OT Säkerhet

IEC 62443

En familj av internationella standarder som definierar krav och processer för cybersäkerhet i industriell automation och styrsystem, med krav riktade till anläggningsägare, systemintegratörer och produktleverantörer.

Var du ser detta: Relevant i industriella miljöer, kritisk infrastruktur och överallt där IT-nätverk ansluter till operationsteknologisystem.

Vad det är

IEC 62443 är en serie standarder utvecklade av ISA (International Society of Automation) och antagna av IEC (International Electrotechnical Commission) som adresserar cybersäkerhet för industriell automation och styrsystem. Standardfamiljen är organiserad i fyra serier: Serie 1 täcker allmänna koncept och terminologi, Serie 2 täcker policyer, procedurer och programkrav för anläggningsägare, Serie 3 täcker systemkrav för design och integration av IACS, och Serie 4 täcker komponentnivåns säkerhetskrav för produkter inbäddade i IACS. Denna flerlagerstruktur gör det möjligt för standarden att adressera hela livscykeln för ett industriellt system från design genom drift och underhåll.

Nyckelpunkter
  • Strukturerad som en flerdelad standard som täcker allmänna koncept, policyer, system och komponentkrav.
  • Definierar Säkerhetsnivåer från SL 1 till SL 4 som beskriver skyddskrav mot olika hotaktörers kapacitet.
  • Introducerar zon- och kanalmodellen för nätverkssegmentering som mappar till och utökar Purdue-modellens koncept.
  • Hanterar tre distinkta intressentroller: anläggningsägare, systemintegratörer och komponentleverantörer.
  • Utgör grunden för industriella cybersäkerhetsregleringar inom sektorer inklusive energi, tillverkning och processindustri globalt.

Hur det fungerar i stora drag

  1. Anläggningsägare använder Serie 2 för att etablera ett IACS-säkerhetshanteringsprogram: definiera policyer, genomföra riskbedömningar, etablera ett säkerhetshanteringssystem och upprätthålla säkerhet under driftslivscykeln.
  2. Zon- och kanalmodellen från Serie 3 är det primära verktyget för säkerhetsdesign på systemnivå. Tillgångar grupperas i zoner baserat på deras säkerhetskrav och riskprofil. Kanaler definieras för alla kommunikationsvägar mellan zoner med säkerhetskrav tillämpade på varje kanal.
  3. Säkerhetsnivåer definierar den kapacitet som krävs för att motstå angrepp. SL 1 skyddar mot oavsiktliga eller tillfälliga överträdelser. SL 2 skyddar mot avsiktliga överträdelser med enkla medel och låga resurser. SL 3 skyddar mot sofistikerade medel med måttliga resurser. SL 4 skyddar mot angrepp på nationalstatsnivå med omfattande resurser.
  4. Systemintegratörer använder Serie 3 för att designa IACS-arkitekturer som uppfyller de målsatta Säkerhetsnivåerna definierade av anläggningsägaren, väljer komponenter med lämpliga säkerhetskapaciteter och dokumenterar hur systemarkitekturen uppnår de krävda säkerhetsegenskaperna.
  5. Komponentleverantörer använder Serie 4 för att bygga in säkerhet i produkter under utveckling, följa en säker utvecklingslivscykel, implementera krävda säkerhetsfunktioner och dokumentera säkerhetskapaciteterna hos sina produkter så att integratörer och ägare kan fatta välgrundade val.

Konkret exempel

Ett energibolag som driver ett naturgasdistributionsnätverk genomför en IEC 62443-implementering. Det börjar med en riskbedömning som identifierar vilka IACS-tillgångar som är i scope och vilka hot de möter. Det definierar säkerhetszoner kring kontrollenrumssystem, fält-RTU:er, IDMZ och leverantörers fjärråtkomstinfrastruktur, och tilldelar mål-Säkerhetsnivåer till varje zon baserat på konsekvensen av ett kompromissande. Systemintegratörer åläggs avtalsenligt att leverera system som uppfyller dessa Säkerhetsnivåmål och att dokumentera hur arkitekturen uppnår dem. SCADA- och RTU-produktleverantörer ombeds tillhandahålla dokumentation om säker utvecklingslivscykel och sårbarhetshanteringspolicyer konsistenta med IEC 62443-4-1. Resultatet är ett strukturerat säkerhetsprogram med dokumenterat ägande, definierade krav på varje nivå i leveranskedjan och en tydlig baslinje mot vilken framtida förändringar och incidenter kan utvärderas.

