IEC 62443: standard kybernetické bezpečnosti OT pro průmysl

IEC 62443 je mezinárodní norma pro zabezpečení průmyslových automatizačních a řídicích systémů (IACS). Definuje čtyři úrovně Security Level a přímo odpovídá požadavkům článku 21 NIS2.

Norma

Co je IEC 62443?

IEC 62443 je série norem vyvinutá organizací IEC TC 65 speciálně pro průmyslové automatizační a řídicí systémy (IACS). Zahrnuje organizační řízení bezpečnosti, návrh systémů a požadavky na komponenty.

Na rozdíl od obecných norem bezpečnosti IT (ISO 27001) IEC 62443 výslovně řeší charakteristiky prostředí OT: dlouhé životní cykly, požadavky na reálný čas, starší protokoly a bezpečnostní požadavky.

Norma definuje úrovně zabezpečení (SL 1–4) a metodologii cílové úrovně zabezpečení (SL-T), která umožňuje organizacím prioritizovat bezpečnostní investice na základě rizika, žádný univerzální kontrolní seznam.

Části
IEC 62443-2-1
Systém řízení bezpečnosti (CSMS)
IEC 62443-2-3
Správa záplat pro IACS
IEC 62443-2-4
Bezpečnost pro poskytovatele služeb IACS
IEC 62443-3-2
Hodnocení rizik pro IACS
IEC 62443-3-3
Systémové bezpečnostní požadavky (SRs)
IEC 62443-4-2
Technické bezpečnostní požadavky na komponenty
Security Levels

Čtyři úrovně Security Level vysvětleny

Security Levels popisují schopnost odolávat útokům konkrétních hrozeb. Pro většinu prostředí OT pokrytých NIS2 je SL 2 výchozím bodem.

SL 1

Ochrana před neúmyslnými chybami

Základní bezpečnostní opatření zabraňující chybám z nepozornosti. Předpokládá útočníka bez motivace nebo specifických dovedností. Vhodné, když jsou důsledky omezené.

  • Autentizace na pracovních stanicích HMI
  • Síťová segmentace mezi IT a OT
  • Základní logování přihlašovacích událostí
SL 2

Ochrana před záměrnými útoky se středními dovednostmi

Opatření zaměřená na útočníka se znalostí průmyslových systémů a záměrnou motivací. Vyžadováno pro většinu prostředí OT pokrytých NIS2.

  • Řízení přístupu na základě rolí (RBAC)
  • Šifrovaná komunikace kde je to technicky proveditelné
  • Správa záplat dle doporučení výrobce
  • Vzdálený přístup přes jump server s MFA
  • Postup řízení změn pro systémy OT
SL 3

Ochrana před sofistikovanými útoky s odborností v OT

Útočník má specifické znalosti o cílovém systému a dostatek prostředků pro cílené útoky. Relevantní pro kritickou infrastrukturu (energie, voda, doprava) a instalace SEVESO.

  • Dvoufaktorová autentizace pro veškerý přístup k OT
  • Zónová segmentace s přísnější politikou kanálů
  • Pasivní monitoring OT (analýza síťového provozu)
  • Hodnocení bezpečnosti dodavatelského řetězce pro OEM dodavatele
  • Roční penetrační test OT perimetru
SL 4

Ochrana před státem sponzorovanými nebo organizovanými útoky

Útočník má rozsáhlé zdroje, pokročilé nástroje a dlouhodobou motivaci. Pro naprostou většinu průmyslových podniků nevyžadováno, ale relevantní pro národně kritickou infrastrukturu.

  • Fyzické oddělení bezpečnostně kritických systémů (vzduchová mezera kde je to vhodné)
  • Kryptografická kontrola integrity softwarových komponent
  • Specializované OT-SOC monitorování
  • Formální hodnocení rizik IACS dle IEC 62443-3-2
Mapování NIS2

NIS2 článek 21: křížový odkaz na IEC 62443

Každý požadavek článku 21 NIS2 odpovídá jedné nebo více částem IEC 62443. Tato tabulka ukazuje, kde IEC 62443 poskytuje technické pokyny k implementaci.

ČlánekPožadavekIEC 62443Implementace
Art. 21(2)(a)Analýza rizik a zásady bezpečnosti informacíIEC 62443-2-1 / 3-2Politika řízení bezpečnosti (CSMS) a metodologie hodnocení rizik IACS
Art. 21(2)(b)Zvládání incidentůIEC 62443-2-1Plán reakce na incidenty, komunikační postupy a plány obnovy pro OT
Art. 21(2)(c)Kontinuita provozu a krizové řízeníIEC 62443-2-1Politika zálohování a obnovy specifická pro konfigurace OT a programy PLC
Art. 21(2)(d)Bezpečnost dodavatelského řetězceIEC 62443-2-4Bezpečnostní požadavky na poskytovatele služeb IACS (OEM dodavatelé, systémoví integrátoři)
Art. 21(2)(e)Bezpečnost při pořizování a vývojiIEC 62443-3-3 / 4-2Produktové požadavky na komponenty OT: autentizace, opravitelnost, logování
Art. 21(2)(f)Správa zranitelností a jejich zveřejňováníIEC 62443-2-3Správa záplat pro systémy IACS a postup pro zveřejňování zranitelností
Art. 21(2)(g)Základní bezpečnostní postupy pro sítě a systémyIEC 62443-3-3Systémové bezpečnostní požadavky (SRs): autentizace, řízení přístupu, síťová segmentace
Art. 21(2)(h)Kryptografie a šifrováníIEC 62443-3-3 SR 4.3Šifrování komunikace a ukládání dat kde je to technicky proveditelné v kontextu OT
Co děláme

Jak GCG aplikuje IEC 62443

01

Analýza rizik IACS (62443-3-2)

Inventarizace zón a kanálů, stanovení cílové úrovně zabezpečení (SL-T) pro každou zónu na základě dopadu × pravděpodobnosti.

02

Analýza mezer (62443-3-3)

Hodnocení vašeho aktuálního prostředí OT vůči systémovým bezpečnostním požadavkům (SRs) dle IEC 62443-3-3 pro váš cílový SL.

03

Segmentace a hardening

Implementace zón, kanálů a kompenzačních opatření na základě zjištění analýzy mezer.

04

Hodnocení dodavatelů (62443-2-4)

Hodnocení bezpečnostních požadavků na OEM dodavatele a systémové integrátory dle článku 21 odst. 2 písm. d) NIS2.

05

Reporting a balíček důkazů

Písemná zpráva z analýzy mezer, registr rizik, síťové diagramy a bezpečnostní politika: balíček důkazů, který regulátor očekává.

06

Pravidelné přezkoumání

NIS2 vyžaduje kontinuální přístup. Roční nebo dvouletní přehodnocení udržují vaši pozici IEC 62443 aktuální.

Nejčastěji kladené otázky k IEC 62443

Požádejte o analýzu mezer IEC 62443

Určíme váš cílový bezpečnostní stupeň, zmapujeme mezery a dodáme prioritizovaný plán nápravy.