Tehnologiile sistemelor Industrial de automatizare și control (IACS sau ICS) sunt esențiale pentru infrastructura critică și pentru mediile tehnologice operaționale (OT). Astfel de sisteme constau din mai multe componente care comunică între ele prin protocoale de rețea, ceea ce le face susceptibile la atacuri cibernetice. Chiar și zonele izolate aerian din cadrul IACS rămân vulnerabile la atacurile malware prin intermediul mediilor periferice și amovibile.
Seria ISA/IEC 62443 de standarde de securitate cibernetică reprezintă un cadru comun pentru operatorii, integratorii de sisteme și producătorii de componente ale rețelelor IACS și OT. Standardele includ seturi de cerințe, instrucțiuni, controale și bune practici pentru securizarea operațiunilor, dezvoltării, întreținerii și fabricării componentelor IACS.
Istoricul și evoluția ISA/IEC 62443
Standardele ISA/IEC 62443 au fost elaborate în 2002 de către International Society of Automation (ISA) sub denumirea ISA 99, cu scopul de a stabili standarde pentru securizarea sistemelor și operațiunilor infrastructurilor critice ale SUA împotriva atacurilor cibernetice. În cele din urmă, acesta a fost înaintat Comisiei Electrotehnice Internaționale (CEI) pentru recunoaștere la nivel mondial și a devenit seria de standarde ISA/IEC 62443.
În noiembrie 2021, ISA/IEC 62443 a fost desemnat de IEC ca standard orizontal, devenind astfel un punct de referință recunoscut pe scară largă în materie de securitate cibernetică în toate industriile care utilizează, întrețin sau dezvoltă IACS. În prezent, seria ISA/IEC 62443 are un conținut extins cu un domeniu larg de aplicare, acoperind peste 800 de pagini.
Pentru cine este ISA/IEC 62443?
Trei roluri principale principale sunt definite contextual în ISA/IEC 62443, cu scopul de a defini părțile interesate care pot beneficia de acestea:
- Proprietarii activelor: Organizații care dețin și operează IACS.
- Integratori de sisteme: Organizații sau consultanți care oferă servicii precum integrarea sistemelor, întreținere sau alte servicii legate de IACS.
- Producători de produse: Organizații care oferă produse pentru a îndeplini cerințele de securitate, furnizează componente pentru produse sau suport pentru ciclul de viață.
Componente ale ISA/ IEC62443
Seria ISA/IEC 62443 este împărțită în patru părți principale: Generalități, Politici și proceduri, Sistem și Componentă. Fiecare parte este destinată unui rol principal diferit și conține instrucțiuni și orientări care acoperă un aspect sau o etapă specifică a securității ICS.
Cele patru părți ale seriei ISA/ IEC62443
General 62443-1
Prima parte include o prezentare generală și introduce conceptele fundamentale, cerințele, terminologia și orientările pentru proiectarea și implementarea securității cibernetice în IACS.
Acesta începe cu secțiunea 62443-1-1, care definește terminologia fundamentală, conceptele și modelele de referință utilizate în întreaga serie de standarde. Apoi, 62443-1-2 cu un glosar de termeni și abrevieri utilizate în întreaga serie, și 62443-1-3 pentru a discuta metrici de securitate pentru evaluarea și măsurarea securității sistemelor. În cele din urmă, 62443-1-4 oferă orientări care trebuie urmate pentru abordarea securității cibernetice în toate sistemele.
Politici și proceduri 62443-2
Centrându-se pe guvernanță și gestionarea riscurilor, a doua parte oferă îndrumări privind crearea, menținerea și gestionarea programelor de securitate cibernetică.
Secțiunea 62443-2-1 descrie procesul de creare, punere în aplicare și menținere a unui sistem de gestionare a securității cibernetice pentru IACS, în timp ce 62443-2-2 oferă orientări detaliate de punere în aplicare pe care organizațiile trebuie să le urmeze atunci când stabilesc programe de securitate pentru IACS. Apoi, 62443-2-3 oferă cele mai bune practici pentru gestionarea patch-urilor software și firmware pentru a menține securitatea sistemului, iar în final, 62443-2-4 enumeră cerințele de securitate cibernetică și cele mai bune practici pentru furnizorii de servicii care lucrează în medii industriale.
Sistem 62443-3
Această parte oferă îndrumări privind proiectarea și implementarea sistemelor sigure și abordează cerințele de securitate cibernetică pentru IACS. Aceasta acoperă evaluarea riscurilor, cerințele și strategiile de securitate a sistemului și nivelurile de securitate a sistemului.
