Cybersäkerhet i automationssystem

2021-01-18

Det gäller snarare att i första hand skydda produktionen, så att den inte stoppas eller hindras på annat sätt. Riskerna som beror på vilka hoten är, på sannolikheten att de uppträder, på systemets sårbarhet och slutligen på de konsekvenser som kan uppstå. För ekonomi, hälsa och miljö.

Till hjälp finns en serie internationella standarder, IEC 62443, om IT-säkerhet i system för automation och processtyrning i industri och teknisk infrastruktur. Den fokuserar på vilka skyddsnivåer som behövs och hur man uppnår dem. IEC 62443 har tagits fram i samarbete med den amerikanska organisationen ISA och hänvisas därför ibland till som ISA99.

Här i Europa har de flesta delarna antagits som europeisk standard, något som ju bland annat ger standarden en särskild status vid offentlig upphandling. De olika delarna har också fastställts som svensk standard, SS-EN, av SEK Svensk Elstandard, som inte bara är den svenska standardiseringsorganisationen inom el och elektronik, utan också sedan 1907 den svenska medlemmen i IEC.

I serien IEC 62443 har det kommit en ny del, IEC 62443-3-2, som – äntligen – binder ihop metoder och åtgärder som beskrivs i några av de andra delarna. Den nya delen går igenom hur man identifierar vilka säkerhetsnivåer som behövs i systemets olika delar (”target security levels”). Genom att jämföra dem med de säkerhetsnivåer som systemet faktiskt når upp till enligt SS-EN IEC 62443-3-3, kan man se var man behöver förbättra skyddet. Båda två har fastställts som svensk standard, se preview på de inledande avsnitten av SS-EN IEC 62443-3-2 och SS-EN IEC 62443-3-3, den senare med en översikt över hela standardserien.

De nya SS-EN IEC 62443-3-2 vägleder genom processen att bedöma risken för ett visst system och att identifiera och tillämpa åtgärder för att minska risken till godtagbara nivåer. Man börjar med att identifiera det system som ska behandlas och drar upp dess gränser, både logiska och fysiska. Därefter gör man en inledande riskbedömning och delar upp systemet i zoner och kanaler med lämplig säkerhetsklass, baserat på den riskbedömning man gjort.

Sedan kommer det centrala momentet, att avgöra om de risker man funnit överstiger dem som kan godtas. Om de gör det, måste man vidta åtgärder. Ungefär halva standarden ägnas åt hur man identifierar, bedömer och hanterar dessa risker och överväger lämpliga åtgärder. Arbetsgången beskrivs i tydliga flödesscheman.

Den internationella standarden IEC 62443 är mer teknik- och lösningsorienterad än de mer kända och generella ledningssystemstandarderna i serien ISO/IEC 27000. IEC 62443 bygger på sju grundläggande fordringar, som beskrivs i den första, orienterande delen, SEK-TS 62443-1-1. De är kontroll av åtkomst (access) och användning (use), skydd mot avlyssning och ändring av data (confidentiality och integrity) och skydd mot obehörig publicering (restricted data flow) samt snabbt ingripande om något händer (timely response) och upprätthållande av tillgängligheten (resource availability).

IEC 62443 är ett internationellt projekt, där allt fler delar också antas som europeisk och svensk standard, SS-EN. Intresserade svenska företag, högskolor, myndigheter och organisationer är välkomna att delta i det fortsatta arbetet genom den svenska spegelkommittén SEK TK 65, Industriell processtyrning inom SEK Svensk Elstandard. Bland andra projekt som är aktuella där finns IEC/IEEE 60802 om time-sensitive networks (TSN) och en revidering av IEC 62682 om larmsystem och larmhantering i processindustrier.

Ett samlat grepp på datacentraler, serverrum och liknande – bland annat skydd, energieffektivitet och elförsörjning – tas i standardserien SS-EN 50600.

För riskhantering finns standarden SS-ISO 31000. Den kompletteras av SS‑EN IEC 31010 som beskriver hur man planerar och väljer en lämplig metod riskbedömning och hur man går vidare och tillämpar resultatet. Den som läser och använder standarderna kan enkelt ha sitt standardbibliotek uppdaterat och lätt tillgängligt på nätet. Läs mer om SEK e-Standard.