EN IEC 62443 — Kybernetická bezpečnosť priemyselných automatizačných a riadiacich systémov
IEC 62443 (v Európe prijatá ako EN IEC 62443) je definitívna medzinárodná séria noriem pre kybernetickú bezpečnosť priemyselných automatizačných a riadiacich systémov (IACS) — svet PLC, SCADA systémov, DCS, priemyselných sietí, senzorov, aktuátorov, HMI a komunikačných sietí, ktoré ich spájajú. Zatiaľ čo EN 18031 a EN 303 645 sa zaoberajú spotrebiteľskou IoT kybernetickou bezpečnosťou, EN IEC 62443 sa zaoberá bezpečnosťou operačnej technológie (OT).
Kľúčové fakty
| Detail | Informácia |
|---|---|
| Celý názov série | IEC 62443 / EN IEC 62443 — Bezpečnosť pre priemyselné automatizačné a riadiace systémy |
| Vyvinutá | Výbor ISA99 (ako ISA/IEC 62443), prijatá IEC a CENELEC |
| Štruktúra | Mnohočasťová séria (4 skupiny, 13+ individuálnych noriem) |
| Regulačná relevantnosť | Smernica NIS2, CRA (pre priemyselné zariadenia) |
| Vzťahuje sa na | Komponenty, systémy a poskytovatelia služieb IACS |
Štruktúra série IEC 62443
Na rozdiel od EN 300 328 alebo EN 303 645 — jednotlivých dokumentov — IEC 62443 je rodina noriem organizovaná do štyroch skupín:
| Skupina | Zameranie | Kľúčové normy |
|---|---|---|
| 1 — Všeobecné | Základné koncepty, terminológia | IEC 62443-1-1, -1-2, -1-3 |
| 2 — Politiky a postupy | Prevádzkovateľ aktív (asset owner) | IEC 62443-2-1, -2-2, -2-3, -2-4 |
| 3 — Systém | Systémový integrátor | IEC 62443-3-2, -3-3 |
| 4 — Komponenty | Výrobca produktu/komponentu | IEC 62443-4-1, IEC 62443-4-2 |
Bezpečnostné úrovne (SL): Základný rámec
| Bezpečnostná úroveň | Ochrana pred | Typická aplikácia |
|---|---|---|
| SL 1 | Neúmyselné porušenie | Základná ochrana pred náhodnou hrozbou |
| SL 2 | Úmyselné porušenie jednoduchými prostriedkami | Ochrana pred motivovanými útočníkmi s obmedzenými zdrojmi |
| SL 3 | Sofistikovaný útok so znalosťou IACS | Ochrana pred sofistikovanými útočníkmi so znalosťou domény |
| SL 4 | Štátom sponzorovaný sofistikovaný útok | Ochrana kritickej infraštruktúry |
IEC 62443-4-1: Bezpečný životný cyklus vývoja produktu
IEC 62443-4-1 je obzvlášť relevantná pre výrobcov hardvéru a softvéru dodávajúcich komponenty do priemyselných systémov. Definuje požiadavky na Security Development Lifecycle (SDL):
- Správa bezpečnosti — Zdokumentovaná bezpečnostná politika
- Špecifikácia bezpečnostných požiadaviek — Modelovanie hrozieb
- Bezpečnostný návrh — Obrana do hĺbky, najmenšia privilégium
- Bezpečná implementácia — Normy bezpečného kódovania
- Overenie a validácia bezpečnosti — Penetračné testovanie, fuzz testovanie
- Správa bezpečnostných problémov — Správa a zverejňovanie zraniteľností
- Správa bezpečnostných aktualizácií — Správa záplat, schopnosť dodávky aktualizácií
IEC 62443-4-2: Technické požiadavky na komponenty
IEC 62443-4-2 definuje technické bezpečnostné schopnosti, ktoré musia komponenty hardvéru a softvéru podporovať pri každej Security Level Capability:
Hardvérové dôsledky pre výrobcov komponentov:
- SLC 2+: Jedinečná identita zariadenia — hardvérová (napr. certifikát zariadenia uložený v TPM alebo SE)
- SLC 2+: Kryptografická autentifikácia — hardvérový zdroj entropie
- SLC 3+: Overenie integrity platformy — Secure Boot zakotvený v hardvérovom root of trust
- SLC 3+: Nepopierateľnosť — schopnosť podpisovania pomocou hardvéru
IEC 62443 a CRA
| Nariadenie | Zameranie | Cieľ |
|---|---|---|
| CRA | Spotrebiteľské a komerčné pripojené produkty | Výrobcovia produktov |
| IEC 62443-4-2 | Schopnosti kybernetickej bezpečnosti priemyselných komponentov | Dodávatelia priemyselného hardvéru/softvéru |
| NIS2 | Kybernetická bezpečnosť prevádzkovateľov kritickej infraštruktúry | Prevádzkovatelia základných/dôležitých subjektov |
Súvisiace pojmy
- CRA — Nariadenie o kybernetickej odolnosti EÚ; čoraz viac v súlade s IEC 62443.
- Smernica NIS2 — Prevádzkovatelia kritickej infraštruktúry; IEC 62443 je referenčná norma.
- Hardware Root of Trust — Základná hardvérová bezpečnostná schopnosť vyžadovaná pri IEC 62443 SLC 2+.
- Secure Boot — Vyžadovaný pre certifikáciu komponentov IEC 62443-4-2 SLC 3+.
- EN 18031 — Spotrebiteľský náprotivok kybernetickej bezpečnosti k IEC 62443.
Výrobcovia hardvéru navrhujúci komponenty pre priemyselné trhy čoraz viac čelia zákazníckym požiadavkám na IEC 62443-4-1 SDL certifikáciu. Inovasense radí ohľadom uplatňovania IEC 62443 a prienikov s povinnosťami CRA a NIS2. Pozrite si poradenstvo EÚ compliance.