Secțiunea 62443-3-1 analizează tehnologiile de securitate existente și emergente relevante pentru IACS. În continuare, secțiunea 62443-3-2 introduce o metodologie pentru evaluarea și gestionarea riscurilor de securitate cibernetică în timpul proiectării sistemului. În cele din urmă, secțiunea 62443-3-3 stabilește cerințe detaliate de securitate a sistemului și le clasifică în patru niveluri de securitate (SL1-SL4).
Componentă 62443-4
A patra și ultima parte a seriei descrie ciclul de viață al dezvoltării produsului. Aceasta se concentrează pe securitatea componentelor individuale ale IACS, cum ar fi SCADA (control de supraveghere și achiziție de date), PLC (controlere logice programabile) și senzori.
Acesta include două secțiuni. 62443-4-1 prezintă procesele ciclului de viață al dezvoltării produsului, inclusiv proiectarea, dezvoltarea și întreținerea componentelor IACS, iar secțiunea 62443-4-2 specifică cerințele și capacitățile tehnice de securitate necesare pentru componentele IACS individuale din cadrul sistemului.
Cerințe fundamentale
Cele șapte cerințe fundamentale (FR) sunt identificate în prima parte a seriei (IEC 62443-1-1). Aceste FR reprezintă piatra de temelie a ISA/IEC62443 pe care se bazează fiecare parte ulterioară a seriei, inclusiv părțile axate pe cerințele de securitate pentru sistemele IACS (3-3) și componente (4-2).
- Identificarea și controlul autentificării
- Utilizați controlul
- Integritatea sistemului
- Confidențialitatea datelor
- Flux de date restricționat
- Răspuns în timp util la evenimente
- Disponibilitatea resurselor
Beneficiile și aplicațiile ISA/IEC 62443
Aceste standarde au fost adoptate în diverse industrii, inclusiv industria prelucrătoare, infrastructura critică, petrol și gaze, sănătate și tratarea apelor reziduale. Modul în care o organizație poate utiliza seria ISA/IEC 62443 depinde de rolul organizației într-o anumită industrie, fie că operează, întreține, integrează sau produce componente pentru IACS.
Pentru proprietarii de active
Proprietarii de bunuri care stabilesc protocoale de securitate și operează IACS se pot referi la secțiunea 2 din ISA/IEC 62443 pentru a dezvolta cerințe pentru integratorii de sisteme. Aceste orientări îi pot ajuta să determine ce caracteristici de securitate au nevoie în mod specific într-un produs.
Pentru integratorii de sisteme
Datorită serviciilor de integrare, întreținere și altor servicii similare legate de ICS, integratorii de sisteme utilizează în principal standardele 62443-3 pentru a evalua nivelul de securitate al proprietarilor activelor și pentru a prelucra cerințele acestora. De asemenea, standardele 62443-3-3 sunt utilizate pentru a evalua securitatea componentelor produse de producătorii de produse și pentru a determina dacă acestea includ caracteristicile solicitate de proprietarii activelor.
Pentru producătorii de produse
Producătorii de produse stabilesc și mențin un SDL (security development lifecycle - ciclu de viață al dezvoltării securității), oferă produse care îndeplinesc nivelul de securitate necesar, furnizează produse componente și oferă asistență pe durata ciclului de viață. Producătorii de produse sunt companii care produc componente hardware și software IACS. Fabricanții de produse pot găsi în standardele 62443-4 o referință clară pentru capabilitățile și caracteristicile de securitate pe care trebuie să le includă în produsele lor.
Importanța ISA/IEC 62443-3-3 pentru protecția infrastructurilor critice
Standardele 62443-3-3 furnizează cerințe tehnice critice de securitate și niveluri de securitate care să fie utilizate ca referință pentru nivelul de securitate care trebuie atins. Această secțiune este utilizată de integratorii de sisteme pentru a respecta standardele sistemelor pe care le dezvoltă.
Cerințe cheie de securitate
Apărare - în profunzime
O tehnică care necesită mai multe straturi de tehnici de apărare pentru a preveni sau încetini un atac cibernetic. De exemplu, stratul de securitate poate include controale fizice, scanări frecvente, securizarea transferurilor de fișiere și utilizarea firewall-urilor.
Zone și conducte
Bazându-se pe modelul Purdue, cunoscut și sub numele de Purdue Enterprise Reference Architecture (PERA), seria ISA/IEC-62443 identifică o zonă ca fiind o unitate funcțională sau fizică, în timp ce o conductă este o colecție de canale de comunicare între zone.
