Inom ramen för framtidsprojektet Industri 4.0 sammankopplas tillverkning och IT allt mer. Därför växer även utmaningarna inom Security-fältet. Hackare hittar ofta en ingång till företagsnätverket vid gränssnitten för Office-IT och produktionsnätverket.
En studie från programvaruföretaget Kaspersky från år 2017 visar att ungefär var tredje cyberattack riktar sig mot industriella styrsystem och därmed tillverkningsföretag. Varje år stiger förekomsten av skadeprogram och de associerade skador som fokuserar på industrisystem. Det aktuella fallet med skadeprogrammet ”Triton” i förbindelse med en cyberattack mot ett Safety Instrumented System (SIS) visar att detta scenario är i högsta grad verkligt.
Safety- och Security-världarna möts när automationslösningar för implementering av funktionell säkerhet blir en måltavla för hackare. Därför måste en gemensam strategi utvecklas i framtiden.
Industriella styrsystem är nu utsatta för många hotbilder, som till exempel:
- Infektioner med skadlig programvara via internet och intranät
- Infiltration av skadlig programvara via flyttbara dataminnen och annan extern maskinvara
- Social Engineering, det vill säga att påverka personer med målet att få dem att bete sig på ett särskilt sätt
- Mänskligt felaktigt handhavande och sabotage
- Inbrott i systemet via fjärrövervakningslösningar
- Via internet med hjälp av styrkomponenter kopplade till IP-protokoll
- Tekniska oegentligheter och force majeure
- Hackade smartphones i tillverkningsområdet samt från Extranet- och molnkomponenter
Hur skiljer sig cybersäkerhet från funktionell säkerhet?
Funktionell säkerhet står för korrekt funktion hos säkerhetsrelaterade (styr-)system och andra riskreducerande åtgärder. Om ett kritiskt fel uppstår här, initierar styrsystemet det säkra läget. Kraven på kvaliteten för de säkerhetsrelevanta styrsystemsdelarna beskrivs i B-standarden EN ISO 13849 samt serien IEC 61508/IEC 61511/IEC 62061. Beroende på risknivån klassificeras de motsvarande riskreducerande åtgärderna i olika säkerhetsnivåer: Performance Level (PL) eller Safety Integrity Level (SIL).
Cybersäkerheten å andra sidan skyddar bra mot attacker på dina datas tillgänglighet, integritet och konfidentialitet. Detta kan åstadkommas genom förebyggande eller reaktiva tekniska och organisatoriska åtgärder. Om man försummar Security-aspekten i Safety-området kan detta få direkta effekter på tillverkningsanordningarna. Detta kan också ha indirekta effekter på produktionsprocessen och därmed på slutprodukten. Exempel är farmaceutiska artiklar eller säkerhetsrelevanta komponenter för bilindustrin. Här kan förändringar ha avsevärda negativa effekter på konsumenten. Standarden IEC 61511-1 kräver därför en IT-riskbedömning för processindustrins säkerhetsanordningar. Operatören måste genomföra IT-riskbedömningen enligt NA-proceduren från NAMUR och de definierade åtgärderna. På så sätt bedöms en PLT-säkerhetsanordning enligt den senaste tekniska utvecklingen och därmed uppfylls omsorgsplikten.
Aktiv sökning efter svaga punkter
Både när det gäller den funktionella säkerheten och åtkomstsäkerheten måste du först bedöma den potentiella risken baserat på en riskbedömning, eller rättare sagt en IT-hotbildsanalys. Här ser vi redan en väsentlig skillnad vad gäller tillvägagångssättet. Konstruktörerna måste vänja sig vid mer statiska risker, som mekaniska eller elektriska risker, vid riskbedömning enligt maskindirektivet. IT-säkerhetsexperten befinner sig däremot i en miljö som hela tiden ändras. Där letar angripare alltid aktivt med nya metoder efter svaga punkter, som ses som systematiska fel inom området funktionell säkerhet.
