IEC 62443 – a norma para a cibersegurança industrial Para evitar riscos, a série de normas internacionais IEC 62443 define os requisitos de segurança para fabricantes, integradores e operadores.
IEC 62443 e ISO 27001 em resumo
Cibersegurança em IT e OT
No passado, a tecnologia da informação (IT) e a Operational Technology (OT) eram consideradas separadamente e atribuídas a diferentes áreas especializadas. No entanto, com o aumento da interligação e digitalização dos sistemas e da produção, estas áreas estão a crescer em conjunto. Por conseguinte, a cibersegurança já não pode ser considerada isoladamente. Uma proteção eficiente contra ciberataques só pode ser desenvolvida através de uma estratégia coordenada.
A série de normas ISO 27000 define objetivos de proteção para IT, com foco na confidencialidade. Para a área de OT, a disponibilidade dos sistemas é crucial, conforme descrito na IEC 62443. A série de normas IEC 62443 destina-se a ajudar na operação segura de sistemas de automação industriais (sistemas ICS) – do design à implementação, passando pela gestão. Para esta finalidade, são descritas as regras padrão para os fabricantes de componentes, integradores de sistemas e operadores: os fabricantes de componentes devem garantir a proteção dos produtos, sendo necessário assegurar a interação segura entre os fabricantes de máquinas e de sistemas. Em conclusão, o operador é responsável por processos operacionais seguros. Assim, a IEC 62443 complementa a norma ISO 27001. A consideração de ambas as normas é decisiva para uma proteção integrada contra ciberataques.
Estrutura da IEC 62443
Uma característica especial da IEC 62443 é a abordagem integrada de Security-by-Design. Esta inclui requisitos para processos operacionais, sistemas e componentes. Além disso, a abordagem define medidas processuais e técnicas.
Um conceito central de segurança da IEC 62443 é a "Defense in Depth". O escalonamento de vários mecanismos de segurança, um após o outro, dificulta a penetração dos atacantes no sistema.
Implementação da IEC 62443 como operador
Procedimento "Nove passos para uma instalação segura".
Uma solução de automação segura começa com a definição do ativo a proteger. Para o efeito, é realizada uma análise das ameaças e dos riscos. Estas análises formam a base para derivar medidas de minimização de riscos e os requisitos daí resultantes para o sistema e os componentes utilizados.
No entanto, o nível de proteção de uma instalação não se baseia apenas nas características técnicas, mas também nos processos vivenciados e no know-how do pessoal. Uma instalação segura requer uma monitorização e conservação permanentes. Isto inclui um conhecimento profundo da instalação e suas características, ou seja, um plano da rede e um inventário de todos os componentes, bem como uma gestão dos utilizadores, direitos e dos dados de acesso.
Aqui não existe uma solução padrão para todos os casos de aplicação. Uma solução de automação segura deve ser sempre adaptada individualmente de acordo com as circunstâncias. As medidas implementadas também devem ser verificadas periodicamente e adaptadas ao estado atual da técnica. Para ajudar, definimos o procedimento "Nove passos para uma instalação segura". Este procedimento permite aos operadores e integradores de sistemas implementarem a Security-by-Design para a sua solução específica.
Implementação da IEC 62443 na Phoenix Contact
O nosso conceito de segurança a 360° completo
Conceito de segurança a 360°
Na Phoenix Contact, começámos a implementar a IEC 62443 em 2017. No entanto, a proteção de sistemas ou instalações só pode ser garantida com uma proteção de todos os lados. Por esta razão, desenvolvemos e implementámos o nosso conceito de segurança a 360° – uma oferta completa e sem compromissos.
A nossa abordagem à cibersegurança é integrada. Cada componente do nosso conceito de segurança a 360° é, por conseguinte, certificado conforme IEC 62443. Isto começa com um processo de desenvolvimento seguro que garante que os nossos produtos estão desde o início equipados com funções de segurança robustas. Estas funcionalidades de segurança estão profundamente integradas nos nossos produtos para garantir uma proteção abrangente. Também oferecemos serviços certificados com o objetivo de melhorar continuamente a segurança dos nossos clientes.
Processo de desenvolvimento certificado conforme IEC 62443-4-1
Já em 2018 introduzimos para os nossos componentes o processo de desenvolvimento seguro certificado conforme IEC 62443-4-1. Este processo baseia-se em princípios comprovados de cibersegurança e Defense in Depth.