Analiza riscurilor
În plus față de practicile convenționale de analiză a riscurilor, ISA/IEC-62443-3-2 aduce detalii suplimentare cu privire la metodologiile de evaluare a riscurilor de securitate pentru un IACS.
Cel mai mic privilegiu
Principiul privilegiilor minime limitează accesul utilizatorilor la anumite componente sau aplicații dintr-un sistem, prevenind accesul inutil și minimizând suprafața de atac în cazul unui atac cibernetic.
Utilizarea componentelor securizate
Partea ISA/IEC-62443-3-3 nu este un set de cerințe de sine stătător, ci valorifică și alte părți ale seriei. Aceasta presupune că a fost elaborat un program de securitate în conformitate cu IEC 62443-2-1 și presupune că componentele sigure vor fi implementate în conformitate cu ISA/IEC-62443-4-2 și ISA/IEC-62443-4-1 pentru a garanta conformitatea.
Niveluri de securitate
Nivelurile de securitate definite sunt destinate să măsoare puterea și să evidențieze orice factori de risc din sistemele OT și IACS. În 62443-3-3 sunt definite patru niveluri de securitate, începând de la 1 ca nivel minim și până la 4 ca nivel maxim.
Nivel de securitate 1
Nivelurile de securitate definite sunt destinate să măsoare puterea și să evidențieze orice factori de risc din sistemele OT și IACS. În 62443-3-3 sunt definite patru niveluri de securitate, începând de la 1 ca nivel minim și până la 4 ca nivel maxim.
Nivel de securitate 2
Pentru protecție împotriva atacurilor cibernetice generale care nu necesită un set de competențe specifice sau resurse intensive, cum ar fi hackerii individuali.
Nivel de securitate 3
Acoperă protecția împotriva atacurilor intenționate folosind tehnici sofisticate și competențe specifice, cu o motivație moderată.
Nivel de securitate 4
Protejează împotriva atacurilor intenționate care necesită competențe foarte sofisticate, specifice IACS, cu acces la resurse extinse, cum ar fi atacurile asupra sistemelor extrem de critice de către grupuri organizate de hackeri sau state inamice.
Împreună cu 62443-3-3, standardele 62443-4-2 sunt adesea luate în considerare de integratorii de sisteme, deoarece acestea oferă îndrumări suplimentare privind securizarea fiecărei componente a ciclului de viață.
Protecție periferică și detașabilă Media
Suporturile amovibile, cum ar fi USB și hard disk-urile externe, sunt adesea utilizate ca canale pentru transferul de date în rețelele IACS și OT, în ciuda riscurilor semnificative de securitate pe care le prezintă. Au existat atacuri cibernetice importante cauzate de suporturi amovibile, cum ar fi Stuxnet, care a vizat instalația nucleară Natanz din Iran (2010), atacul asupra centralei nucleare Kudankulam din India (2019) și atacul Agent.BTZ, care s-a răspândit prin rețelele Departamentului american al Apărării (2008).
Includerea protecției mediilor periferice și amovibile ca parte a strategiei de apărare în profunzime poate juca un rol esențial în atenuarea acestor atacuri și în obținerea conformității cu standardele ISA/IEC 62443, reducând riscul de încălcare a securității datelor și de întrerupere a sistemului. De exemplu, o soluție fizică, precum MetaDefender Kiosk™, poate scana suporturile amovibile folosind mai multe motoare anti-malware pentru a asigura siguranța acestora. Alte soluții precum MetaDefender Drive™, MetaDefender Media Firewall™, MetaDefender Endpoint™ și MetaDefender Managed File Transfer™ pot juca un rol esențial în îmbunătățirea nivelului de securitate și a strategiei de apărare în profunzime.
Concluzie
Standardele ISA/IEC 62443 sunt considerate cele mai cuprinzătoare standarde de securitate cibernetică care abordează provocările de securitate cibernetică din mediile IACS și OT. Cu ajutorul seriei de standarde ISA/IEC 62443, organizațiile pot recunoaște sistematic ceea ce este cel mai valoros în mediul lor, pot îmbunătăți vizibilitatea și pot identifica activele care sunt foarte susceptibile la atacuri cibernetice.
OPSWAT oferă soluții complete în domeniul securității perifericelor și a mediilor amovibile pentru a îmbunătăți protecția de apărare în profunzime și pentru a minimiza suprafața de atac. Pentru a vedea de ce organizațiile, guvernele și instituțiile din întreaga lume au încredere în OPSWAT, discutați astăzi cu unul dintre experții noștri pentru a afla cum vă putem ajuta cu securitatea perifericelor și a suporturilor amovibile.
