IEC 62443 Den internasjonale standardserien IEC 62443 definerer sikkerhetskrav for produsenter, integratorer og operatører for å unngå risiko.
IEC 62443 – standarden for industriell Cyber Security
IEC 62443 og ISO 27001 i korte trekk
Cyber Security i IT og OT
Tidligere ble informasjonsteknologi (IT) og driftsteknologi (OT) betraktet hver for seg og fordelt på ulike fagområder. Men med den økende nettverksbyggingen og digitaliseringen av systemer og produksjon vokser disse områdene sammen. Cyber Security kan derfor ikke lenger betraktes isolert. Effektiv beskyttelse mot cyberangrep kan bare oppnås gjennom en samordnet tilnærming.
ISO 27000-serien av standarder definerer beskyttelsesmål for IT, med fokus på konfidensialitet. For OT-området er tilgjengeligheten til systemene avgjørende, som beskrevet i IEC 62443. Standardserien IEC 62443 har som mål å bidra til sikker drift av industrielle automatiseringssystemer (ICS-systemer) – fra design og helt til implementering og styring. For å oppnå dette definerer den i mange standarder regler for komponentprodusenter, systemintegratorer og driftsansvarlige: Komponentprodusentene må sørge for å sikre produktene, samtidig som deres samspill med maskinteknikere og anleggsbyggere må hensyntas. Driftsansvarlige er ansvarlig for sikre driftsforløp. IEC 62443 supplerer dermed ISO 27001-standarden. En vurdering av begge standardene er avgjørende for en helhetlig beskyttelse mot cyberangrep.
Strukturen til IEC 62443
Et spesielt trekk ved IEC 62443 er den helhetlige Design-in-tilnærmingen. Dette omfatter krav til driftsprosesser, systemer og komponenter. I tillegg definerer tilnærmingen både prosessuelle og tekniske tiltak.
Et sentralt sikkerhetskonsept i IEC 62443 er "Defence in Depth". Ved å legge flere sikkerhetsmekanismer etter hverandre blir det vanskeligere for angripere å trenge inn i systemet.
Implementering av IEC 62443 som operatør
Prosedyren "Ni trinn til en trygg investering".
En sikker automatiseringsløsning begynner med å definere hvilke ressurser som skal beskyttes. For disse gjennomføres det en trussel- og risikoanalyse. Disse analysene danner grunnlaget for å utlede risikoreduserende tiltak og de resulterende kravene til systemet og komponentene som brukes.
Beskyttelsesnivået i et anlegg fremgår likevel ikke bare av de tekniske egenskapene, men også av de aktive prosessene og personellets kunnskap. Et sikkert anlegg forutsetter permanent overvåking og pleie. Det omfatter nøyaktig kunnskap om installering og egenskaper – det vil si en nettverksplan og inventar over samtlige komponenter – på samme måte som administrering av brukere og rettigheter samt tilgangsdata.
Det finnes ingen standardløsning for alle bruksområder. En sikker automasjonsløsning må alltid tilpasses de individuelle omstendighetene. De iverksatte tiltakene må også gjennomgås med jevne mellomrom og tilpasses den nyeste kunnskapen. For å hjelpe deg har vi definert prosedyren "Ni trinn til en sikker investering". Denne tilnærmingen gjør det mulig for operatører og systemintegratorer å implementere Design-in for deres spesifikke løsning.
Implementering av IEC 62443 hos Phoenix Contact
Vårt komplette 360°-Security-konsept
360°-Security-konsept
Hos Phoenix Contact begynte vi å implementere IEC 62443 i 2017. Beskyttelse av systemer eller installasjoner kan imidlertid bare garanteres hvis de er sikret fra alle sider. Derfor har vi utviklet og implementert vårt 360°-sikkerhetskonsept - et komplett tilbud uten kompromisser.
Vår tilnærming til Cyber Security er helhetlig. Hver eneste komponent i vårt 360°-sikkerhetskonsept er derfor sertifisert i henhold til IEC 62443. Dette starter med en sikker utviklingsprosess som sørger for at produktene våre er utstyrt med robuste sikkerhetsfunksjoner helt fra starten av. Disse sikkerhetsfunksjonene er dypt integrert i produktene våre for å sikre omfattende beskyttelse. Vi tilbyr også sertifiserte tjenester som har som mål å kontinuerlig forbedre sikkerheten til kundene våre.