Desde então, a comunicação transparente e aberta sobre possíveis falhas de segurança tem sido uma parte importante deste processo. Por isto, a Product Security Incident Response Team (PSIRT), também certificada conforme a IEC 62443-4-1, publica comunicados sobre possíveis vulnerabilidades e disponibiliza atualizações de segurança regulares para os nossos produtos.
Produtos certificados conforme IEC 62443-4-2
Os produtos seguros são desenvolvidos de acordo com o processo de desenvolvimento da IEC 62443-4-1 e cumprem os requisitos de segurança funcional da IEC 62443-4-2.
Em 2021, o PLCnext Control tornou-se o primeiro controlador do mundo a ser certificado conforme IEC 62443-4-1 ML3 /4-2 SL2 Feature Set. Temos agora dezenas de produtos certificados de acordo com a norma IEC 62443-4-2, incluindo os routers de segurança mGuard desde a Feira de Hanover 2025. De momento, estão a ser desenvolvidos ou certificados outros produtos.
Saiba mais sobre os nossos produtos seguros:
Serviços certificados conforme IEC 62443-2-4
Serviços certificados conforme IEC 62443-2-4
Para desenvolver, aconselhar, instalar e manter soluções de segurança eficazes em conjunto com integradores de sistemas e operadores, as equipas envolvidas devem possuir habilidades abrangentes de cibersegurança e ser capazes de comprová-las. Isto garante que todas as medidas de segurança cumprem os mais elevados padrões e são implementadas eficazmente.
Na Phoenix Contact, as equipas relevantes, incluindo as de filiais selecionadas, são certificadas conforme a norma internacional IEC 62443-2-4. Esta certificação confirma que as nossas equipas possuem as competências e os processos necessários para integrar e operar sistemas de automação industrial com segurança. Esta qualificação permite-nos aos nossos clientes em todo o mundo soluções fiáveis e seguras que cumprem os mais recentes requisitos de cibersegurança.
Soluções certificadas conforme IEC 62443-3-3
Não existe uma solução global para a implementação das normas. Pelo contrário, as regras devem ser implementadas de acordo com as necessidades e circunstâncias individuais. Para explicar melhor e poder implementar os requisitos processuais, bem como os requisitos funcionais do sistema, na Phoenix Contact desenvolvemos vários modelos (blueprints) para diferentes mercados e soluções.
Além da estratégia de cobertura de risco de vários níveis (conceito Defense in Depth), o blueprint "Remote Monitoring and Control" mostra, entre outros, a segmentação em zonas e condutas, o controlo do fluxo de dados, uma encriptação consistente da comunicação, um endurecimento dos componentes, formações de sensibilização para colaboradores e também processos para a gestão de correções e de risco.
Esta solução foi certificada conforme a IEC 62443-3-3.
O nosso blueprint "Remote Monitoring and Control", certificado pela TÜV Süd de acordo com a IEC 62443-3-3
A cibersegurança torna-se lei
IEC 62443: fator de sucesso para diretivas relativas à cibersegurança
Com o novo Regulamento de Ciber-Resiliência (CRA), a nova diretiva SRI 2 e o novo regulamento Máquinas, a implementação de medidas de cibersegurança na Europa é exigida por lei. E já não apenas para as infraestruturas críticas.
Para cumprir os elevados requisitos das novas diretivas de segurança, é útil orientar-se por normas internacionais. Um destes padrões é a norma de segurança IEC 62443. Por exemplo, a IEC 62443 já abrange muitos dos requisitos estipulados pela CRA. Tanto para o processo de desenvolvimento seguro como para os requisitos técnicos dos produtos e sistemas. Por conseguinte, a IEC 62443 é uma candidata promissora para uma futura norma harmonizado da CRA.
A IEC 62443 também oferece uma ajuda abrangente para cumprir a nova diretiva relativa a segurança SRI 2 ou o novo regulamento Máquinas.
LinkedIn: Comunicação Industrial e Cibersegurança Faça agora parte da nossa comunidade!
As redes de comunicação industrial permitem-nos transmitir de forma fiável os dados do campo para o nível de controlo ou mesmo para a cloud. Na nossa página de LinkedIn Comunicação Industrial e Cibersegurança pode encontrar informações interessantes sobre os temas disponibilidade de redes, cibersegurança, manutenção remota e muito mais. Faça parte da nossa comunidade!