IEC 62443 – teollisuuden kyberturvallisuuden standardi Kansainvälisessä IEC 62443 -standardisarjassa määritellään turvallisuusvaatimukset valmistajille, integraattoreille ja ylläpitäjille riskien välttämiseksi.
IEC 62443 ja ISO 27001 lyhyesti
Kyberturvallisuus IT- ja OT-ympäristöissä
Aiemmin tietotekniikkaa (IT) ja operatiivista teknologiaa (OT) tarkasteltiin erikseen, ja ne jaettiin eri erityisaloille. Järjestelmien ja tuotannon verkottumisen ja digitalisoitumisen lisääntyessä nämä alat kasvavat kuitenkin yhteen. Kyberturvallisuutta ei siis voida enää tarkastella erillään. Vaikuttava ja tehokas suojautuminen kyberhyökkäyksiä vastaan voidaan saavuttaa vain yhtenäisellä toimintatavalla.
ISO 27000 -standardisarjassa määritellään tietotekniikan suojaustavoitteet, joissa keskitytään luottamuksellisuuteen. Operatiivisen teknologian osalta järjestelmien käytettävyys on ratkaisevan tärkeää, kuten IEC 62443 -standardissa kuvataan. IEC 62443 -standardisarjan tarkoituksena on edistää teollisuuden automaatiojärjestelmien (ICS-järjestelmien) turvallista käyttöä – suunnittelusta ja toteutuksesta hallintaan asti. Siksi standardisarjan useat standardit sisältävät sääntöjä komponenttien valmistajille, järjestelmäintegraattoreille ja ylläpitäjille: komponenttivalmistajien on huolehdittava siitä, että tuotteet ovat turvallisia, ja kone- ja laitevalmistajien on varmistettava, että ne toimivat turvallisesti muiden komponenttien kanssa. Järjestelmän ylläpitäjä on vastuussa siitä, että kaikki käyttövaiheet ovat turvallisia. IEC 62443 -standardi täydentää siten ISO 27001 -standardia. Molempien standardien huomioon ottaminen on ratkaisevan tärkeää kokonaisvaltaisen kyberhyökkäyksiä vastaan suojautumisen kannalta.
IEC 62443 -standardin rakenne
IEC 62443 -standardin erityispiirteenä on kokonaisvaltainen sisäänrakennettu turvallisuusnäkökulma. Tämä sisältää toimintaprosesseja, järjestelmiä ja komponentteja koskevat vaatimukset. Lisäksi lähestymistavassa määritellään sekä menettelylliset että tekniset toimenpiteet.
IEC 62443 -standardin keskeinen turvallisuuskäsite on "Defence in Depth" – "kerroksellinen tietoturva". Useiden turvamekanismien porrastaminen peräkkäin vaikeuttaa hyökkääjien tunkeutumista järjestelmään.
IEC 62443 -standardin täytäntöönpano ylläpitäjänä
Menettely "Yhdeksän askelta turvalliseen järjestelmään".
Turvallinen automaatioratkaisu alkaa suojattavan omaisuuden määrittelyllä. Siitä tehdään uhka- ja riskianalyysi. Näiden analyysien perusteella johdetaan riskinhallintatoimenpiteet ja niistä johtuvat järjestelmää ja käytettäviä komponentteja koskevat vaatimukset.
Järjestelmän suojaustaso ei kuitenkaan muodostu ainoastaan teknisistä valmiuksista, vaan myös todellisista prosesseista sekä henkilökunnan asiantuntemuksesta. Turvallinen järjestelmä nimittäin edellyttää niiden jatkuvaa valvontaa ja ylläpitoa. Tähän kuuluvat asennuksen ja sen ominaisuuksien tarkka tuntemus – eli verkkosuunnitelma ja kaikkien komponenttien inventointi – sekä käyttäjien, käyttöoikeuksien ja pääsytietojen hallinta.
