Security-normenreeks IEC 62443

De internationale normenreeks IEC 62443 "Industriële communicatienetwerken - IT-beveiliging voor netwerken en systemen" laat zien hoe IT-beveiliging in de automatisering tot stand kan worden gebracht. De onderwerpen variëren van de risicoanalyse en eisen voor de veilige werking tot de veilige ontwikkeling van producten (Security by Design). Hierdoor is de IEC 62443 momenteel de beste leidraad voor installatie-exploitanten, machinebouwers en apparaatfabrikanten om Industrial Security effectief te realiseren.

De IEC 62443 kent vijf categorieën: de fundamentele eisen aan Industrial Security, het principe van zones and conduits, de Security Levels, de Security-levenscyclus en de risico-analyse.

Centraal daarbij staat de procedure voor een Security Risk Assessment, die als basis voor het definiëren van Security-maatregelen op maat kan fungeren. Ook het samenspel van organisatorische en technische maatregelen wordt benadrukt. Technische oplossingen alleen leiden in het ergste geval tot een schijnveiligheid, omdat technische maatregelen eenvoudig kunnen worden omzeild door het gedrag van mensen. Een wachtwoord bijvoorbeeld biedt alleen bescherming als het ook gewijzigd, niet gedeeld en niet zichtbaar op het apparaat aangebracht wordt.

Industriële automatiseringssystemen hebben een Defense-in-Depth-benadering nodig om aan de OT-security-eisen te voldoen. Pilz ondersteunt met zijn expertise machinefabrikanten en -exploitanten bij het implementeren van de organisatorische en technische eisen, speciaal met betrekking tot de IEC 62443.

Met een Industrial Security-concept en het naleven van de normen en wettelijke eisen wordt de cyberveiligheid van een bedrijf ook op machineniveau flink vergroot. 

ISO/IEC TS 63074:2023

"Machineveiligheid - Beveiligingsaspecten in verband met functionele veiligheid van veiligheidsgerelateerde besturingssystemen"

Deze norm heeft primair betrekking op het raakvlak tussen veiligheid in de zin van Safety en van Security. Ze raakt daarmee de kern van datgene wat de Machineverordening vereist. Bij het identificeren van beveiligingsbedreigingen en kwetsbaarheden maakt ze gebruik van de IEC 62443-serie. Ze houdt rekening met kwetsbaarheden van de Safety-besturing, die door Security-bedreigingen (zoals onbevoegde toegang, malware of cyberaanvallen) zouden kunnen worden misbruikt. Het doel is om de Safety-functies zodanig te beschermen dat ze hun beschermende werking ook daadwerkelijk kunnen ontplooien. Een Defense-in-Depth-principe wordt vooral voor de Safety aanbevolen.

In het document worden use cases gedefinieerd en bijbehorende bedreigingsmodellen hierop toegepast. Dit helpt om te begrijpen welke gevolgen Security-bedreigingen kunnen hebben voor de Safety. Andere gevolgen van een cyberaanval worden expliciet buiten beschouwing gelaten.

ISO 27001 - Managementsystemen voor informatiebeveiliging (ISMS)

De NIS 2 brengt ons op het onderwerp management voor informatiebeveiligingssystemen. Daarbij gaat bijzondere aandacht uit naar de ISO/IEC 27001, omdat die wereldwijd wordt erkend als de feitelijke standaard voor informatiebeveiliging en kan worden gecertificeerd. Hij schrijft de eisen aan een informatiebeveiligingsmanagementsysteem voor.

Men spreekt van informatiebeveiliging en niet van IT-beveiliging, omdat alle informatie moet worden beschermd, of ze nu digitaal of analoog (handgeschreven, mondeling, visueel) is en of ze nu op een briefje staat of in de cloud wordt opgeslagen. Aangezien er tegenwoordig veel informatie met IT-ondersteuning wordt verwerkt, speelt de IT-security een grote rol.

In feite gaat het om het minimaliseren van informatiebeveiligingsrisico's bij alle onderdelen binnen een organisatie. Dit heeft ook betrekking op de productiemiddelen zoals machines en de OT-netwerken.

Als een organisatie vanwege externe eisen (bijvoorbeeld wettelijke voorschriften of contractuele afspraken met de klant) een ISMS volgens ISO/IEC 27001 nodig heeft of dit op eigen initiatief wil implementeren (bijvoorbeeld om zichzelf te beschermen of om een kwaliteitsnorm als imago te kunnen gebruiken), kan ze het onderwerp industriële cybersecurity niet buiten beschouwing laten.

