Cybersäkerhet & OT-säkerhet

Inom industrin finns ett ökande samband mellan cybersäkerhet samt maskin- och processäkerhet.  

I den alltmer uppkopplade industrin ökar risken för att grundläggande säkerhetsfunktioner kan sättas ur spel genom påverkan utifrån. Det uppstår även nya risker för påverkan på produktion och drift, med oväntade och kostsamma följder.  

ISO/IEC 27000, och de andra standarderna i samma serie, ger ett ramverk för att hantera säkerheten för informationstillgångar i organisationer. Inom industrin kan det vara viktigare att skydda produktion och miljö, än att i första hand hindra personuppgifter och andra data från att komma i orätta händer. Därför finns den internationella standardserien IEC 62443.  

OT-säkerhet 

I industriella datanät är riskerna – och kraven på skydd – alltså andra än i rent administrativa system. Man talar därför ibland inte om IT-säkerhet utan om OT-säkerhet, där OT står för ”operational technology”. För OT-säkerhet finns standardserien IEC 62443. Den kommer från den internationella standardiseringsorganisationen IEC, där representanter för industri, forskning och myndigheter världen över är engagerade i olika projekt inom el, elektronik, IT och anslutande teknikområden.  

IEC 62443 omfattar hela livscykeln, alltså både säkerheten hos produkt- och systemleverantörer samt hos användaren. Den behandlar riskanalysen, de grundläggande säkerhetsfordringarna och definierar olika säkerhetsnivåer. Standarden fokuserar på hur man gör för att uppnå det önskade skyddet, som förstås beror på vilken nivå som valts för de olika delarna av systemet. Implementeringen baseras på en metod som bygger på säkra zoner och kommunikationskanaler. Eftersom hotbild, känslighet och möjliga konsekvenser är olika från anläggning till anläggning spelar riskbedömningen en stor roll. En introduktion finns i inledningen till den första delen, se preview på SEK TS 62443-1-1 här. 

Europeisk standard 

IEC 62443, som bygger på det amerikanska arbetet ISA 99, består alltså av flera delar med fokus på olika typer av användare. Här i Europa har flera av delarna antagits som europeisk standard, något som bland annat ger dem en särskild status vid offentlig upphandling. De har också fastställts som svensk standard, SS-EN IEC, av SEK Svensk Elstandard, som inte bara är en svensk standardiseringsorganisation utsedd av regeringen, utan också sedan 1907 den svenska medlemmen i IEC.  

Några av delarna är utformade så att de kan användas som underlag för certifiering. En av dem är IEC 62443-3-3 (i Sverige SS-EN IEC 62443-3-3), som vänder sig till anläggningsägare, systemintegratörer, leverantörer och, i förekommande fall, certifieringsorgan. Se preview här på de första avsnitten, som bland annat innehåller en översikt över hela serien. IEC 62443-3-3 definierar de fyra grundläggande säkerhetsnivåerna och innehåller detaljerade systemfordringar i anslutning till de sju grundläggande fordringar som standarden bygger på som definieras i den första delen.   

Säkerhetskritiska funktioner 

För säkerhetskritiska funktioner finns motsvarande grundläggande standardserie IEC 61508. Kopplingar och samspel mellan den och OT-säkerhet enligt IEC 62443 – alltså mellan ”safety” och ”security” – beskrivs i den tekniska rapporten IEC TR 63069. Det finns ett förslag från Japan att den ska revideras och så småningom bli en internationell standard, för att bättre ge fordringar och rekommendationer för en samlad tillämpning av de båda standarderna IEC 61508 och IEC 62443. Arbetet ska i så fall ske i den tekniska kommittén IEC TC 65, Industrial-process measurement, control and automation.  

IEC TC 65 är lite av ett nav för arbetet med standarder inom industriell processtyrning. Det är också där man arbetar med IEC 62443, med nya delar och med revision av dem som redan finns. Även standardserien IEC 61508 för säkerhetskritiska system kommer därifrån, och hela den serien är för närvarande under översyn och uppdatering. 

Alla svenska organisationer, företag, institutioner, myndigheter och statliga verk kan delta och bidra med sina erfarenheter i arbetet med dessa standarder genom SEK Svensk Elstandard och den tekniska kommittén SEK TK 65 Industriell processtyrning. Den som är med kan påverka förslag som är på gång och engagera sig som expert i olika arbetsgrupper och projekt samt som delegat till tekniska kommittéer inom IEC.  

Bland andra pågående projekt inom IEC TC 65 finns också IEC 63278 för en standardiserad digital representation, kallad Asset Administration Shell (AAS), nya och reviderade delar av standarden IEC 62264 för integrering av processtyrning och affärssystem (MES) samt en ny utgåva av IEC 62381 som definierar acceptansprovning inför leverans (FAT), acceptansprovning efter leverans (SAT) och integrationsprovning (SIT).