I takt med at industrielle systemer bliver mere forbundne og digitale, stiger behovet for en robust cybersikkerhed. I samarbejde med IT-sikkerhedsekspert René Matthiassen udforsker vi i denne artikel, hvorfor IEC 62443 er vigtig, hvordan den opstod, og hvem den gælder for.
Hvad er IEC 62443?
IEC 62443 er en standard udviklet af International Electrotechnical Commission (IEC) for at sikre cybersikkerhed i industrielle automations- og kontrolsystemer. Standarden dækker et bredt spektrum af aspekter vedrørende IACS, herunder sikkerhedsprocesser, politikker og tekniske foranstaltninger.
“IEC 62443 tager udgangspunkt i tilgængeligheden af systemer. Man ønsker at beskytte kritiske systemer bedst muligt for driftsforstyrrelser. Standarden er udviklet af International Society of Automation (ISA.org) og stammer helt tilbage fra efter anden verdenskrig. Formelt blev det til en standard i 2008, som udgives af IEC. De er opdelt alt efter om man eksempelvis er assetowner, integrator eller serviceprovider,” forklarer René Matthiassen, som arbejder som IT-sikkerhedsekspert med speciale i lovgivning og standarder.
Hvorfor er IEC 62443 vigtig?
1. Beskyttelse af kritisk infrastruktur
Mange industrielle systemer styrer kritiske infrastrukturer som energi, vandforsyning, transport og fremstilling. Et cyberangreb på disse systemer kan have katastrofale konsekvenser, herunder økonomiske tab, skader på miljøet og tab af menneskeliv. Standarden tilbyder en struktureret tilgang til at beskytte disse vitale systemer.
2. Forbedret sikkerhed og driftseffektivitet
Ved at implementere IEC 62443 kan virksomheder forbedre deres overordnede sikkerhedsniveau og samtidig opnå en mere effektiv drift. Standarden hjælper med at identificere og mitigere sårbarheder, hvilket reducerer risikoen for nedetid og driftsforstyrrelser forårsaget af cyberangreb.
3. Overholdelse af reguleringer
Mange regeringer og regulerende organer begynder at kræve overholdelse af cybersikkerhedsstandarder for industrielle systemer. Denne standard er ofte anerkendt som en best practice, og overholdelse af denne standard kan hjælpe virksomheder med at opfylde lovgivningsmæssige krav og undgå sanktioner.
Hvad adskiller IEC 62443 fra ISO 27001?
EU har i disse tider travlt med at vedtage en række forskellige lovgivninger inden for IT-sikkerhedsområdet, og her kan blandt andet NIS2-direktivet nævnes. NIS2-direktivet kan blandt andet implementeres ved hjælp af IT-sikkerhedsstandarden ISO 27001 – men ikke IEC 62443. Så hvornår skal man bruge hvilken standard?
“Mens ISO27001 er et security framework som er lavet til virksomheders IT miljøer er IEC62443 udviklet til industrielle miljøer, som eks. En vindpark, energiselskab eller transportsystemer. De dækker meget af det samme, men med de forskelligheder der er mellem IT og OT. Eks. Patchning af kontrolsystemer. Begge er dog de mest anvendte og anerkendte standarder indenfor cybersecurity,” forklarer René Matthiassen.
Hvordan opstod IEC 62443?
IEC 62443-standarden har sine rødder i arbejdet udført af International Society of Automation (ISA), en nonprofit professionel forening. ISA dannede en komité, ISA99, som havde til formål at udvikle en ramme for sikkerheden i industrielle automations- og kontrolsystemer.
ISA99 komitéens arbejde resulterede i udviklingen af en række standarder og retningslinjer, som senere blev vedtaget og videreudviklet af IEC under betegnelsen IEC 62443. Den første del af standarden blev udgivet i begyndelsen af 2000’erne, og siden da er den blevet udvidet og opdateret for at imødekomme de stadig skiftende trusler og teknologier i industrien.
Hvem gælder IEC 62443 for?
Standarden gælder for en bred vifte af interessenter inden for industrielt cybersikkerhed:
1. Systemintegratorer og automationsleverandører
Disse parter er ansvarlige for design, implementering og vedligeholdelse af industrielle kontrolsystemer. IEC 62443 giver retningslinjer for at sikre, at de systemer, de leverer, er robuste over for cybertrusler.
2. Operatører af industrielle systemer
Virksomheder, der ejer og driver industrielle kontrolsystemer, herunder produktionsanlæg, energiforsyningsvirksomheder og vandforsyningsanlæg, skal sikre, at deres systemer er beskyttet mod cyberangreb. IEC 62443 hjælper dem med at implementere effektive sikkerhedsforanstaltninger og politikker.
3. Regulerende myndigheder og inspektører
Myndigheder, der er ansvarlige for at overvåge og regulere sikkerheden i kritiske infrastrukturer, kan bruge denne standard som en benchmark for sikkerhedsstandarder. Dette hjælper med at sikre, at virksomheder inden for deres jurisdiktion overholder de nødvendige sikkerhedsforanstaltninger.
4. Konsulenter og rådgivere
Sikkerhedskonsulenter, der arbejder med industrielle systemer, kan bruge standarden som en vejledning til at rådgive deres kunder om bedste praksis for cybersikkerhed. Dette inkluderer vurdering af sikkerhedsniveauer, udvikling af sikkerhedspolitikker og implementering af tekniske løsninger.
Hvordan implementerer man som virksomhed IEC 62443?
IEC 62443-standarden spiller en afgørende rolle i beskyttelsen af industrielle automations- og kontrolsystemer mod cybertrusler. Ved at tilbyde en omfattende ramme for sikkerhedsprocesser og tekniske foranstaltninger hjælper denne standard virksomheder med at beskytte kritisk infrastruktur, forbedre driftseffektiviteten og opfylde lovgivningsmæssige krav. Uanset om din virksomhed er en systemintegrator, en operatør af industrielle systemer eller en sikkerhedskonsulent, er det essentielt at forstå og implementere IEC 62443 for at sikre en robust cybersikkerhed.
“IEC 62443 4-2 er en produktcertificering, hvor IEC 62443 4-1 omhandler processer, eksempelvis sikre softwareudviklingsprincipper. Startskuddet er at lave en GAP-analyse for at skabe et overblik over, hvor man er henne. Her er der tale om specialistvide, så man bør få ekstern rådgivning og hjælp til både projekt afvikligen, men også konkret viden omkring de specifikke krav – eksempelvis risikovurderinger, design og udvikling,” fortæller René afslutningsvist.
Skal du have implementeret IEC 62443-standarden?
Hvis din virksomhed har brug for hjælp til at komme i mål med IEC 62443-standarden, så kontakt vores senior rådgiver Allan von Staffeldt Beck på +45 3118 2488 eller ab@changegroup.dk.