Varför det är viktigt

IEC 62443 är viktigt för att industriell cybersäkerhet är ett flerpartsproblem. När ett ICS kompromissas kan ansvaret ligga hos anläggningsägaren, systemintegratören eller komponentleverantören. Standarden definierar vad varje part ansvarar för och ger ett gemensamt språk för att kommunicera krav i leveranskedjan.

Säkerhetsperspektiv

  • Zon- och kanalmodellen tvingar fram explicita beslut om vilka tillgångar som kommunicerar med vilka andra och vilka kontroller som styr varje väg, mer rigoröst än enkel Purdue-nivåsegmentering.
  • Säkerhetsnivåer anpassar skyddsinvesteringar till faktisk hotkapacitet. En anläggning som möter sofistikerade riktade angrepp har andra SL-mål än en som bara skyddar mot tillfällig åtkomst.
  • De sju grundläggande kraven (identifiering och autentisering, användningskontroll, systemintegritet, datakonfidentialitet, begränsat dataflöde, snabbt svar, resurstillgänglighet) mappar till konkreta kontroller.
  • IEC 62443-2-4 definierar säkerhetskrav som anläggningsägare bör ställa på systemintegratörer avtalsenligt, vilket skapar konsekventa säkerhetsförväntningar i leveranskedjan.
  • Patchhantering under IEC 62443 erkänner OT-begränsningen: uppdateringar måste testas innan driftsättning och risken med en misslyckad uppdatering måste vägas mot att lämna en känd sårbarhet oåtgärdad.

Vanliga fallgropar

  • Att behandla IEC 62443 som en enda standard snarare än en familj som tillämpas efter roll: anläggningsägare använder Serie 2, systemintegratörer Serie 3, produktutvecklare Serie 4.
  • Att blanda ihop mål-Säkerhetsnivån med den uppnådda. En zon med mål SL 2 måste fortfarande demonstrera att faktiska kontroller uppfyller de grundläggande kraven på den nivån.
  • Att använda zon- och kanalmodellen som en dokumentationsövning. Zoner som definieras på papper men inte tillämpas med faktiska nätverkskontroller ger inget säkerhetsvärde.
  • Att försumma leveranskedjedimensionen. Att inte ställa Serie 4-krav på komponentleverantörer lämnar betydande luckor i det övergripande säkerhetsläget.

FÖRDJUPNING

Standardfamiljens struktur och hur delarna relaterar

IEC 62443 är inte ett enda dokument utan en familj av relaterade standarder, och att förstå strukturen är väsentligt för att använda den korrekt. Serie 1 etablerar de grundläggande koncept, terminologi och säkerhetsmått som resten av standardfamiljen bygger på. Det viktigaste dokumentet i denna serie för praktiker är IEC 62443-1-1, som definierar zon- och kanalmodellen, Säkerhetsnivåer och grundläggande krav. Serie 2 adresserar säkerhetsprogramkraven för anläggningsägare och täcker säkerhetshanteringssystem, patchhantering, incidentrespons och de säkerhetskrav som ägare bör ställa på tjänsteleverantörer och systemintegratörer.

Serie 3 täcker säkerhetskrav på systemnivå och är där det praktiska arkitekturarbetet sker. IEC 62443-3-2 definierar en riskbedömningsmetodik för att bestämma mål-Säkerhetsnivåer för zoner. IEC 62443-3-3 definierar säkerhetskraven på systemnivå som ett IACS måste uppfylla vid varje Säkerhetsnivå, organiserade kring de sju grundläggande kraven. Serie 4 adresserar krav på komponentnivå. IEC 62443-4-1 definierar en säker produktutvecklingslivscykel som leverantörer bör följa, med praxis som säkerhetskravsteknik, hotmodellering, säkerhetstestning och sårbarhetshantering. IEC 62443-4-2 definierar de tekniska säkerhetskraven för IACS-komponenter vid varje Säkerhetsnivå.

