Hoe IEC 62443 implementeren

Met Industrie 4.0 en Industrial IoT staat de sector voor industriële automatisering en besturingssystemen voor interessante opportuniteiten. Deze opportuniteiten brengen ook beveiligingsdreigingen met zich mee: industriële omgevingen moeten voorbereid zijn op toenemende cyberaanvallen om schade aan apparatuur, downtime en veiligheidsproblemen te voorkomen.

Daarom hebben internationale experts op het gebied van industriële beveiliging richtlijnen voor industriële beveiliging ontwikkeld: de nieuwe IEC 62443 internationale industriële beveiligingsstandaard. Het bevat een uitgebreide reeks documenten die een grondige verzameling aanbevelingen bevatten voor het verdedigen van industriële netwerken tegen de bedreigingen van vandaag en morgen.

Elk bedrijf met industriële belangen moet IEC 62443 gebruiken om die belangen te beschermen. Spinae biedt nuttige informatie over de implementatie van IEC 62443 en helpt systeemintegrators en fabrieken bij het bereiken van sterke industriële beveiliging.

Industrial Control System Security

Het doel van industriële beveiliging

Het doel van industriële beveiliging is om het te-beveiligen-systeem te voorzien van twee elementaire concepten:

  • robuustheid (robustness)
  • veerkracht (resilience)

Robuustheid? Veerkracht? Wat wordt daarmee bedoeld?

Wel, met robuustheid wordt bedoeld: de mogelijkheid om te blijven werken tijdens een bepaald niveau van verstoring veroorzaakt door cyberdreigingen.

Veerkracht wordt gedefinieerd als het vermogen om het systeem te resetten of te herstellen na een ongewenste gebeurtenis met de minimaal mogelijke impact, volgens de aanvaardbare risico’s die door de organisatie zijn gedefinieerd. Kortom: snel terug kunnen opstarten nadat zich iets heeft voorgedaan waarvan je vooraf had ingeschat dat het zou kunnen gebeuren en had besloten dat te aanvaarden.

Wat is IEC 62443?

IEC-62443 is een reeks normen, waaronder technische rapporten, voor de beveiliging van industriële automatisering en besturingssystemen (Industrial Automation and Control Systems – IACS). Het biedt een systematische en praktische benadering van cybersecurity voor industriële systemen. Elke fase en elk aspect van industriële cyberbeveiliging wordt behandeld: van risicobeoordeling tot risicobehandeling.

Met behulp van de technieken beschreven in IEC 62443 kunnen industriële belanghebbenden de cyberveiligheidsrisico’s voor elk systeem beoordelen en beslissen hoe deze risico’s moeten worden aangepakt. IEC 62443 erkent dat niet elk systeem even kritisch is en definieert vijf beveiligingsniveaus (Security Levels – SL’s): van SL 0 (geen beveiliging) tot SL 4 (bestand tegen zogenaamde nation-state aanvallen).

Voor elk beveiligingsniveau worden specifieke beveiligingsvereisten gedefinieerd zodat elk industrieel systeem de juiste beveiliging heeft, waardoor de beschikbaarheid, veiligheid en intellectuele eigendom wordt beschermd. Alle partijen in het industriële ecosysteem hebben baat bij duidelijke verwachtingen: eigenaren en operators van machines, systeemintegrators, leveranciers van apparatuur, leveranciers van diensten en ook regelgevers.

Industrial Control Security

Overzicht van IEC 62443

IEC 62443 is onderverdeeld in vier categorieën: Algemeen (General), Beleid en Procedures (Policies and Procedures), Systeem (System) en Component (Component):

  • Algemeen (General): de algemene documenten bieden een overzicht van het industriële beveiligingsproces en introduceren essentiële concepten.
  • Beleid en procedures (Policies and Procedures): deze documenten onderstrepen het belang van beleid – zelfs de beste beveiliging is nutteloos als mensen niet zijn opgeleid en toegewijd zij om het te ondersteunen.
  • Systeem (System): omdat beveiliging alleen als een geïntegreerd systeem kan worden opgevat, bieden de systeemdocumenten essentiële richtlijnen voor het ontwerpen en implementeren van veilige systemen.
  • Component (Component): Omdat men geen stevig, solide gebouw kan bouwen met zwakke stenen, beschrijven de Component-documenten de vereisten waaraan moet voldaan worden voor beveiligde industriële componenten.
Overview of different specifications in IEC 62443

Uitdagingen bij de implementatie

Hoewel IEC 62443 veel deugden en voordelen heeft, brengt de implementatie ervan ook enkele uitdagingen met zich mee.

  1. De standaard is nog niet helemaal af. Verschillende specificaties in de standaard zijn nog niet gepubliceerd.
  2. De standaard is zeer uitgebreid: met een totale lengte van meer dan 800 pagina’s tot nu toe en bijkomende specificaties in de nabije toekomst, heb je heel wat tijd en inspanning nodig om de volledige standaard te lezen en te begrijpen.
  3. Het kost ondertussen meer dan €2000 om een volledig exemplaar van de standaard te verkrijgen

Gelukkig is heel wat nuttige informatie beschikbaar op internet, zoals op de websites van de International Society of Automation (ISA) en van het Industrial Internet Consortium (IIC). Je kan veel leren over de beste werkwijzen voor het beschermen van uw industriële systemen door het lezen van deze websites. Belangrijk: na het bijleren: neem actie! Inzicht in het probleem zal het probleem niet oplossen.

Laat je begeleiden

Uw productieproces is waar het om draait in uw bedrijf. Bescherm dat op voldoende wijze. Laat je door Spinae begeleiden om een adequaat beveiligingsniveau te bekomen dat past voor uw onderneming.

Je hoeft niet je ganse productieproces overhoop te gooien. Wij helpen u om de beste verhouding te bekomen tussen kosten en beveiligingsniveau.

Neem vandaag nog contact op voor een verkennend gesprek.