Gratis webinar om cyber security - EU's NIS2 direktiv bliver national lov. Er du klar?
Gratis webinar om functional safety - bliv klædt på til design af din sikkerhedsfunktion.
Overspændingsbeskyttelse, strømforsyning, komponentbeskyttelse og energiovervågning sikrer høj rådighed for systemet - vi kalder det Power Reliability. Download whitepaper!
Sikkerhedsteknik til maskiner og anlæg bliver i løbet af en applikations samlede livscyklus stadig vigtigere. Imidlertid kan det stigende antal netværk af automatiseringssystemer med IT-verdenen føre til scenarier, der kræver en ny tilgang, især til sikkerhedsanvendelser.
Inden for rammerne af det fremtidige projekt Industrie 4.0 forbindes produktion og IT i stigende grad. Derved vokser udfordringerne på security-området. Mellem kontorets IT-grænseflader og produktionsnetværket finder hackere ofte en gateway til virksomhedsnetværket.
En undersøgelse foretaget af softwarevirksomheden Kaspersky fra 2017 viser, at omkring hvert tredje cyberangreb er rettet mod industrielle styringssystemer og dermed mod produktionsvirksomheder. Hvert år stiger forekomsterne af malware og dermed tilknyttede skader for industrielle systemer. Det aktuelle tilfælde af malwaren "Triton" brugt i forbindelse med et cyberangreb mod et SIS (Safety Instrumented System) beviser, at dette scenarie bestemt er reelt.
Verdenerne inden for Safety og Security mødes, når automatiseringsløsninger til realisering af funktionel sikkerhed bliver målet for hackerangreb. Derfor skal der udvikles en fælles strategi for fremtiden.
Carsten Gregorius
Industrielle styringssystemer er for tiden udsat for talrige trusler, f. eks.:
Infektioner med hærværkssoftware via internet og intranet
Infiltrering af hærværkssoftware via mobile medier og anden ekstern hardware
Social engineering, der påvirker mennesker med det formål at inducere visse typer adfærd
Menneskelige fejl og sabotage
Indbrud i systemet via fjernvedligeholdelsesløsninger
Styringskomponenter koblet via internettet vha. IP-protokol
Teknisk forkert adfærd og force majeure
Hackede smartphones i produktionsmiljøet samt extranet- og cloud-komponenter
Hvor er grænsen mellem Cyber Security og funktionel sikkerhed?
Funktionel sikkerhed står for korrekt funktion i det sikkerhedsrelaterede (styrings-)system og for andre risikominimerende foranstaltninger. Hvis der opstår en kritisk fejl her, starter styringen i sikker tilstand. Kravene til kvaliteten af sikkerhedsrelaterede styringsdele er beskrevet i B-standarden EN ISO 13849 og IEC-serien IEC 61508/IEC 61511/IEC 62061. Afhængigt af risikoniveauet klassificeres de tilsvarende risikoreducerende foranstaltninger i forskellige sikkerhedsniveauer: Performance Level (PL) eller Safety Integrity Level (SIL).
Cyber Security beskytter derimod mod angreb på datas tilgængelighed, integritet og fortrolighed. Dette opnås gennem forebyggende eller reaktive tekniske og organisatoriske foranstaltninger. Forsømmelse af Security-aspekterne i Safety-miljøet kan have direkte effekter på produktionsanlæggene. Indirekte kan dette også have indvirkning på produktionsprocessen og dermed på slutproduktet. Eksempler er lægemidler eller sikkerhedsrelaterede komponenter til automobilindustrien. Her kan ændringer have en betydelig negativ indvirkning på forbrugerne. Standarden IEC 61511-1 kræver derfor en IT-risikovurdering for sikkerhedsanordninger i procesindustrien. Operatøren skal udføre IT-risikovurderingen i overensstemmelse med NAMURs NA-procedure og gennemføre de identificerede foranstaltninger. Så kan denne vurdere sit PLT-sikkerhedsudstyr i overensstemmelse med den aktuelle tekniske stand og således overholde sin forpligtelse til at udvise omhu.
Overblik over de relevante love, forordninger, direktiver og regler
Aktiv søgning efter svage steder
Ved funktionel sikkerhed såvel som ved adgangssikkerhed skal den potentielle risiko først vurderes baseret på en risikovurdering, nærmere betegnet en IT-trusselanalyse. Her viser en væsentlig forskel sig allerede ved fremgangsmåden. Designerne skal tilpasse sig mere statiske risici, f. eks. mekaniske eller elektriske farer, inden for rammerne af risikovurderingen i overensstemmelse med maskindirektivet. IT-sikkerhedseksperten befinder sig derimod i et konstant skiftende miljø. Der søger hackere aktivt efter svage punkter, der betragtes som systematiske fejl inden for funktionel sikkerhed.
