Az ISA/IEC 62443 bevezetése: Gyakorlati perifériás és eltávolítható Media védelme OT-rendszerekben

Az első rész általános áttekintést tartalmaz, és bemutatja az alapvető fogalmakat, követelményeket, terminológiát és iránymutatásokat a kiberbiztonság kialakításához és megvalósításához az IIER-ben. 

A 62443-1-1-1. szakasszal kezdődik, amely meghatározza a szabványsorozatban használt alapvető terminológiát, fogalmakat és referenciamodelleket. Ezután a 62443-1-2 a sorozatban használt kifejezések és rövidítések glosszáriumával, majd a 62443-1-3 a rendszerek biztonságának értékelésére és mérésére szolgáló biztonsági mérőszámokat tárgyalja. Végül a 62443-1-4 a teljes rendszerekben a kiberbiztonság kezeléséhez követendő iránymutatásokat tartalmaz. 

Az irányításra és a kockázatkezelésre összpontosítva a második rész a kiberbiztonsági programok létrehozásához, fenntartásához és irányításához nyújt útmutatást. 

A 62443-2-1 szakasz az IIER kiberbiztonsági irányítási rendszer létrehozásának, bevezetésének és fenntartásának folyamatát írja le, míg a 62443-2-2-2 részletes végrehajtási iránymutatásokat kínál a szervezetek számára, amelyeket az IIER biztonsági programok létrehozásakor követniük kell. Ezután a 62443-2-3 a rendszer biztonságának fenntartása érdekében a szoftver- és firmware-foltok kezelésének legjobb gyakorlatait ismerteti, végül pedig a 62443-2-4 felsorolja az ipari környezetben dolgozó szolgáltatókra vonatkozó kiberbiztonsági követelményeket és legjobb gyakorlatokat.

Ez a rész útmutatást nyújt a biztonságos rendszerek tervezéséhez és megvalósításához, és foglalkozik az IIER-re vonatkozó kiberbiztonsági követelményekkel. Kitér a kockázatértékelésre, a rendszerbiztonsági követelményekre és stratégiákra, valamint a rendszerbiztonsági szintekre.  

A 62443-3-1. szakasz az IIER szempontjából releváns meglévő és újonnan megjelenő biztonsági technológiákat tekinti át. Ezután a 62443-3-2. szakasz a rendszertervezés során a kiberbiztonsági kockázatok értékelésének és kezelésének módszertanát mutatja be. Végül a 62443-3-3 részletes rendszerbiztonsági követelményeket állapít meg, és négy biztonsági szintbe (SL1-SL4) sorolja őket.

A sorozat negyedik és egyben utolsó része a termékfejlesztési életciklust ismerteti. Az IIER egyes összetevőinek, például a SCADA (felügyeleti vezérlés és adatgyűjtés), a PLC-k (programozható logikai vezérlők) és az érzékelők biztonságára összpontosít. 

Két részből áll. A 62443-4-1. szakasz a termékfejlesztési életciklus folyamatait vázolja fel, beleértve az IIER-összetevők tervezését, fejlesztését és karbantartását, a 62443-4-2. szakasz pedig a rendszeren belüli egyes IIER-összetevőkre vonatkozó műszaki biztonsági követelményeket és képességeket határozza meg. 

Ezeket a szabványokat számos iparágban elfogadták, többek között a gyártás, a kritikus infrastruktúra, az olaj- és gázipar, az egészségügy és a szennyvízkezelés területén. Az, hogy egy szervezet miként használhatja az ISA/IEC 62443 sorozatot, attól függ, hogy milyen szerepet tölt be az adott iparágon belül, legyen szó akár az IACS működtetéséről, karbantartásáról, integrálásáról vagy alkatrészek gyártásáról.

A biztonsági protokollokat létrehozó és az IIER-t működtető eszköztulajdonosok az ISA/IEC 62443 szabvány 2. szakaszára hivatkozhatnak a rendszerintegrátorokra vonatkozó követelmények kidolgozásához. Ezek az iránymutatások segíthetnek nekik meghatározni, hogy milyen biztonsági jellemzőkre van szükségük egy termékben.

Az integrációs, karbantartási és hasonló ICS-hez kapcsolódó szolgáltatások elvégzése miatt a rendszerintegrátorok főként a 62443-3 szabványt használják az eszközök tulajdonosainak biztonsági szintjének felmérésére és követelményeik feldolgozására. A 62443-3-3 szabványokat a termékgyártók által gyártott alkatrészek biztonságának értékelésére is használják, és annak megállapítására, hogy azok tartalmazzák-e az eszköztulajdonosok által megkövetelt funkciókat.

A 62443-3-3 szabványok kritikus műszaki biztonsági követelményeket és biztonsági szinteket határoznak meg, amelyek referenciaként szolgálnak az elérendő biztonsági szinthez. Ezt a szakaszt a rendszerintegrátorok használják az általuk fejlesztett rendszerek szabványainak teljesítéséhez.

A meghatározott biztonsági szintek célja az OT- és IACS-rendszerek erősségének mérése és a kockázati tényezők kiemelése. A 62443-3-3 négy biztonsági szintet határoz meg, kezdve az 1-től, mint a minimális szinttől a 4-ig, mint a maximális szintig.

Az eltávolítható adathordozókat, például USB és külső merevlemezeket gyakran használják az adatok átvitelére az IACS- és OT-hálózatokban, annak ellenére, hogy jelentős biztonsági kockázatot jelentenek. Voltak kiemelkedő, cserélhető adathordozók által okozott kibertámadások, mint például a Stuxnet, amely az iráni Natanz nukleáris létesítményt vette célba (2010), az indiai Kudankulam atomerőmű elleni támadás (2019) és az Agent.BTZ támadás, amely az Egyesült Államok védelmi minisztériumának hálózatain terjedt el (2008). 

A perifériák és cserélhető adathordozók védelmének a mélységi védelem stratégiájának részeként történő beépítése alapvető szerepet játszhat az ilyen támadások mérséklésében, valamint az ISA/IEC 62443 szabványoknak való megfelelés elérésében, csökkentve az adatbiztonság megsértésének és a rendszer megzavarásának kockázatát. Egy fizikai megoldás, mint például a MetaDefender Kiosk™, több rosszindulatú szoftverek elleni motor segítségével vizsgálhatja az eltávolítható adathordozókat, hogy biztosítsa azok biztonságát. Más megoldások, mint a MetaDefender Drive™, a MetaDefender Media Firewall™, a MetaDefender Endpoint™ és a MetaDefender Managed File Transfer™ kulcsfontosságú szerepet játszhatnak a biztonsági szint és a mélységi védelmi stratégia fokozásában.