En annan viktig faktor är den mänskliga faktorn: Inom maskinsäkerhetsfältet talar man om förutsebart missbruk om exempelvis skyddsanordningar som dörrbrytare manipuleras av driftspersonal. Men när det kommer till storskaliga cyberangrepp på industrianläggningar måste du utgå ifrån en hög grad av kriminell energi.
Första utgångspunkt i ett NAMUR-arbetsblad
Tillverkare, systemintegratorer och operatörer måste säkra produktlivscykelns säkerhetsrelaterade system eller komponenter. För detta kan de inom hanteringen av den funktionella säkerheten applicera en behovsanpassad kvalitetsledning enligt IEC 61508. Inom Security-världen finns det en jämförbar lösning i och med ”Information Security Management” enligt ISO 27000.
Arbetsbladet ”IT-riskbedömning av PLT-säkerhetsanordningar” från NAMUR är ett första pragmatiskt steg mot en integrering av dessa båda teman. Det beskriver en procedur för IT-riskbedömning baserat på säkerhetsstandarden IEC 62443. Denna procedur utgör grunden för höjningen av motståndskraften hos PLT-säkerhetsanordningen mot IT-hotbilder. För detta ändamål utförs de tre stegen i första fasen som exempel för ett system som vanligtvis återfinns i NAMUR-medlemsföretagen. På så vis kan användaren kontrollera procedurens användbarhet för PLT-säkerhetsanordningen som ska bedömas. Den andra fasen är kontrollen av implementeringen av åtgärderna samt dokumentationen av IT-säkerhetskraven och ramvillkoren. Denna andra fas måste genomföras individuellt för varje PLT-säkerhetsanordning.
Riskbedömning enligt NAMUR-rekommendationen NA 163
Ingen inskränkning av den funktionella integriteten
Maskin- och programvaran för det system som undersöks delas in i två områden:
- Kärnan i PLT-säkerhetsanordningen i zon A omfattar PLT-säkerhetsanordningen enligt definitionen i IEC 61511-1. Dit hör logiksystemet, in- och utgångsmoduler inklusive Remote-I/O samt ställdon och givare. Anslutningar och eventuella befintliga nätverkskomponenter som används för koppling av enheter i zon A, som exempelvis kablar eller switchar, är också tilldelade denna zon.
- Den utökade PLT-säkerhetsanordningen i zon B är tilldelad komponenter som inte är nödvändiga för utförandet av säkerhetsfunktionen. De kan däremot påverka beteendet hos den grundläggande PLT-säkerhetsanordningen. Exempel på detta är operatörsinmatningspaneler, visualiseringsstationer, programmeringsenheten för PLT-säkerhetsanordningen samt anordningar för givar-/ställdonskonfigurering.
Det finns komponenter och system i miljön som inte kan sorteras direkt eller indirekt i PLT-säkerhetsanordningen. Men de kan vara anslutna till säkerhetsfunktionen. Dessa kan vara återställningskrav eller visualiseringen av säkerhetsfunktionens tillstånd.
Områdenas gemensamma mål är att inte inskränka säkerhetsanordningens funktionella integritet genom miljöpåverkan.
Omfattande utbildning av berörda personer
Du måste vidta åtgärder för att minska effekten av en komprometterad PLT-säkerhetsanordning eller motverka hot. Den mänskliga faktorn spelar en särskild roll i denna process. Över 50 procent av cybersäkerhetsincidenterna kan tillskrivas medarbetarna. Det är därför viktigt att det finns en IT-säkerhetsansvarig person för säkerhetsanordningen. Du bör öka medvetenheten hos alla berörda personer för specifikationen och designen av säkerhetsanordningen samt utbilda dem. Dessutom rekommenderas det att slutanvändare sluter sekretessavtal med tillverkare, leverantörer och externa företag med avseende på information och kunskap om säkerhetssystemet.