En anden vigtig påvirkningsfaktor er den menneskelige faktor: Inden for maskinsikkerhed tales der om forudseelig misbrug, når f. eks. sikkerhedsudstyr som dørkontakter manipuleres af operatøren. I storskala-cyberangreb på industrianlæg går man derimod ud fra et højt niveau af kriminel energi.
Whitepaper
Risikovurdering: Safety over for Security
Hvordan udføres en risikovurdering iht. maskindirektivet? Hvordan analyseres risiciene inden for rammerne af Industrial Security?
Producenter, systemintegratorer og operatører skal sikre produktets livscyklus for sikkerhedsrelaterede systemer eller komponenter. Inden for styring af den funktionelle sikkerhed kan de anvende behovsbaseret kvalitetsstyring iht. IEC 61508. I Security-verdenen er der en sammenlignelig løsning med Information Security Management i henhold til ISO 27000.
En første pragmatisk tilgang til integration af disse to emner findes i det af NAMUR offentliggjorte arbejdspapir "IT-risikovurdering af PLT-sikkerhedsfaciliteter". Det beskriver en proces til IT-risikovurdering i overensstemmelse med sikkerhedsnormen IEC 62443. Denne metode danner grundlaget for at øge PLT-sikkerhedsenhedens modstandsdygtighed mod IT-trusler. Til dette formål blev de tre trin i den første fase udført som et eksempel på et system, der typisk findes i NAMUR-medlemsfirmaerne. Brugere kan dermed kontrollere, om metoden til den PLT-sikkerhedsenhed, der skal vurderes, kan anvendes. Den anden fase er kontrollen med implementeringen af foranstaltningerne og dokumentationen af IT-sikkerhedskravene og grænsevilkårene. Den anden fase skal gennemgås individuelt for hver PLT-sikkerhedsenhed.
Risikovurdering iht. NAMUR-anbefaling NA 163
Forskellige trin i risikovurderingsprocessen iht. NAMUR-anbefaling NA 163
Ingen indflydelse på den funktionelle integritet
Hardware og software for det undersøgte system er opdelt i to områder:
Den vigtigste PLT-sikkerhedsanordning i zone A omfatter PLT-sikkerhedsanordningen som defineret i IEC 61511-1. Det inkluderer det logiske system, input- og outputmodulerne inkl. fjern-I/O samt aktuatorer og sensorer. Forbindelser og eventuelle eksisterende netværkskomponenter (såsom kabler eller switches), der bruges til at forbinde enhederne i zone A, tildeles også denne zone.
Den udvidede PLT-sikkerhedsanordning i zone B er tildelt komponenter, som ikke er nødvendige for udførelsen af sikkerhedsfunktionen. Dog kan de have indflydelse på, hvordan kernen i PLT-sikkerhedsanordningerne forholder sig. Eksempler på dette er operatørens inputpaneler, visualiseringsstationer, programmeringsenheden til PLT-sikkerhedsenheden og enheder til sensor-/aktuatorkonfiguration.
I omgivelserne er der komponenter og systemer, som hverken direkte eller indirekte skal sorteres ind under PLT-sikkerhedsanordningen. Men de kan være i forbindelse med sikkerhedsfunktionen. Her kan det dreje sig om reset-funktionskrav eller visualisering af sikkerhedsfunktionens tilstand.
Det fælles mål med områderne er, at den funktionelle integritet af sikkerhedsudstyret ikke skal blive påvirket af ydre omstændigheder.
Zonekoncept til risikovurdering
Omfattende træning af de deltagende personer
For at reducere virkningen af et kompromitteret PLT-sikkerhedsudstyr eller imødegå trusler, gribes til handling. Faktoren menneske får en særlig rolle i denne proces. Mere end 50 % af alle problemer med cybersikkerhed kan tilskrives medarbejderne. Det er derfor vigtigt, at der er en IT-sikkerhedsansvarlig, der står for sikkerhedsstrukturen. Alle deltagende personer skal trænes i sikkerhedsanordningens specifikation og design. Derudover bør slutbrugere indgå fortrolighedsaftaler med producenter, leverandører og eksterne operatører omhandlende information og viden om sikkerhedssystemet.
