IEC 62443: norma bezpieczeństwa OT dla przemysłu
IEC 62443 to międzynarodowa norma bezpieczeństwa przemysłowych systemów automatyki i sterowania (IACS). Definiuje cztery poziomy Security Level i bezpośrednio odpowiada wymaganiom art. 21 NIS2.
Co to jest IEC 62443?
IEC 62443 to seria norm opracowana przez IEC TC 65 specjalnie dla Przemysłowych Systemów Automatyki i Sterowania (IACS). Obejmuje organizacyjne zarządzanie bezpieczeństwem, projektowanie systemów i wymagania dla komponentów.
W przeciwieństwie do ogólnych norm bezpieczeństwa IT (ISO 27001), IEC 62443 wprost uwzględnia specyfikę środowisk OT: długi cykl życia, wymogi czasu rzeczywistego, protokoły legacy i wymagania bezpieczeństwa funkcjonalnego.
Norma definiuje poziomy Security Level (SL 1–4) i metodologię docelowego poziomu bezpieczeństwa (SL-T), która pozwala organizacjom priorytetyzować inwestycje w bezpieczeństwo na podstawie ryzyka, to nie jest lista kontrolna dla wszystkich.
Cztery poziomy Security Level wyjaśnione
Security Levels opisują zdolność do odpierania ataków ze strony określonych aktorów zagrożeń. Dla większości środowisk OT objętych NIS2 SL 2 jest punktem wyjścia.
Ochrona przed niezamierzonymi błędami
Podstawowe środki bezpieczeństwa zapobiegające błędom z nieuwagi. Zakłada atakującego bez motywacji ani szczególnych umiejętności. Stosowane gdy konsekwencje są ograniczone.
- •Uwierzytelnianie na stacjach roboczych HMI
- •Segmentacja sieci między IT a OT
- •Podstawowe logowanie zdarzeń logowania
Ochrona przed celowymi atakami o średnim poziomie umiejętności
Środki skierowane przeciwko atakującemu znającemu systemy przemysłowe i działającemu z premedytacją. Wymagane dla większości środowisk OT objętych NIS2.
- •Kontrola dostępu oparta na rolach (RBAC)
- •Szyfrowana komunikacja tam gdzie technicznie możliwe
- •Zarządzanie poprawkami zgodnie z zaleceniami dostawców
- •Zdalny dostęp przez serwer pośredniczący z MFA
- •Procedura zarządzania zmianami dla systemów OT
Ochrona przed zaawansowanymi atakami z wiedzą o OT
Atakujący posiada szczegółową wiedzę o docelowym systemie i wystarczające zasoby do ukierunkowanych ataków. Istotne dla infrastruktury krytycznej (energetyka, woda, transport) i instalacji SEVESO.
- •Uwierzytelnianie dwuskładnikowe dla całego dostępu OT
- •Segmentacja stref ze ściślejszą polityką kanałów
- •Pasywny monitoring OT (analiza ruchu sieciowego)
- •Ocena bezpieczeństwa łańcucha dostaw dla dostawców OEM
- •Roczny test penetracyjny obwodu OT
Ochrona przed atakami sponsorowanymi przez państwo lub grupy zorganizowane
Atakujący dysponuje rozbudowanymi zasobami, zaawansowanymi narzędziami i długoterminową motywacją. Niewymagane dla zdecydowanej większości firm przemysłowych, ale istotne dla krajowej infrastruktury krytycznej.
- •Fizyczne oddzielenie systemów krytycznych dla bezpieczeństwa (izolacja powietrzna tam gdzie stosowane)
- •Kryptograficzna kontrola integralności komponentów oprogramowania
- •Specjalistyczny monitoring OT-SOC
- •Formalna ocena ryzyka IACS zgodnie z IEC 62443-3-2
NIS2 art. 21: odsyłacz do IEC 62443
Każde wymaganie art. 21 NIS2 odpowiada jednej lub kilku częściom IEC 62443. Tabela pokazuje, gdzie IEC 62443 podaje wytyczne techniczne dotyczące wdrożenia.
| Artykuł | Wymaganie | IEC 62443 | Wdrożenie |
|---|---|---|---|
| Art. 21(2)(a) | Analiza ryzyka i polityki bezpieczeństwa informacji | IEC 62443-2-1 / 3-2 | Polityka zarządzania bezpieczeństwem (CSMS) i metodologia oceny ryzyka IACS |
| Art. 21(2)(b) | Obsługa incydentów | IEC 62443-2-1 | Plan reagowania na incydenty, procedury komunikacji i plany odtwarzania dla OT |
| Art. 21(2)(c) | Ciągłość działania i zarządzanie kryzysowe | IEC 62443-2-1 | Polityka tworzenia kopii zapasowych i odtwarzania specyficzna dla konfiguracji OT i programów PLC |
| Art. 21(2)(d) | Bezpieczeństwo łańcucha dostaw | IEC 62443-2-4 | Wymagania bezpieczeństwa dla dostawców usług IACS (dostawcy OEM, integratorzy systemów) |
| Art. 21(2)(e) | Bezpieczeństwo przy nabywaniu i rozwoju | IEC 62443-3-3 / 4-2 | Wymagania produktowe dla komponentów OT: uwierzytelnianie, możliwość aktualizacji, logowanie |
| Art. 21(2)(f) | Zarządzanie podatnościami i ujawnianie informacji | IEC 62443-2-3 | Zarządzanie poprawkami dla systemów IACS i procedura zgłaszania podatności |
| Art. 21(2)(g) | Podstawowe praktyki bezpieczeństwa sieci i systemów | IEC 62443-3-3 | Wymagania bezpieczeństwa systemu (SRs): uwierzytelnianie, kontrola dostępu, segmentacja sieci |
| Art. 21(2)(h) | Kryptografia i szyfrowanie | IEC 62443-3-3 SR 4.3 | Szyfrowanie komunikacji i przechowywania danych tam gdzie technicznie możliwe w kontekście OT |
Jak GCG stosuje IEC 62443
Analiza ryzyka IACS (62443-3-2)
Inwentaryzacja stref i kanałów, określenie docelowego poziomu bezpieczeństwa (SL-T) na strefę na podstawie wpływu × prawdopodobieństwa.
Analiza luk (62443-3-3)
Ocena aktualnego środowiska OT względem wymagań bezpieczeństwa systemów (SRs) z IEC 62443-3-3 dla docelowego SL.
Segmentacja i hardening
Wdrożenie stref, kanałów i środków kompensujących na podstawie wyników analizy luk.
Ocena dostawców (62443-2-4)
Ocena wymagań bezpieczeństwa dla dostawców OEM i integratorów systemów zgodnie z NIS2 art. 21 ust. 2 pkt d.
Raportowanie i pakiet dowodów
Pisemny raport z analizy luk, rejestr ryzyk, diagramy sieci i polityka bezpieczeństwa: pakiet dowodów, jakiego oczekuje organ nadzoru.
Okresowy przegląd
NIS2 wymaga ciągłego podejścia. Roczne lub dwuletnie ponowne oceny utrzymują aktualność pozycji IEC 62443.
Często zadawane pytania dotyczące IEC 62443
Zamów analizę luk IEC 62443
Określamy docelowy poziom bezpieczeństwa, identyfikujemy luki i dostarczamy priorytetowy plan naprawczy.