Switche Advantech z certyfikatem IEC 62443 do NIS2

Cyfryzacja przemysłu, rozwój IoT oraz coraz szersza integracja systemów IT i OT sprawiają, że cyberbezpieczeństwo przestaje być wyłącznie domeną działów IT. Dziś jest jednym z kluczowych elementów niezawodności produkcji, ciągłości działania oraz zgodności z regulacjami. W środowiskach przemysłowych szczególne znaczenie mają normy i regulacje takie jak IEC 62443, ISO/IEC 27001 oraz NIS 2. Razem tworzą one ramy, które pomagają producentom urządzeń, integratorom systemów i użytkownikom końcowym ograniczać ryzyko cyberataków oraz budować odporne systemy automatyki.

W Europie szczególne znaczenie mają dziś dwa obszary. Dyrektywa NIS2, która nakłada obowiązki organizacyjne i zarządcze na wiele firm oraz instytucji, oraz norma IEC 62443, która opisuje techniczne i procesowe podejście do zabezpieczania systemów automatyki przemysłowej. Razem tworzą praktyczne ramy dla budowania cyberodporności w środowiskach OT.

W praktyce NIS2 wymaga od organizacji wdrożenia odpowiednich środków zarządzania ryzykiem cyberbezpieczeństwa, raportowania istotnych incydentów, budowania zdolności reagowania oraz uwzględnienia bezpieczeństwa łańcucha dostaw. Dyrektywa obejmuje zarówno podmioty kluczowe, jak i ważne, a więc nie tylko operatorów infrastruktury krytycznej, ale również wiele firm przemysłowych, produkcyjnych i technologicznych. NIS2 nie mówi jednak szczegółowo, jak technicznie zabezpieczyć sterownik, switch przemysłowy, bramę IoT, komputer embedded czy system SCADA. Tutaj pojawia się rola normy IEC 62443.

Właśnie w tym obszarze szczególne znaczenie mają rozwiązania Advantech rozwijane zgodnie z wymaganiami normy IEC 62443.

IEC 62443 – norma projektowana z myślą o automatyce przemysłowej

IEC 62443 to seria norm opracowana dla systemów automatyki przemysłowej i sterowania, czyli IACS — Industrial Automation and Control Systems. W przeciwieństwie do ogólnych standardów bezpieczeństwa informacji, IEC 62443 koncentruje się na środowiskach OT, w których priorytetem jest nie tylko poufność danych, ale przede wszystkim ciągłość pracy, integralność procesów oraz dostępność urządzeń.

Norma porządkuje cyberbezpieczeństwo na kilku poziomach: od polityk i procedur, przez wymagania systemowe, aż po wymagania dla komponentów. Dzięki temu może być stosowana zarówno przez producentów urządzeń, integratorów systemów, jak i użytkowników końcowych.

W kontekście produktów Advantech szczególnie istotne są dwie części normy:

IEC 62443-4-1 — opisuje wymagania dla bezpiecznego procesu rozwoju produktu. Obejmuje między innymi definiowanie wymagań bezpieczeństwa, modelowanie zagrożeń, bezpieczne projektowanie, bezpieczną implementację, testy, zarządzanie podatnościami i aktualizacjami.

IEC 62443-4-2 — opisuje techniczne wymagania bezpieczeństwa dla komponentów przemysłowych. Dotyczy między innymi uwierzytelniania, autoryzacji, integralności systemu, poufności danych, ograniczania przepływu informacji, logowania zdarzeń i zapewnienia dostępności zasobów.

Jednym słowem IEC 62443 stanowi techniczny pomost między wymaganiami prawnymi a realnymi zabezpieczeniami stosowanymi w systemach OT. NIS2 wymaga odpowiedniego poziomu cyberbezpieczeństwa organizacji, natomiast IEC 62443 pomaga przełożyć te wymagania na procesy i funkcje produktów przemysłowych.

Dlaczego NIS2 i IEC 62443 powinny być analizowane razem?

NIS2 skupia się na odpowiedzialności organizacji. Wymaga, aby firmy wdrażały adekwatne środki techniczne, operacyjne i organizacyjne. Jednak sama dyrektywa nie jest instrukcją projektowania bezpiecznych urządzeń przemysłowych.

IEC 62443 uzupełnia tę lukę. Pokazuje, jak budować bezpieczne komponenty i systemy OT, jak prowadzić proces rozwoju produktu oraz jakie funkcje bezpieczeństwa powinny znaleźć się w urządzeniach wykorzystywanych w automatyce przemysłowej.

Jak produkty Advantech wspierają projekty zgodne z NIS2?

W środowisku przemysłowym szczególnie ważne są wymagania dotyczące kontroli dostępu, integralności, dostępności oraz obsługi incydentów. Produkty Advantech mogą wspierać ten proces w kilku kluczowych obszarach.

