 62443

De internationale normenreeks IEC 62443 ”Industriële communicatienetwerken - IT-veiligheid voor netwerken en systemen” heeft betrekking op IT-veiligheid in de automatisering. Het onderwerpenspectrum loopt van risicoanalyse en eisen aan het veilige bedrijf tot aan de veilige ontwikkeling van producten (security by design). Zodoende is IEC 62443 momenteel de beste richtlijn voor installatie-exploitanten en apparaatfabrikanten om security effectief te realiseren.
De normenreeks kent vijf categorieën: de fundamentele eisen aan security, het principe van de zones en communicatiekanalen (zones and conduits), de security levels, de security-levenscyclus en de risicoanalyse.

Security normenreeks IEC 62443

Een overzicht van de belangrijkste onderdelen van de norm:

Voor fabrikanten van componenten Voor systeemintegrators Voor exploitanten
62443-4-1 Ontwikkelingsproces 62443-2-4 Richtlijnen en procedures 62443-2-4 Richtlijnen en procedures
62443-4-2 Security-functies voor de componenten 62443-3-2 Security-functies voor automatiserings- en besturingssystemen 62443-2-1 Bedrijf en service
62443-3-3 Security-functies voor het volledige automatiserings- en besturingssysteem

62443-3-3 Security-functies voor het volledige automatiserings- en besturingssysteem

 

 

Fundamentele eisen aan security

Eisen aan Security

Tot de fundamentele eisen (foundational requirements) aan security behoren:

  • Identificatie en authenticatie
  • Gebruikscontrole
  • Systeemintegriteit
  • Vertrouwelijkheid van de gegevens
  • Ingeperkte gegevensstroom
  • Tijdige reactie op gebeurtenissen
  • Beschikbaarheid van de resources

Voor elk van deze fundamentele eisen zijn verdere systeemeisen gedefinieerd, op basis waarvan security-maatregelen kunnen worden gerealiseerd.

Security Level

Security Level

Security levels definiëren het veiligheidsniveau dat installatie-exploitanten of fabrikanten aan de hand van veiligheidsmaatregelen willen bereiken. Een risicobeoordeling in het voortraject geeft hierover uitsluitsel. Tijdens het voortraject wordt gedefinieerd wat moet worden beveiligd en wordt vastgesteld hoe waarschijnlijk het is dat het te beveiligen goed wordt aangevallen. Op basis hiervan wordt het security level (SL) gekozen. SL-2, oftewel bescherming tegen “opzettelijke beïnvloeding/manipulatie met eenvoudige middelen, weinig resources, normale vaardigheden en zonder speciale motivatie” moeten tegenwoordig worden gezien als minimale standaard. Om deze minimale standaard te handhaven, moet het bedrijf een bepaalde security-rijpheid hebben. De beste firewall heeft geen zin wanneer de medewerkers van een bedrijf nog steeds wachtwoorden op post-its op het PC-beeldscherm plakken of geen updates uitvoeren. Hoe intensiever het bedrijf zich dus met het onderwerp Security bezighoudt, hoe hoger de totale bescherming uitvalt. Belangrijk daarbij is één uniform security-concept. Zo kan de Application Firewall SecurityBridge als onderdeel van een totaalconcept bijdragen aan een hoog security level.

Een overzicht van de Security Levels:
Security Level 1: bescherming tegen eenvoudig of toevallig misbruik
Security Level 2: bescherming tegen opzettelijk misbruik met eenvoudige middelen.
Security Level 3: bescherming tegen opzettelijk misbruik met geavanceerde middelen
Security Level 4: bescherming tegen opzettelijk misbruik met geavanceerde middelen en omvangrijke resources

Security risicobeoordeling

Het security-ontwikkelingsproces is een uitbreiding van het algemene productontwikkelingsproces. Een fundamenteel aspect van een security-ontwikkelingsproces dat aan de norm voldoet (conform IEC 62443-4-1 – Secure product development lifecycle requirements) is de uitvoering van een risicobeoordeling. Deze stelt vast aan welke gevaren en risico's uit de “cyberruimte” een product blootstaat en welke maatregelen moeten worden getroffen om deze te minimaliseren.

De security-risicobeoordeling moet altijd worden uitgevoerd in de volgende 6 stappen:

  1. Assets identificeren: wat wil ik beschermen?
  2. Bedreigingen analyseren: welke risico's bestaan er bij het te beschermen goed?
  3. Relevante beschermingsdoelen vaststellen: welke doelen wil ik bereiken?
  4. Risico's analyseren en beoordelen: hoe hoog is de waarschijnlijkheid dat een risico zich voordoet?
  5. Beschermingsmaatregelen kiezen en realiseren: hoe kan ik beschermen tegen mogelijke risico's?
  6. Weerbaarheidsmanagement: wat moet na een aanval worden gedaan? Hoe kan ik security sterker in het bedrijf verankeren?
Security risicobeoordeling

Security levenscyclus

Security levenscyclus

Security is een “moving target”, d.w.z. security verandert tijdens de levenscyclus van een product. Aanvallers ontwikkelen steeds betere methoden om afweermaatregelen te omzeilen. Daarom moeten de maatregelen tegen cyberdreigingen continu worden verbeterd. De verantwoordelijkheid daarvoor ligt in eerste instantie bij de exploitanten van installaties. Een effectieve security-strategie kan de levensduur van uw installaties verhogen. Machinebouwers en fabrikanten van componenten moeten de exploitanten onverwijld informeren over nieuwe veiligheidsproblemen. Ze moeten updates voor de software van hun apparaten beschikbaar stellen, zodat hun klanten zwakke plekken kunnen oplossen. Als er ook systeemintegrators bij het proces zijn betrokken, fungeren die als intermediairs tussen fabrikant en exploitant. Van belang is dat alle betrokkenen gedurende de volledige levenscyclus van de producten nauw samenwerken. Alleen dit kan resulteren in een hoge mate van bescherming.

Meer over Security 4.0

hoofdkantoor

Pilz Belgium CVBA
Poortakkerstraat 37/0201
9051 Gent (Sint-Denijs-Westrem)
Belgium

Telefoon: +32 9 321 75 70
E-mail: info@pilz.be

Pilz Belgium cvba

Telefoon: +32 (0)9 321 75 70
E-mail: info@pilz.be

Technische ondersteuning

Telefoon: +32 (0)9 321 75 70
E-mail: techsupport@pilz.be