Kaikkiin sovelluksiin ei ole olemassa standardiratkaisua. Turvallinen automaatioratkaisu on aina räätälöitävä yksilöllisten olosuhteiden mukaan. Toteutettuja toimenpiteitä on myös tarkistettava säännöllisesti ja mukautettava nykyiseen tekniikan tasoon. Olemme määritelleet "Yhdeksän vaihetta turvalliseen järjestelmään" -menettelyn avuksesi. Tämä lähestymistapa antaa ylläpitäjille ja järjestelmäintegraattoreille mahdollisuuden toteuttaa suunnittelemansa ratkaisun mukainen turvallisuus.
IEC 62443 -standardin täytäntöönpano Phoenix Contactissa
Täydellinen 360°-turvallisuuskonseptimme
360°-turvallisuuskonsepti
Phoenix Contact aloitti IEC 62443 -standardin täytäntöönpanon vuonna 2017. Järjestelmien tai laitteistojen suojaus voidaan kuitenkin taata vain, jos ne on suojattu kaikilta puolilta. Tästä syystä olemme kehittäneet ja ottaneet käyttöön 360°-turvakonseptimme - täydellisen valikoiman ilman kompromisseja.
Lähestymistapamme kyberturvallisuuteen on kokonaisvaltainen. Jokainen 360°-turvakonseptimme osa on siksi sertifioitu IEC 62443 -standardin mukaisesti. Tämä alkaa turvallisesta kehitysprosessista, joka varmistaa, että tuotteissamme on vankat turvatoiminnot heti alusta alkaen. Nämä turvatoiminnot on integroitu syvälle tuotteisiimme kattavan suojan varmistamiseksi. Tarjoamme myös sertifioituja palveluja, joiden tarkoituksena on parantaa jatkuvasti asiakkaidemme turvallisuutta.
IEC 62443-4-1 -standardin mukaisesti sertifioitu kehitysprosessi
Otimme käyttöön IEC 62443-4-1 -standardin mukaisesti sertifioidun turvallisen kehitysprosessin komponenteillemme jo vuonna 2018. Prosessi perustuu hyväksi havaittuihin kyberturvallisuusperiaatteisiin ja kerrokselliseen tietoturvaan (Defense in Depth).
Siitä lähtien läpinäkyvä ja avoin viestintä mahdollisista turvallisuusaukoista on ollut tärkeässä osassa. Samoin IEC 62443-4-1 -standardin mukaan sertifioitu Product Security Incident Response Team (PSIRT) julkaisee siksi raportteja mahdollisista haavoittuvuuksista ja toimittaa säännöllisesti tietoturvapäivityksiä tuotteisiimme.
IEC 62443-4-2 -standardin mukaan sertifioidut tuotteet
Turvalliset tuotteet on kehitetty IEC 62443-4-1 -kehitysprosessin mukaisesti, ja ne täyttävät IEC 62443-4-2 -standardin toiminnalliset turvallisuusvaatimukset.
Vuonna 2021 PLCnext Controlista tuli maailman ensimmäinen ohjausjärjestelmä, joka on sertifioitu IEC 62443-4-1 ML3 / 4-2 SL2 Feature Set -standardin mukaisesti. Meillä on nyt kaksinumeroinen määrä IEC 62443-4-2 -standardin mukaan sertifioituja tuotteita, mukaan lukien myös mGuard-turvareitittimet Hannover Messe 2025 -messujen jälkeen. Muita turvallisia tuotteita kehitetään tai sertifioidaan parhaillaan.
