Seria norm IEC 62443

Międzynarodowa seria norm IEC 62443 „Bezpieczeństwo w systemach sterowania i automatyki przemysłowej” dotyczy bezpieczeństwa IT w automatyce przemysłowej. Jej zakres tematyczny obejmuje zagadnienia od analizy ryzyka, poprzez wymagania dotyczące bezpiecznej eksploatacji, aż po bezpieczne tworzenie produktów („bezpieczeństwo przez projektowanie”). Oferuje obecnie najlepsze praktyki dla operatorów instalacji i producentów urządzeń w zakresie skutecznego wdrażania zabezpieczeń.
Obejmuje pięć obszarów: podstawowe wymagania dotyczące bezpieczeństwa przemysłowego, zasadę działania stref i przewodów, poziomy bezpieczeństwa, cykl życia bezpieczeństwa i analizę ryzyka.

Jesteśmy ekspertami w dziedzinie bezpieczeństwa. Zależy nam, aby nasze produkty były nie tylko bezpieczne, ale także odpowiednio chronione. Dlatego zleciliśmy firmie TÜV Süd zbadanie naszych procesów wytwarzania produktów i przetestowanie ich w oparciu o normę IEC 62443-4-1 – „Bezpieczny proces planowania cyklu życia” (proces SDL). W ramach tego podejścia analizuje się potencjalne zabezpieczenia, nawet w trakcie projektowania nowego produktu. Ma to na celu zapewnienie wykrycia wszystkich zagrożeń dla bezpieczeństwa produktu poprzez ich modelowanie i – w najlepszym przypadku – eliminację już na etapie projektowania.

Wynik audytu: Proces wytwarzania produktów firmy Pilz spełnia wymagania normy i jest zgodny z procesem SDL, co oznacza, że jest nie tylko bezpieczny, ale również odpowiednio chroniony! W związku z tym możemy z całą pewnością stwierdzić, że: proces wytwarzania produktów w firmie Pilz jest nie tylko bezpieczny, ale również odpowiednio chroniony!
Według TÜV Süd, procesy wytwarzania są traktowane w firmie Pilz z należytą starannością i umożliwiają bezproblemową późniejszą certyfikację produktów.

Podstawowe wymogi bezpieczeństwa obejmują następujące obszary:

• Identyfikacja i uwierzytelnianie
• Użycie kontroli
• Integralność systemu
• Poufność danych
• Ograniczony przepływ danych
• Terminowa reakcja na zdarzenia
• Dostępność zasobów

Dla każdego z tych podstawowych wymogów określono dalsze wymagania systemowe, które mogą być wykorzystane jako podstawa do wdrożenia środków bezpieczeństwa.

Poziomy zabezpieczeń określają poziom bezpieczeństwa, który operatorzy instalacji lub producenci chcą osiągnąć, stosując środki ochrony. Informacje dostarczane są w formie wstępnej oceny ryzyka. W ten sposób określa się zasoby, które należy chronić przez atakami oraz prawdopodobieństwo ataku na dany element. Poziom bezpieczeństwa (SL) jest odpowiednio dobierany. Poziom SL-2, czyli ochrona przed „celowym naruszeniem przy użyciu prostych środków, niewielkich zasobów, przy ogólnych umiejętnościach i niskiej motywacji” powinien być dziś postrzegany jako standard minimalny. Aby go zapewnić, firma potrzebuje określonego poziomu zaawansowania zabezpieczeń. Najlepsza zapora sieciowa jest bezużyteczna, jeśli pracownicy firmy nadal zapisują swoje hasła na kartkach i przyklejają je na ekranach komputerów lub nie wykonują aktualizacji systemów. Im bardziej firma angażuje się w bezpieczeństwo, tym wyższy jest jej poziom ochrony. Dlatego też ważne jest posiadanie ogólnej koncepcji dotyczącej bezpieczeństwa. SecurityBridge może przyczynić się do uzyskania wysokiego poziomu bezpieczeństwa w ramach ogólnej koncepcji bezpieczeństwa.

Poziomy bezpieczeństwa w skrócie:
Poziom bezpieczeństwa 1: Ochrona przed przypadkowym naruszeniem bezpieczeństwa
Poziom bezpieczeństwa 2: Ochrona przed umyślnym naruszeniem przy użyciu prostych środków.
Poziom bezpieczeństwa 3: Ochrona przed umyślnym naruszeniem przy użyciu zaawansowanych środków.
Poziom bezpieczeństwa 4: Ochrona przed umyślnym naruszeniem przy użyciu zaawansowanych środków z wykorzystaniem rozszerzonych zasobów

Proces rozwoju zabezpieczeń jest dodatkowym elementem ogólnego procesu rozwoju produktu. Jednym z podstawowych aspektów tego procesu zgodnego z IEC 62443-4-1 jest przeprowadzenie oceny ryzyka. Ujawnia ona zagrożenia i ryzyko, na jakie narażony jest dany produkt z „przestrzeni cybernetycznej” oraz środki, jakie należy podjąć, aby je zminimalizować.

Ocenę ryzyka w zakresie bezpieczeństwa należy zawsze przeprowadzać w poniższych 6 krokach:

1. Identyfikacja aktywów: Co chcę chronić?
2. Analiza zagrożeń: Jakie ryzyko wiąże się z aktywami, które chcę chronić?
3. Określenie odpowiednich celów ochrony: Jakie cele chcę osiągnąć?
4. Analiza i ocena ryzyka: Jak bardzo prawdopodobne jest wystąpienie ryzyka?
5. Wybór i zastosowanie środków ochronnych: Jak mogę chronić się przed ewentualnymi zagrożeniami?
6. Zarządzanie odpornością: Co zrobić po ataku? Jak mogę silniej zakorzenić ideę bezpieczeństwa w sposobie funkcjonowania firmy?

Bezpieczeństwo to „ruchomy cel”, co oznacza, że potrzeby zmieniają się w trakcie cyklu życia projektu. Sprawcy ataków opracowują coraz lepsze metody obchodzenia zabezpieczeń, co wymusza konieczność stałego udoskonalania środków obronnych przed zagrożeniami cybernetycznymi. Odpowiedzialność za bezpieczeństwo ponoszą przede wszystkim operatorzy instalacji. Skuteczna strategia bezpieczeństwa może znacząco wydłużyć okres użytkowania instalacji. Producenci maszyn i podzespołów powinni niezwłocznie informować operatorów o nowych problemach związanych z bezpieczeństwem. Należy zapewnić aktualizacje oprogramowania, aby umożliwić klientom likwidację wszelkich słabych punktów. Jeśli w proces zaangażowani są integratorzy systemów, pełnią oni rolę pośrednika pomiędzy producentem a operatorem. Ważne jest, aby wszystkie zaangażowane strony pozostawały w ścisłej współpracy przez cały cykl życia produktu. Tylko to zapewni wysoki stopień ochrony.