Wereldwijde site | nederlands

Security-normenreeks IEC 62443

De internationale normenreeks IEC 62443 "Industriële communicatienetwerken - IT-veiligheid voor netwerken en systemen" heeft betrekking op IT-veiligheid in de automatisering. De onderwerpen variëren van de risicoanalyse en eisen voor de veilige werking tot de veilige ontwikkeling van producten (security by design). Hierdoor is de IEC 62443 momenteel de beste leidraad voor installatie-exploitanten en apparaatfabrikanten om Industrial Security effectief te realiseren.
Deze normenreeks kent vijf categorieën: de fundamentele eisen aan Industrial Security, het principe van de zones en communicatiekanalen (zones and conduits), de Security Levels, de security-levenscyclus en de risicoanalyse.

Security-normenreeks IEC 62443

Een overzicht van de belangrijkste onderdelen van de norm:

Voor fabrikanten van componenten Voor systeemintegrators Voor exploitanten
62443-4-1 Ontwikkelingsproces 62443-2-4 Richtlijnen en procedures 62443-2-4 Richtlijnen en procedures
62443-4-2 Security-functies voor de componenten 62443-3-2 Security-functies voor automatiserings- en besturingssystemen 62443-2-1 Bedrijf en service
62443-3-3 Security-functies voor het volledige automatiserings- en besturingssysteem

62443-3-3 Security-functies voor het volledige automatiserings- en besturingssysteem

 

 

Fundamentele eisen aan Industrial Security

Industrial Security

Tot de fundamentele eisen (foundational requirements) aan security behoren:

  • identificatie en authenticatie
  • gebruikscontrole
  • systeemintegriteit
  • vertrouwelijkheid van de gegevens
  • beperkte gegevensstroom
  • tijdige reactie op gebeurtenissen
  • beschikbaarheid van de resources

Voor elk van deze fundamentele eisen zijn aanvullende systeemeisen gedefinieerd, op basis waarvan security-maatregelen kunnen worden gerealiseerd.

Security Level

Security Level

Security Levels definiëren het veiligheidsniveau dat installatie-exploitanten of fabrikanten met behulp van veiligheidsmaatregelen willen bereiken. Een risicobeoordeling in het voortraject geeft hierover uitsluitsel. Tijdens deze risicobeoordeling wordt vastgelegd wat er moet worden beveiligd en bepaald hoe waarschijnlijk het is dat het te beveiligen goed wordt aangevallen. Op basis hiervan wordt het Security Level (SL) gekozen. SL-2, oftewel bescherming tegen "opzettelijke beïnvloeding/manipulatie met eenvoudige middelen, weinig resources, normale vaardigheden en zonder speciale motivatie", moet tegenwoordig als minimale standaard worden beschouwd. Om deze minimale standaard te handhaven, moet het bedrijf een bepaalde security-rijpheid hebben. De beste firewall heeft geen zin wanneer de medewerkers van een bedrijf post-its met wachtwoorden op het scherm van de pc blijven plakken of geen updates uitvoeren. Hoe intensiever het bedrijf zich dus met het onderwerp Security bezighoudt, des te hoger is de totale bescherming. Daarom is een holistisch security-concept belangrijk. Zo kan de Application Firewall SecurityBridge als onderdeel van een totaalconcept bijdragen aan een hoog Security Level.

Een overzicht van de Security Levels:
Security Level 1: bescherming tegen eenvoudig of toevallig misbruik
Security Level 2: bescherming tegen opzettelijk misbruik met eenvoudige middelen.
Security Level 3: bescherming tegen opzettelijk misbruik met geavanceerde middelen
Security Level 4: bescherming tegen opzettelijk misbruik met geavanceerde middelen en omvangrijke resources

Industrial Security-risicobeoordeling

Het security-ontwikkelingsproces is een uitbreiding van het algemene productontwikkelingsproces. Een fundamenteel aspect van een security-ontwikkelingsproces dat aan de norm voldoet (conform IEC 62443-4-1 – Secure product development lifecycle requirements), is het uitvoeren van een risicobeoordeling. De risicobeoordeling laat zien aan welke gevaren en risico's uit de "cyberruimte" een product is blootgesteld en welke maatregelen moeten worden getroffen om deze te minimaliseren.

De security-risicobeoordeling moet altijd in de volgende 6 stappen worden uitgevoerd:

  1. Assets identificeren: wat wil ik beschermen?
  2. Bedreigingen analyseren: welke risico's bestaan er bij het te beschermen goed?
  3. Relevante beschermingsdoelen vaststellen: welke doelen wil ik bereiken?
  4. Risico's analyseren en beoordelen: hoe waarschijnlijk is het dat een risico zich voordoet?
  5. Beschermingsmaatregelen kiezen en realiseren: hoe kan ik beschermen tegen een mogelijk risico?
  6. Weerbaarheidsmanagement: wat moet er na een aanval worden gedaan? Hoe kan ik security sterker in het bedrijf verankeren?
Security-risicobeoordeling

Industrial Security-levenscyclus

Industrial Security-levenscyclus

Security is een "moving target", d.w.z. security verandert tijdens de levenscyclus van een product. Aanvallers ontwikkelen steeds betere methoden om afweermaatregelen te omzeilen. Daarom moeten de maatregelen tegen cyberdreigingen continu worden verbeterd. De verantwoordelijkheid daarvoor ligt in eerste instantie bij de exploitanten van installaties. Een effectieve security-strategie kan de levensduur van uw installaties verlengen. Machinebouwers en fabrikanten van componenten moeten de exploitanten onmiddellijk informeren over nieuwe veiligheidsproblemen. Ze moeten updates voor de software van hun apparaten beschikbaar stellen, zodat hun klanten zwakke plekken kunnen oplossen. Als er ook systeemintegrators bij het proces zijn betrokken, fungeren die als intermediairs tussen fabrikant en exploitant. Het is belangrijk dat alle betrokkenen gedurende de volledige levenscyclus van de producten nauw samenwerken. Alleen dit kan resulteren in een hoge mate van bescherming.

Meer over Security 4.0

Hoofdkantoor

Pilz GmbH & Co. KG
Felix-Wankel-Straße 2
73760 Ostfildern

Telefoon: +49 711 3409-0
E-mail: pilz.gmbh@pilz.de

Technische ondersteuning

Telefoon: +49 711 3409 222
E-mail: support@pilz.com

Amerika

  • Canada: +1 888-315-PILZ (315-7459)
  • Mexico: +52 55 5572 1300
  • Brazilië: + 55 11 96405-8165
  • Verenigde Staten (gratis telefoonnummer): +1 877-PILZUSA (745-9872)

Europa

  • Frankrijk (gratis telefoonnummer): +33 3 88104000
  • Duitsland: +49 711 3409 444
  • Turkije: +90 216 5775552
  • Finland: +358 10 3224030 / +45 74436332
  • Nederland: +31 347 320477
  • Denemarken: +45 74436332
  • Spanje: +34 938497433
  • Verenigd Koninkrijk: +44 1536 462203
  • Zwitserland: +41 62 88979 32
  • Oostenrijk: +43 1 7986263-444
  • Zweden: +46 300 13990 / +45 74436332
  • Rusland: +7 495 6654993
  • België: +32 9 321 75 70
  • Italië: +39 0362 1826711
  • Ierland: +353 21 4804983

Azië en Oceanië

  • Japan: +81 45 471 2281
  • China: +86 400-088-3566
  • Taiwan: +886 2 25700068
  • Australië: +61 3 9560 0621
  • Zuid-Korea: +82 31 778 3390
  • Nieuw-Zeeland: +64 9 6345350