Pierwszym obszarem jest identyfikacja i uwierzytelnianie użytkowników. Urządzenia powinny umożliwiać jednoznaczne rozpoznanie użytkownika oraz potwierdzenie jego tożsamości. W praktyce oznacza to indywidualne konta, bezpieczne hasła, obsługę zmian domyślnych danych logowania i integrację z systemami zarządzania dostępem.

Drugim obszarem jest autoryzacja i zasada najmniejszych uprawnień. Użytkownik, aplikacja lub proces powinien mieć wyłącznie takie uprawnienia, które są niezbędne do wykonania zadania. To szczególnie ważne w systemach OT, gdzie nadmierne uprawnienia mogą prowadzić do błędnej konfiguracji lub nieautoryzowanych zmian w procesie.

Trzecim obszarem jest integralność systemu. Firmware, konfiguracja i aktualizacje powinny być chronione przed nieautoryzowaną modyfikacją. Stosuje się tutaj między innymi podpisy cyfrowe, mechanizmy secure boot oraz weryfikację autentyczności oprogramowania.

Czwartym obszarem jest dostępność. W środowiskach przemysłowych niedostępność systemu może oznaczać przestój produkcji. Dlatego IEC 62443 obejmuje również mechanizmy ochrony przed zdarzeniami typu DoS, backup konfiguracji, odtwarzanie systemu oraz utrzymanie kluczowych funkcji w trybie awaryjnym.

Piątym obszarem jest rejestrowanie zdarzeń i rozliczalność. System powinien umożliwiać analizę tego, kto, kiedy i jakie działania wykonał. Ma to znaczenie zarówno dla diagnostyki, jak i dla obsługi incydentów wymaganej przez NIS2.

Advantech jako przykład dostawcy rozwijającego cyberbezpieczne produkty OT

W kontekście automatyki przemysłowej istotne jest nie tylko to, czy użytkownik końcowy wdroży odpowiednie procedury bezpieczeństwa. Coraz większe znaczenie ma również to, czy urządzenia dostarczane do zakładu zostały zaprojektowane zgodnie z zasadami cyberbezpieczeństwa.

Advantech, jako jeden z globalnych liderów automatyki przemysłowej, komunikacji przemysłowej, komputerów embedded i rozwiązań edge IoT, rozwija swoje produkty w oparciu o podejście zgodne z IEC 62443. Firma uzyskała certyfikację IEC 62443-4-1 Maturity Level 2 we wrześniu 2020 roku, co potwierdza wdrożenie procesu bezpiecznego rozwoju produktów.

W swoim portfolio Advantech posiada szereg urządzeń, w tym zarządzalne switche ethernetowe, które uzyskały certyfikację IEC 62443-4-2 Security Level 2. Oznacza to, że wybrane serie (EKI-55xx / EKI-56xx / EKI-57xx / EKI-74xx / EKI-77xx / EKI-92xx / EKI-95xx /EKI-96xx)  spełniają techniczne wymagania bezpieczeństwa dla komponentów przemysłowych, między innymi w zakresie kontroli dostępu, integralności, poufności, dostępności i ograniczania powierzchni ataku.

Dodatkowo Advantech posiada certyfikat ISO/IEC 27001, a więc standard zarządzania bezpieczeństwem informacji. Jest to ważne, ponieważ NIS2 wymaga nie tylko zabezpieczeń technicznych, ale również dojrzałego podejścia organizacyjnego do zarządzania ryzykiem, incydentami i ciągłością działania.

Podsumowanie

NIS2 zmienia sposób myślenia o cyberbezpieczeństwie w przemyśle. Organizacje muszą nie tylko posiadać polityki i procedury, ale również wykazać, że potrafią zarządzać ryzykiem, incydentami, dostawcami i ciągłością działania. W środowiskach OT naturalnym uzupełnieniem tych wymagań jest IEC 62443, czyli norma opisująca, jak zabezpieczać systemy i komponenty automatyki przemysłowej.

Dla firm produkcyjnych i integratorów oznacza to konieczność wyboru technologii, które wspierają zgodność z wymaganiami cyberbezpieczeństwa już na poziomie produktu. Advantech, jako producent rozwiązań dla automatyki przemysłowej rozwija swoje produkty w oparciu o IEC 62443. Posiada certyfikację IEC 62443-4-1 ML2 dla procesu bezpiecznego rozwoju oraz certyfikację IEC 62443-4-2 SL2 dla wybranych produktów, takich jak przemysłowe switche czy routery komórkowe.

W praktyce oznacza to, że cyberbezpieczeństwo nie jest już osobnym dodatkiem do projektu automatyki. Staje się integralną częścią architektury systemu, procesu zakupowego, kwalifikacji dostawców i długoterminowego utrzymania infrastruktury przemysłowej.