IT/OT-säkerhet – Horisontell standard

Den internationella standarden för cybersäkerhet i industri och infrastruktur ska ligga till grund för motsvarande standarder inom andra områden.

De standarder man tagit fram för cybersäkerhet för industriell processtyrning och teknisk infrastruktur kan med viss anpassning ligga till grund för motsvarande vägledningar inom andra teknikområden. Därför har IEC, som är den internationella organisationen för standardisering inom el, elektronik, IT och anslutande teknikområden, tagit ett viktigt beslut kring OT-säkerhetsstandarden IEC 62443. Den är nu en så kallad horisontell standard. Det betyder att den ska ligga till grund för allt arbete inom IEC med liknande standarder för andra teknikområden.

Horisontell standard

För att få enhetliga krav och metoder i olika standarder och för att spara resurser genom återanvändning av beprövade resultat finns alltså inom IEC ett system med grundläggande, horisontella standarder. Några exempel på sådana är IEC 81346-1 för struktureringsprinciper och referensbeteckningar för dokumentation och märkning, IEC 62430 för miljömedveten konstruktion och IEC/IEEE 82079-1 för information och anvisningar för hantering och användning av produkter.

IEC 62443 är alltså ett internationellt projekt, där allt fler delar också antas som europeisk och svensk standard, SS-EN, något som ju bland annat ger standarden en särskild status vid offentlig upphandling. Intresserade svenska företag, högskolor, myndigheter och organisationer är välkomna att delta i det fortsatta arbetet genom den svenska spegelkommittén SEK TK 65, Industriell processtyrning inom SEK Svensk Elstandard, som av regeringen utsetts om nationell standardiseringsorganisation och som sedan 1907 är den svenska medlemmen i IEC. Läs om att delta här.

OT-säkerhet

I industriella datasystem – ofta kallade OT-system – är riskerna, och därmed kraven på skydd, annorlunda än i rent administrativa system. I industrisystem kan det vara viktigare att skydda produktionen och miljön, än att som i administrativa IT-system omedelbart hindra personuppgifter och andra data från att komma i orätta händer. IEC 62443 täcker in både komponenter och system, systemägare och leverantörer och skapar därigenom också en gemensam nomenklatur och ett enhetligt språk. Den är omfattande och på sikt kommer nog den nya horisontella funktionen att påverka den en del.

Inom några teknikområden har man redan använt IEC 62443 som bas för motsvarande, mer specialiserade standarder. Det senaste exemplet är IEC 81001-5-1 (i Sverige SS-EN IEC 81001-5-1) på det medicintekniska området. Läs mer om den här.

För att underlätta för andra teknikområden att utnyttja och bygga vidare på IEC 62443 startar IEC också en särskild arbetsgrupp som ska samla in krav och synpunkter från andra teknikområden och stödja dem i användningen av IEC 62433.

Heltäckande standard

IEC 62443 består av flera delar som är fördelade på fyra huvudkategorier. Den första innehåller grundläggande information, inklusive terminologi. Den andra riktar sig till anläggningsägarna och fokuserar på regelverk och metoder för att upprätta och underhålla ett effektivt säkerhetsprogram. Den tredje fokuserar på systemdesign och krav på säkerhet i dessa. Där ingår riskanalyser och en indelning av systemet i zoner och kanaler. Den fjärde slutligen, vänder sig mot leverantörer av utrustning och innehåller krav på säker konstruktion och certifiering av produkterna.

Standarden bygger på sju grundläggande fordringar, som beskrivs i den första, orienterande delen. De är kontroll av åtkomst (access) och användning (use), skydd mot avlyssning och ändring av data (confidentiality och integrity) och skydd mot obehörig publicering (restricted data flow) samt snabbt ingripande om något händer (timely response) och upprätthållande av tillgängligheten (resource availability).

IEC 62443 kommer från den tekniska kommittén IEC TC 65, Industrial-process measurement, control and automation. Den har ett brett arbetsområde och några av de aktuella projekten handlar om realtidsnät (TSN) (IEC/IEEE 60802), en enhetlig referensmodell för smart tillverkning (IEC 63339) och en översyn av IEC 62381 för acceptansprovning (FAT & SAT) och integrationsprovning (SIT). Kommittén har nyligen reviderat standarden datanät med hög tillgänglighet.