Utviklingsprosess sertifisert iht. IEC 62443-4-1
Vi innførte den sikre utviklingsprosessen sertifisert i henhold til IEC 62443-4-1 for komponentene våre allerede i 20218. Denne prosessen er basert på velprøvde prinsipper for Cyber Security og dybdeforsvar.
Siden den gang har transparent og åpen kommunikasjon om potensielle sikkerhetshull vært en viktig del av dette. Product Security Incident Response Team (PSIRT) publiserer derfor rapporter om potensielle sårbarheter og sørger for regelmessige sikkerhetsoppdateringer for produktene våre.
Produkter sertifisert etter IEC 62443-4-2
Sikre produkter er utviklet i samsvar med utviklingsprosessen i IEC 62443-4-1 og oppfyller de funksjonelle sikkerhetskravene i IEC 62443-4-2.
I 2021 ble PLCnext Control det første kontrollsystemet i verden som ble sertifisert i henhold til IEC 62443-4-1 ML3 /4-2 SL2 Feature Set. Andre trygge produkter er under utvikling eller sertifisering. Finn ut mer om de sikre produktene våre:
Tjenester sertifisert i henhold til IEC 62443-2-4
Tjenester sertifisert i henhold til IEC 62443-2-4
For å kunne utvikle, gi råd om, installere og vedlikeholde effektive sikkerhetsløsninger sammen med systemintegratorer og operatører, må de involverte teamene ha omfattende kompetanse innen Cyber Security og kunne demonstrere dette. Dette sikrer at alle sikkerhetstiltak oppfyller de høyeste standarder og implementeres på en effektiv måte.
Hos Phoenix Contact er de relevante teamene, også i utvalgte nasjonale selskaper, sertifisert i henhold til den internasjonale standarden IEC 62443-2-4. Denne sertifiseringen bekrefter at teamene våre har de nødvendige ferdighetene og prosessene for å integrere og drifte industrielle automasjonssystemer på en sikker måte. Denne kvalifiseringen gjør det mulig for oss å tilby våre kunder over hele verden pålitelige og sikre løsninger som oppfyller de nyeste kravene til Cyber Security.
Løsninger sertifisert etter IEC 62443-3-3
Det foreligger ingen generell løsning for implementering av standardene. Det er heller slik at reglene må implementeres etter individuelle ønsker og forhold. Hos Phoenix Contact utvikler vi ulike maler (blueprints) for ulike markeder og løsninger for bedre å kunne forklare og implementere de prosessrelaterte kravene så vel som de funksjonelle systemkravene.
I tillegg til den flertrinnede sikringsstrategien (Defense-in-Depth-konsept) viser "Blueprint Remote-Monitoring and -Control" blant annet segmentering i soner og Conduits, dataflytkontroll, sømløs kryptering av kommunikasjonen, herding av komponentene, opplæring av de ansatte rundt bevisste handlinger samt prosesser rundt patche- og risikostyring.
Denne løsningen er sertifisert i henhold til IEC 62443-3-3.
Vår Blueprint Remote-Monitoring and -Control, som er sertifisert av TÜV Süd i henhold til IEC 62443-3-3
Cyber Security blir lovbestemmelse
IEC 62443: Suksessfaktor for retningslinjer for Cyber Security
Med den nye Cyber Resilience Act (CRA), det nye NIS 2-direktivet og det nye maskindirektivet vil implementeringen av Cyber Security-tiltak i Europa bli juridisk bindende. Og ikke lenger bare for kritisk infrastruktur.
For å oppfylle de høye kravene i de nye sikkerhetsretningslinjene er det nyttig å ta utgangspunkt i internasjonale standarder. En av disse standardene er sikkerhetsstandarden IEC 62443. Z. IEC 62443 dekker for eksempel allerede mange av kravene som stilles av CRA. Både for den sikre utviklingsprosessen og for tekniske krav til produkter og systemer. IEC 62443 er derfor en lovende kandidat til en fremtidig harmonisert CRA-standard.
IEC 62443 tilbyr også omfattende støtte for samsvar med det nye sikkerhetsdirektivet NIS 2 eller det nye maskindirektivet.
LinkedIn: Industrial Communication og Cyber Security Bli en del av fellesskapet vårt i dag!
Ved hjelp av industrielle kommunikasjonsnettverk kan vi overføre data fra felten via styrenivået og helt til skyen absolutt pålitelig. På vår LinkedIn-side Industrial Communication og Cyber Security vil du finne interessant informasjon om temaene nettverkstilgjengelighet, Cyber Security, fjernvedlikehold og mye mer. Bli en del av fellesskapet vårt!