Katso lisätietoa turvatuotteistamme:
IEC 62443-2-4 -standardin mukaisesti sertifioidut palvelut
IEC 62443-2-4 -standardin mukaisesti sertifioidut palvelut
Jotta tehokkaita turvallisuusratkaisuja voidaan kehittää, neuvoa, asentaa ja huoltaa yhdessä järjestelmäintegraattoreiden ja järjestelmien ylläpitäjien kanssa, mukana olevilla tiimeillä on oltava kattavat kyberturvallisuustaidot, ja niiden on kyettävä osoittamaan ne. Näin varmistetaan, että kaikki turvallisuustoimenpiteet täyttävät korkeimmat vaatimukset ja että ne toteutetaan tehokkaasti.
Phoenix Contactin asiaan liittyvät tiimit, mukaan lukien valittujen kansallisten yhtiöiden tiimit, on sertifioitu kansainvälisen standardin IEC 62443-2-4 mukaisesti. Tämä sertifiointi vahvistaa, että tiimeillämme on tarvittavat taidot ja prosessit teollisuusautomaatiojärjestelmien turvalliseen integrointiin ja käyttöön. Tämän kvalifikaation ansiosta voimme tarjota asiakkaillemme maailmanlaajuisesti luotettavia ja turvallisia ratkaisuja, jotka täyttävät uusimmat kyberturvallisuusvaatimukset.
IEC 62443-3-3 mukaan sertifioidut ratkaisut
Standardien noudattamiseen ei ole mitään yleistä ratkaisua. Määräyksiä tulee noudattaa pikemminkin yksilöllisten toiveiden ja olosuhteiden pohjalta. Kehitämme Phoenix Contactissa erilaisia malleja (blueprints) eri markkinoille ja ratkaisuille, jotta voimme paremmin selittää ja toteuttaa prosessiin liittyvät vaatimukset sekä toiminnalliset järjestelmävaatimukset.
"Remote Monitoring and Control" -malli esittää moniportaisen suojausstrategian (Defense in Depth -konseptin) ohella muun muassa vyöhykkeisiin ja kanaviin ryhmittelemisen, datavirran hallinnan, tiedonsiirron kattavan salauksen, komponenttien karkaisun, työntekijöiden tietoisuuskoulutuksen sekä korjausten ja riskien hallinnan prosessit.
Tämä ratkaisu on sertifioitu IEC 62443-3-3 -standardin mukaan.
Remote Monitoring and Control -mallimme, jonka TÜV Süd on sertifioinut IEC 62443-3-3 -standardin mukaan
Kyberturvallisuudesta tulee laki
IEC 62443: Kyberturvallisuusdirektiivien menestystekijä
Uuden kyberkestävyyssäädöksen (CRA), uuden NIS 2 -direktiivin ja uuden koneasetuksen myötä kyberturvallisuustoimenpiteiden täytäntöönpanosta tulee Euroopassa oikeudellisesti sitovaa. Tämä ei koske enää vain kriittisiä infrastruktuureja.
Uusien turvallisuusdirektiivien vaatimusten täyttämiseksi on hyödyllistä noudattaa kansainvälisiä standardeja. Yksi näistä standardeista on IEC 62443 -turvallisuusstandardi. IEC 62443 kattaa esimerkiksi jo monet CRA:n vaatimuksista. Sekä turvallisen kehitysprosessin että tuotteiden ja järjestelmien teknisten vaatimusten osalta. IEC 62443 on näin ollen lupaava ehdokas tulevaksi yhdenmukaistetuksi CRA-standardiksi.
IEC 62443 tarjoaa myös kattavan tuen uuden NIS 2 -turvallisuusdirektiivin tai uuden koneasetuksen noudattamiseen.
Linkit ja lataukset
LinkedIn: Industrial Communication and Cyber Security Liity nyt yhteisömme jäseneksi!
Teollisuuden tiedonsiirtoverkkojen kautta voidaan siirtää tietoja luotettavasti kentältä ohjaustason kautta aina pilveen asti. LinkedIn-sivullamme Industrial Communication and Cyber Security on kiinnostavaa tietoa mm. verkon käytettävyydestä, kyberturvallisuudesta ja etähuollosta. Liity yhteisömme jäseneksi!