IT-säkerhet för automation

2018-10-17

Månadens standard oktober 2018

Ny del av IT-säkerhetsstandarden IEC 62443 nu fastställd som svensk standard.

Den nya IEC 62443-4-1 är den första delen av den internationella IT-säkerhetsstandarden IEC 62443 som antagits som europeisk standard och fastställts som svensk standard, SS-EN IEC 62443-4-1.

SS-EN IEC 62443-4-1 innehåller en uppsättning fordringar på IT-säkerheten under utvecklingen av produkter för industriell automation och processtyrning. Den ger också vägledning till hur man uppfyller de olika fordringarna.

SS-EN IEC 62443-4-1 gäller för hela produktutvecklingen och innefattar säker konstruktion och säker implementering (inklusive kodningen). Men det slutar inte där, utan omfattar också verifiering och validering, hantering av säkerhetsdefekter, uppdateringar och utfasning (kvittblivning). Den är bl a baserad på ISO/IEC 15408-3 (Common Criteria) och IEC 61508 (”SIL-standarden”). Se preview på 
SS-EN IEC 62443-4-1, IT-säkerhet i industriella automationssystem – 
Del 4-1: Säkerhetsfordringar under produktutvecklingens livscykel.

En del för produktutveckling
Fordringarna i SS-EN IEC 62443-4-1 gäller för den som utvecklar eller underhåller en produkt men inte för systemintegratörer eller användare. Standarden ska i första hand stödja tillämpningen av de principer som ligger till grund för hela IEC 62443-serien: inbyggd säkerhet och djupförsvar (security by design and defense in depth). För detta inför standarden en mognadsmodell, med ett antal nivåer som anger nivåer för hur standardens fordringar är uppfyllda. 

I andra hand ska SS-EN IEC 62443-4-1 styra utvecklingsarbetet mot de säkerhetsbehov som finns hos dem som använder automationsprodukter. Utvecklingsarbetet måste därför också generera säkerhetskonfigurationer och metoder och regler för programkorrigeringar (patch management). Central i standarden är det som kallas ”process scoping”, ett krav att en dokumenterad säkerhetsanalys ska användas för att identifiera vilka delar av standarden som kan tillämpas för ett visst utvecklingsprojekt. 

Lee Neitzel från Texas är sammankallande i den arbetsgrupp i IEC som arbetar med IEC 62443. Han vill särskilt trycka på att:
- IEC 62443-4-1 ger en garanti för att produkter har IT-säkerheten inbyggd och inte bara tillagd efteråt. Den gör det möjligt för slutanvändaren att ställa krav på säker utveckling och säkert underhåll. Dessutom, säger han, gör den det också möjligt att certifiera ingående produkter från andra leverantörer, för att säkerställa att de underhålls i enlighet med dess identifierade sårbarhet (vulnerability). 

En internationell standard
Hela serien IEC 62443 har titeln ”Industrial communication networks – Network and system security” och är en serie standarder som behandlar IT-säkerhet för industriella system (IACS) och för anläggningar i infrastrukturen. Den är mer teknik- och lösningsorienterad än den mer generella – och mer kända – ledningssystemstandarden ISO 27000. 

IEC 62443 bygger på ett koncept med zoner, säkra kanaler och säkerhetsnivåer (SL) som också delas in efter om de är målsatta, möjliga eller uppnådda. Den inför principen om försvar på djupet, kompletterat med en bedömning av hot och risker samt av IT-säkerhetsprogrammets mognad och riktlinjer.

IEC 62443 består av flera delar. Den behandlar kontroll av åtkomst (access) och användning (use), skydd mot avlyssning och ändring av data (confidentiality och integrity) och skydd mot obehörig publicering (restricted data flow) samt snabbt ingripande om något händer (timely response) och upprätthållande av tillgängligheten (resource availability). Den är uppdelad i fyra huvuddelar: en allmän del, en del med principer och metoder, en del om system och en om komponenter. En översikt över delarna kan man se här.

IEC är sedan 1906 den internationella organisationen för standardisering inom el och elektronik. Liksom övriga delar av IEC 62443 är den föreslagna delen ett samarbete mellan den internationella standardiseringsorganisationen IEC och ISA, The International Society of Automation. Den tekniska kommittén IEC TC 65, Industrial-process measurement, control and automation, har sedan den bildades 1968 tagit fram flera uppmärksammade standarder, där majoriteten också fastställts som svensk standard. Några exempel är PLC-standarden IEC 61131, ”SIL-standarden” IEC 61508 och IEC 62264 om integrering av processtyrning och affärssystem. 

Intresserade svenska företag, högskolor, myndigheter och organisationer är välkomna att delta genom den svenska spegelkommittén SEK TK 65, Industriell processtyrning. Den organiseras av SEK Svensk Elstandard, som är den svenska medlemmen i IEC och som av regeringen utsetts om nationell standardiseringsorganisation. Läs om att delta här. Den som inte deltar, utan bara läser och använder standarderna kan ha sitt standardbibliotek lätt tillgängligt på nätet, läs mer om SEK e-standard här.