Sverige | svenska

Security-standardserien IEC 62443

I den internationella standardserien IEC 62443 ”Industriella kommunikationsnätverk – IT-säkerhet för nätverk och system” beskrivs IT-säkerhet inom automation. Den tar bland annat upp riskanalys, krav för säker drift och säker utveckling av produkter (Security by Design). Det innebär att IEC 62443 för närvarande är den bästa översikten för anläggningsoperatörer och tillverkare för effektiv Security-implementering.
Den tar upp fem områden: grundläggande krav för Security, principen om zoner och kommunikationskanaler (Zones and conduits), Security Level, Security-livscykel samt riskanalys.

Security-standardserien IEC 62443

Överblick över de viktigaste standardavsnitten:

För komponenttillverkare För systemintegratörer För operatörer
62443-4-1 Utvecklingsprocess 62443-2-4 Riktlinjer och tillvägagångssätt 62443-2-4 Riktlinjer och tillvägagångssätt
62443-4-2 Security-funktioner för komponenterna 62443-3-2 Security-funktioner för automations- och styrsystem 62443-2-1 Drift och service
62443-3-3 Security-funktioner för hela automations- och styrsystemet

62443-3-3 Security-funktioner för hela automations- och styrsystemet

 

 

Grundläggande krav på Security

Krav på Security

Till grundkraven (Foundational requirements) för Security räknas:

  • identifiering och autentisering
  • användningskontroll
  • systemintegritet
  • sekretess för data
  • begränsat dataflöde
  • reaktioner i tid på händelser
  • resursernas tillgänglighet

För alla dessa grundkrav har ytterligare systemkrav definierats, som kan användas för att implementera Security-åtgärder.

Security Level

Security Level

Med Security Level definieras säkerhetsnivån som anläggningsoperatörer och tillverkare bör uppnå med hjälp av säkerhetsåtgärder. Detta kan fastställas i förhand med en riskbedömning. I riskbedömningen definieras vad som ska skyddas och identifieras hur hög sannolikheten är att produkten angrips. Utifrån detta väljs sedan Security Level (SL). SL-2, skydd mot ”avsiktligt intrång/manipulering med enkla medel, få resurser, normala förmågor och utan särskild motivation” ska idag ses som minimistandard. För att upprätthålla denna minimistandard måste företaget ha en viss Security-mognadsgrad. Även om företaget har en utmärkt brandvägg hjälper det inte om medarbetarna ändå skriver upp lösenord på post it-lappar på bildskärmen eller inte genomför uppdateringar. Ju mer företaget satsar på Security, desto mer effektivt blir skyddet. Därför måste Security-konceptet vara heltäckande. Application Firewall SecurityBridge som del av ett helhetskoncept kan bidra till en hög Security Level.

Security Level-översikt:
Security Level 1: skydd mot enkelt eller slumpmässigt missbruk
Security Level 2: skydd mot avsiktligt missbruk med enkla medel.
Security Level 3: skydd mot avsiktligt missbruk med avancerade medel
Security Level 4: skydd mot avsiktligt missbruk med avancerade medel och omfattande resurser

Security för riskbedömning

Security-utvecklingsprocessen är en utökning av den allmänna produktutvecklingsprocessen. En grundläggande del av Security-utvecklingsprocesser som uppfyller gällande standard (enligt IEC 62443-4-1 – Secure product development lifecycle requirements) är att genomföra en riskbedömning. I riskbedömningen undersöks vilka faror och risker från ”cyberrymden” som en produkt utsätts för och vilka åtgärder som måste vidtas för att minimera dessa risker och faror.

Security-riskbedömningen ska alltid innehålla följande 6 steg:

  1. Identifiera assets (tillgångar): Vad vill jag skydda?
  2. Analysera hot: Vilka risker finns för produkten som ska skyddas?
  3. Identifiera relevanta skyddsmål: Vilka mål vill jag uppnå?
  4. Analysera och bedöma risker: Hur hur är sannolikheten att en risk inträffar?
  5. Välja och implementera skyddsåtgärder: Hur kan jag skydda mot en möjlig risk?
  6. Resilienshantering: Vad ska göras efter en attack? Hur kan jag förankra Security mer i företaget?
Security för riskbedömning

Security-livscykel

Security-livscykel

Security är ett ”moving target”, dvs. Security förändras under livscykeln för en produkt. Angripare utvecklar ständigt bättre metoder för att komma runt skyddsåtgärder. Därför måste åtgärderna mot cyberhot hela tiden förbättras. Ansvaret för detta ligger främst hos anläggningsoperatörerna. Med en effektiv Security-strategi kan anläggningarnas livslängd förbättras. Maskintillverkare och komponenttillverkare ska informera operatörerna direkt om nya säkerhetsproblem. De måste tillhandahålla uppdateringar för programvarorna i sin enheter, så att kunderna kan åtgärda svaga punkter. Om systemintegratörer är en del av processen fungerar de som kontaktpunkt mellan tillverkare och operatörer. Det är viktigt att alla som deltar i hela produktlivscykeln har ett nära samarbete. Det krävs för att få ett starkt skydd.

Mer om Security 4.0

Kontakta

Pilz Skandinavien K/S, dansk Filial
Smörhålevägen 3
434 42 Kungsbacka
Sweden

Telefon: +46 300 13990
E-post: pilz.se@pilz.dk

Teknisk support

Telefon: +46 300 13990 / +45 74436332
E-post: pilz@pilz.dk