Den praktiska konsekvensen av denna struktur är att olika roller engagerar sig med olika delar av standarden. En anläggningsägare som etablerar ett säkerhetsprogram fokuserar på Serie 2. En säkerhetsarkitekt som designar ett anläggningsnätverk fokuserar på Serie 3. En PLC-tillverkare som implementerar säkerhetsfunktioner fokuserar på Serie 4. När alla parter använder standarden för sina respektive roller blir resultatet en leveranskedja där säkerhetskrav flödar konsekvent från anläggningsägarens riskbedömning via systemintegratörens design till komponentleverantörens produktkapaciteter.

Zoner, kanaler och säkerhetsnivåramverket

Zon- och kanalmodellen är det centrala arkitektoniska konceptet i IEC 62443 och dess mest praktiskt användbara bidrag till ICS-säkerhet. En zon är en gruppering av tillgångar som delar samma säkerhetskrav och styrs av samma säkerhetspolicy. Tillgångar placeras i samma zon när de har liknande kritikalitet, liknande åtkomstkrav och liknande riskprofiler. En kanal är en kommunikationsväg mellan zoner som måste säkras i enlighet med säkerhetskraven hos de zoner den förbinder. Varje kommunikationsväg mellan zoner måste definieras som en kanal med explicita säkerhetskontroller.

Säkerhetsnivåer definierar den kapacitet som krävs för att motstå angrepp vid varje zon. SL 1 adresserar skydd mot oavsiktliga eller tillfälliga överträdelser, som felkonfigurationer eller olyckor. SL 2 adresserar skydd mot avsiktliga angrepp av någon med grundläggande färdigheter, generiska verktyg och låg motivation eller resurser. SL 3 adresserar sofistikerade angripare med specialiserade verktyg och avsevärd motivation. SL 4 adresserar kapaciteter på nationalstatsnivå med de resurser och beslutsamhet som krävs för en uthållig kampanj. Mål-Säkerhetsnivån för en zon bestäms av konsekvensen av ett kompromissande och de realistiska hotaktörer organisationen möter.

De grundläggande kraven tillhandahåller den detaljerade kapacitetschecklistan för varje Säkerhetsnivå. De sju grundläggande kraven är: Identifierings- och autentiseringskontroll, Användningskontroll, Systemintegritet, Datakonfidentialitet, Begränsat dataflöde, Snabbt svar på händelser och Resurstillgänglighet. För varje grundläggande krav definierar standarden vilka kapaciteter som måste finnas på SL 1, SL 2, SL 3 och SL 4. Det ger systemdesigners och utvärderare ett strukturerat sätt att bedöma om en föreslagen arkitektur eller driftsatt system faktiskt uppfyller sin mål-Säkerhetsnivå snarare än att bara hävda att det gör det.

Intressentroller: anläggningsägare, integratörer och leverantörer

Ett av IEC 62443:s viktigaste bidrag är dess explicita erkännande av att IACS-säkerhet är ett flerpartsproblem och att varje part har distinkta ansvarsområden. Anläggningsägare är de organisationer som driver det industriella systemet. De ansvarar för att definiera säkerhetskraven för sin miljö, genomföra riskbedömningar, etablera säkerhetshanteringsprogram och säkerställa att de system de driver uppfyller dessa krav. Anläggningsägare definierar mål-Säkerhetsnivåerna för sina zoner och specificerar säkerhetskrav i upphandlingskontrakt med integratörer och leverantörer.

Systemintegratörer designar och driftsätter IACS på uppdrag av anläggningsägare. De ansvarar för att designa en arkitektur som uppfyller de mål-Säkerhetsnivåer som definierats av anläggningsägaren, välja komponenter med lämpliga säkerhetskapaciteter, integrera dessa komponenter korrekt och dokumentera hur det levererade systemet uppnår de krävda säkerhetsegenskaperna. IEC 62443-2-4 definierar de säkerhetskrav som anläggningsägare bör ställa på systemintegratörer och täcker praxis som säkerhetshantering under projektet, säkerhetsdokumentation, konfigurationshantering och överlämningsprocedurer.

