Priemyselná bezpečnosť s radom noriem IEC 62443

Séria dokumentov IEC 62443 je medzinárodná smernica určená pre definovanie flexibilného rámca na zvýšenie kybernetickej bezpečnosti systému automatizácie riadenia výroby.

Normami IEC 62443 by sme sa mali zaoberať všetci tí, ktorí ako prevádzkovatelia zariadenia alebo výrobcovia prístrojov máme na mysli nielen ochranu svojich pracovníkov pred nebezpečenstvami vyvolanými strojovým zariadením, ale chceme aj svoje stroje a zariadenia chrániť pred manipuláciou nepovolanými osobami a útokmi hackerov.

Tieto normy nám poskytnú rozsiahle informácie o tom, ako chrániť prístup k strojom a zariadeniam, príslušným sieťam a riadiacim systémom pred zneužitím.

Zároveň umožnia prevádzkovateľom zariadení a výrobcom strojov najlepšiu možnú orientáciu pri hľadaní vhodných riešení bezpečnosti pre výrobné zariadenia.

IEC 62443 predstavuje základné požiadavky na priemyselnú bezpečnosť


Zvnútra prichádza 80% kybernetických incidentov

Hľadaním účinných opatrení kybernetickej bezpečnosti priemyselných OT (Operational Technology) systémov sa zaoberajú rôzne inštitúcie na celom svete. Jednotlivé koncepcie majú svoj historický vývoj a líšia sa podľa miesta a času ich vzniku, a pristupujú k riešeniu kybernetickej bezpečnosti z rôznych uhlov pohľadu.

Priekopníkmi boli inštitúcie ako NIST, NERC, ANSI/ISA a ďalšie, ktoré mali prevažne národnú alebo regionálnu pôsobnosť (USA, Kanada, Mexiko, atď.).

Kybernetické hrozby sa neustále vyvíjajú a prinášajú nové spôsoby útokov. Štatistiky kybernetických incidentov jednoznačne potvrdzujú, že cir. 20% útokov je “zvonku“ systémov a asi 80% útokov je “zvnútra“ systémov.

Ukazuje sa, že opatrenia založené na organizačných opatreniach a “ľudskom faktore“ poskytujú iba čiastočnú a pre OT systémy málo účinnú kybernetickú bezpečnosť.

Kým v minulosti postačovalo na dosiahnutie kybernetickej bezpečnosti implementovať organizačné a procesné opatrenia v kombinácii s jednoduchými technickými riešeniami (napr. firewall na perimetri systému pre oddelenie sietí, prihlasovacie meno/heslo alebo monitoring komunikácií) v súčasnosti už takéto opatrenia zďaleka nepostačujú.

Organizačné opatrenia poskytujú iba čiastočnú kybernetickú ochranu


Koncept “Defense-in-depth“ a norma IEC 62443 

Spoľahlivé a overené opatrenia v oblasti kybernetickej bezpečnosti v súčasnosti predstavuje viacúrovňový koncept “defense-in-depth“ implementovaný v každom jednotlivom prístroji (koncovom zariadení), ako aj na úrovni systému.

Jednotlivé funkcie aktívnej kybernetickej bezpečnosti defense-in-depth musia byť implementované na úrovni hardvéru a operačného systému koncových zariadení.

Tento koncept vznikol vďaka spolupráci viacerých európskych užívateľov a prevádzkovateľov systémov kritickej infraštruktúry s cieľom formulovať požiadavky, opatrenia a mechanizmy účinného riešenia kybernetickej bezpečnosti súčasnosti a aj s výhľadom do budúcnosti.

Spoľahlivé a overené opatrenia predstavuje viacúrovňový koncept “defense-in-depth“

V súčasnosti je koncept “defense-in-depth“ podporovaný renomovanými výrobcami prístrojov OT a je implementovaný v európskych spoločnostiach prevádzkujúcich energetické systémy.

Tento koncept je aj súčasťou odporúčanej normy IEC 62443 (koncepcia pre priemyselnú automatizáciu a riadiace systémy).

Rad noriem IEC 62443 ponúka v súčasnosti prevádzkovateľom zariadení a výrobcom prístrojov najlepšiu možnú orientáciu pri hľadaní vhodných riešení bezpečnosti pre priemyselné a výrobné zariadenia.

Tieto normy poskytujú rozsiahle informácie o tom, ako chrániť prístup k strojom a zariadeniam, príslušným sieťam a riadiacim systémom pred zneužitím.

“Defense-in-depth“ je súčasťou koncepcie pre priemyselnú automatizáciu a riadiace systémy


Opatrenia nemôžu viesť k požadovanému úspechu

IEC 62443 predstavuje základné požiadavky na bezpečnosť a vysvetľuje, aké opatrenia možno dosiahnuť. Okrem toho sa opisuje koncepcia „Defense-in-depth“ ako základ ochrany pred kybernetickými útokmi.

Ďalej norma uvádza, ako vyhľadať pomocou posúdenia rizika bezpečnosti vhodné opatrenia, ktorými je možné sa chrániť pred rôznou formou útoku. Základom pochopenia Industrial Security je pritom skutočnosť, že samotné opatrenia nemôžu viesť k požadovanému úspechu.

Priemyselná bezpečnosť musí byť výsledkom pôsobenia rôznych účastníkov a rôznych opatrení. Pre dosiahnutie primeranej ochrany je nevyhnutné, aby sa tohto procesu zúčastnili výrobcovia, integrátori systémov a prevádzkovatelia.

Ktoré súčasti normy sú dôležité najmä pre Vás a čo je obsahom jednotlivých častí, to sa dozviete tu: Séria bezpečnostných noriem IEC 62443.

Ak by ste sa chceli dozvedieť viac o sérii bezpečnostných noriem IEC 62433 (koncepcia pre priemyselnú automatizáciu a riadiace systémy), potom si nezabudnite pozrieť offline webinár v priloženom videu nižšie.

Offline Webinar: Využitie požiadaviek na úroveň bezpečnosti podľa IEC 62443

Automatizacia365.sk

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená. Vyžadované polia sú označené *