IEC 62443: standard kybernetické bezpečnosti OT pro průmysl
IEC 62443 je mezinárodní norma pro zabezpečení průmyslových automatizačních a řídicích systémů (IACS). Definuje čtyři úrovně Security Level a přímo odpovídá požadavkům článku 21 NIS2.
Co je IEC 62443?
IEC 62443 je série norem vyvinutá organizací IEC TC 65 speciálně pro průmyslové automatizační a řídicí systémy (IACS). Zahrnuje organizační řízení bezpečnosti, návrh systémů a požadavky na komponenty.
Na rozdíl od obecných norem bezpečnosti IT (ISO 27001) IEC 62443 výslovně řeší charakteristiky prostředí OT: dlouhé životní cykly, požadavky na reálný čas, starší protokoly a bezpečnostní požadavky.
Norma definuje úrovně zabezpečení (SL 1–4) a metodologii cílové úrovně zabezpečení (SL-T), která umožňuje organizacím prioritizovat bezpečnostní investice na základě rizika, žádný univerzální kontrolní seznam.
Čtyři úrovně Security Level vysvětleny
Security Levels popisují schopnost odolávat útokům konkrétních hrozeb. Pro většinu prostředí OT pokrytých NIS2 je SL 2 výchozím bodem.
Ochrana před neúmyslnými chybami
Základní bezpečnostní opatření zabraňující chybám z nepozornosti. Předpokládá útočníka bez motivace nebo specifických dovedností. Vhodné, když jsou důsledky omezené.
- •Autentizace na pracovních stanicích HMI
- •Síťová segmentace mezi IT a OT
- •Základní logování přihlašovacích událostí
Ochrana před záměrnými útoky se středními dovednostmi
Opatření zaměřená na útočníka se znalostí průmyslových systémů a záměrnou motivací. Vyžadováno pro většinu prostředí OT pokrytých NIS2.
- •Řízení přístupu na základě rolí (RBAC)
- •Šifrovaná komunikace kde je to technicky proveditelné
- •Správa záplat dle doporučení výrobce
- •Vzdálený přístup přes jump server s MFA
- •Postup řízení změn pro systémy OT
Ochrana před sofistikovanými útoky s odborností v OT
Útočník má specifické znalosti o cílovém systému a dostatek prostředků pro cílené útoky. Relevantní pro kritickou infrastrukturu (energie, voda, doprava) a instalace SEVESO.
- •Dvoufaktorová autentizace pro veškerý přístup k OT
- •Zónová segmentace s přísnější politikou kanálů
- •Pasivní monitoring OT (analýza síťového provozu)
- •Hodnocení bezpečnosti dodavatelského řetězce pro OEM dodavatele
- •Roční penetrační test OT perimetru
Ochrana před státem sponzorovanými nebo organizovanými útoky
Útočník má rozsáhlé zdroje, pokročilé nástroje a dlouhodobou motivaci. Pro naprostou většinu průmyslových podniků nevyžadováno, ale relevantní pro národně kritickou infrastrukturu.
- •Fyzické oddělení bezpečnostně kritických systémů (vzduchová mezera kde je to vhodné)
- •Kryptografická kontrola integrity softwarových komponent
- •Specializované OT-SOC monitorování
- •Formální hodnocení rizik IACS dle IEC 62443-3-2
NIS2 článek 21: křížový odkaz na IEC 62443
Každý požadavek článku 21 NIS2 odpovídá jedné nebo více částem IEC 62443. Tato tabulka ukazuje, kde IEC 62443 poskytuje technické pokyny k implementaci.
| Článek | Požadavek | IEC 62443 | Implementace |
|---|---|---|---|
| Art. 21(2)(a) | Analýza rizik a zásady bezpečnosti informací | IEC 62443-2-1 / 3-2 | Politika řízení bezpečnosti (CSMS) a metodologie hodnocení rizik IACS |
| Art. 21(2)(b) | Zvládání incidentů | IEC 62443-2-1 | Plán reakce na incidenty, komunikační postupy a plány obnovy pro OT |
| Art. 21(2)(c) | Kontinuita provozu a krizové řízení | IEC 62443-2-1 | Politika zálohování a obnovy specifická pro konfigurace OT a programy PLC |
| Art. 21(2)(d) | Bezpečnost dodavatelského řetězce | IEC 62443-2-4 | Bezpečnostní požadavky na poskytovatele služeb IACS (OEM dodavatelé, systémoví integrátoři) |
| Art. 21(2)(e) | Bezpečnost při pořizování a vývoji | IEC 62443-3-3 / 4-2 | Produktové požadavky na komponenty OT: autentizace, opravitelnost, logování |
| Art. 21(2)(f) | Správa zranitelností a jejich zveřejňování | IEC 62443-2-3 | Správa záplat pro systémy IACS a postup pro zveřejňování zranitelností |
| Art. 21(2)(g) | Základní bezpečnostní postupy pro sítě a systémy | IEC 62443-3-3 | Systémové bezpečnostní požadavky (SRs): autentizace, řízení přístupu, síťová segmentace |
| Art. 21(2)(h) | Kryptografie a šifrování | IEC 62443-3-3 SR 4.3 | Šifrování komunikace a ukládání dat kde je to technicky proveditelné v kontextu OT |
Jak GCG aplikuje IEC 62443
Analýza rizik IACS (62443-3-2)
Inventarizace zón a kanálů, stanovení cílové úrovně zabezpečení (SL-T) pro každou zónu na základě dopadu × pravděpodobnosti.
Analýza mezer (62443-3-3)
Hodnocení vašeho aktuálního prostředí OT vůči systémovým bezpečnostním požadavkům (SRs) dle IEC 62443-3-3 pro váš cílový SL.
Segmentace a hardening
Implementace zón, kanálů a kompenzačních opatření na základě zjištění analýzy mezer.
Hodnocení dodavatelů (62443-2-4)
Hodnocení bezpečnostních požadavků na OEM dodavatele a systémové integrátory dle článku 21 odst. 2 písm. d) NIS2.
Reporting a balíček důkazů
Písemná zpráva z analýzy mezer, registr rizik, síťové diagramy a bezpečnostní politika: balíček důkazů, který regulátor očekává.
Pravidelné přezkoumání
NIS2 vyžaduje kontinuální přístup. Roční nebo dvouletní přehodnocení udržují vaši pozici IEC 62443 aktuální.
Nejčastěji kladené otázky k IEC 62443
Požádejte o analýzu mezer IEC 62443
Určíme váš cílový bezpečnostní stupeň, zmapujeme mezery a dodáme prioritizovaný plán nápravy.