Hierdoor is de cirkel rond wat betreft de norm IEC 62443, die op dit moment het beste kader biedt om het onderwerp informatiebeveiliging op het gebied van Industrial Security onder de loep te nemen.

De snel toenemende dreiging van cyberaanvallen met de kans op enorme economische schade leidt wereldwijd tot de invoering van wettelijke kaders om aan minimumnormen voor bedrijven, industriële installaties, machines en machineonderdelen te voldoen. Cybersecurity is een nieuwe eis en vooral voor kritieke infrastructuren een must.

Om de gevaren te verminderen, heeft de Europese wetgever nieuwe regelgeving in het leven geroepen.

Machineverordening

De Machineverordening 2023/1230 is in juni 2023 aangenomen en na een overgangsperiode van 42 maanden bindend voor alle EU-lidstaten. De Machineverordening geldt voor de fabrikanten van machines of van modules voor machines, oftewel producenten (OEM = Original Equipment Manufacturer) en systeemintegrators. Machinefabrikanten moeten voortaan bevestigen dat de machines aan de Machineverordening voldoen. Dit omvat dan ook Security-aspecten. Daartoe behoren bescherming tegen vervalsing en maatregelen om kwaadwillige pogingen van derden tot het creëren van een gevaarlijke situatie te kunnen weerstaan. De naleving van de Machineverordening wordt formeel in de conformiteitsverklaring bevestigd. Als zichtbaar teken wordt de machine met het CE-keurmerk aangeduid. Machines die niet aan de eisen van de nieuwe Machineverordening voldoen, mogen niet meer in de EU worden verkocht.

Pilz ondersteunt machinefabrikanten al jarenlang in het conformiteitsproces en wel op bijna alle gebieden, van het veiligheidsconcept, de risicoanalyse en de risicobeoordeling tot en met de conformiteitsverklaring. In de toekomst zullen wij dit ook voor de Security-aspecten doen.

Tweede EU-richtlijn inzake netwerk- en informatiebeveiliging (NIS 2) 2022/2555

De nieuwe EU-richtlijn voor netwerk- en informatiesystemen (NIS 2) regelt een uniform beschermingsniveau ten aanzien van cyberaanvallen voor "essentiële en belangrijke" instellingen binnen de EU. In tegenstelling tot de Machineverordening beschrijft ze cybersecurity-eisen aan bedrijven, niet aan machines. De richtlijn bevat verschillende eisen voor verschillende sectoren, afhankelijk van het belang van een bedrijf voor de nationale economie (kriticiteit). Bedrijven in de sectoren energievoorziening en spoorvervoer hebben bijvoorbeeld een hoge kriticiteit. De NIS 2 geldt bovendien o.a. voor machine- en installatiefabrikanten met meer dan 50 werknemers of een jaaromzet van meer dan 10 miljoen euro, ook uit minder kritieke sectoren.

De bedrijven moeten technische, operationele en organisatorische maatregelen treffen om de risico's voor de beveiliging van netwerk- en informatiesystemen te beheersen. Daartoe behoort o.a. het trainen van leidinggevenden en medewerkers. Daarbij moet niet alleen rekening worden gehouden met de klassieke kantoor-IT, maar ook met de OT-sector en dus met de Industrial Security.

Cyber Resilience Act (2024/2847)

De Cyber Resilience Act (CRA) heeft als doel om de Security-eigenschappen van producten met digitale elementen te verbeteren. Hij geldt dan ook voor de fabrikanten en distributeurs van producten. Daartoe behoren ook machinefabrikanten. De CRA voert bindende Security-eisen in de gehele levenscyclus van de producten in. Hij eist een zorgplicht voor de gehele levenscyclus, waaronder ook de plicht van de fabrikanten om software-updates voor Patch Management van de exploitant gedurende een periode van minimaal vijf jaar te leveren als er een Security-kwetsbaarheid in het product bekend is geworden. De CE-markering van producten vereist met de inwerkingtreding van de CRA dat deze wordt nageleefd. Hierdoor vult de CRA de NIS2-richtlijn en de Machineverordening aan met de Security-eigenschappen van de producten.