Komponentleverantörer tillverkar produkterna som ingår i ett IACS: PLC:er, RTU:er, SCADA-programvara, nätverksenheter och sensorer. De ansvarar för att bygga in säkerhet i sina produkter under utveckling, följa en säker utvecklingslivscykel konsistent med IEC 62443-4-1, implementera de tekniska säkerhetskraven definierade i IEC 62443-4-2 och tillhandahålla tydlig dokumentation av sina produkters säkerhetskapaciteter. När en leverantör kan demonstrera att deras produkt är certifierad mot IEC 62443-4-2 vid en given Säkerhetsnivå kan integratörer och ägare fatta välgrundade beslut om var de ska placera produkten i sin arkitektur.

Riskbedömning och vägen till mål-Säkerhetsnivåer

IEC 62443:s tillvägagångssätt för riskbedömning, beskrivet primärt i IEC 62443-3-2, är konsekvensdriven. Startpunkten är inte en generisk hotkatalog utan en specifik analys av vad som skulle hända om varje zon kompromissades: vilken fysisk process skulle påverkas, vilka säkerhetssystem kan fallera, vilka regelkrav skulle kränkas och vad den operativa och ekonomiska konsekvensen skulle vara. Denna konsekvensanalys är vad som bestämmer mål-Säkerhetsnivån för varje zon, och den förankrar hela säkerhetsprogrammet i operativ verklighet snarare än abstrakta riskpoäng.

Riskbedömningsprocessen identifierar tillgångarna i scope, grupperar dem i kandidatzoner, analyserar konsekvenserna av kompromissande för varje zon, identifierar de hotaktörer som är relevanta för organisationen och miljön, och använder den kombinationen av konsekvens och hot för att bestämma en mål-Säkerhetsnivå. Den resulterande zonkartan med tilldelade Säkerhetsnivåer blir den baslinje mot vilken arkitekturdesign, komponentval och löpande drift utvärderas.

En viktig praktisk hänsyn är gapanalysen mellan mål-Säkerhetsnivån och det aktuella tillståndet. De flesta operativa IACS-miljöer har zoner med mål-Säkerhetsnivåer som deras nuvarande kontroller inte uppfyller. Gapanalysen identifierar specifika brister i de sju grundläggande kraven och skapar en handlingsbar åtgärdsplan. Att prioritera luckor efter konsekvens och genomförbarhet, snarare än att försöka stänga alla luckor simultant, är det tillvägagångssätt som ger hållbar säkerhetsförbättring i miljöer där driftskontinuitetsbegränsningar begränsar hur aggressivt förändringar kan göras.

Att tillämpa IEC 62443 i praktiken: var man börjar och hur man håller det vid liv

Organisationer som närmar sig IEC 62443 för första gången intimideras ofta av standardfamiljens omfång. Den praktiska startpunkten är Serie 2, specifikt att etablera ett IACS-säkerhetshanteringssystem som definierar styrning, ägande och en repeterbar process för att hantera säkerhet. Utan ett hanteringssystem tenderar tekniska kontroller att försämras över tid när personal byter, arkitekturer utvecklas och undantag ackumuleras utan granskning. Hanteringssystemet är vad som gör säkerhetsförbättringar beständiga.

Från hanteringssystemets grund är nästa steg zon- och kanalanalysen från Serie 3. Även en förenklad version, som kartlägger tillgångar till zoner och dokumenterar alla kommunikationsvägar som kanaler, synliggör omedelbart arkitektoniska luckor och skapar en strukturerad bild av säkerhetslandskapet som de flesta OT-miljöer saknar. Analysen behöver inte vara perfekt för att vara värdefull: en grov zonkarta med ärliga mål-Säkerhetsnivåer är långt mer användbar än ingen karta alls, eftersom den möjliggör prioriterad åtgärd snarare än ad hoc-respons.

Att upprätthålla IEC 62443-efterlevnad över tid kräver att behandla det som ett levande program snarare än ett projekt med ett slutdatum. Tillgångar förändras, ny uppkoppling tillkommer, hot utvecklas och sårbarheter i driftsatta komponenter upptäcks. Processerna för patchhantering, förändingshantering och incidentrespons definierade i Serie 2 är vad som håller säkerhetsläget i linje med den föränderliga verkligheten i miljön. Organisationer som framgångsrikt bäddar in IEC 62443 i sina operativa processer finner att det ger ett konsekvent ramverk för att utvärdera säkerhetskonsekvenserna av operativa förändringar, vilket minskar risken att välmenta operativa förbättringar oavsiktligt skapar säkerhetsluckor.