Cybersecurity Cybersecurity systeemontwe
In de cybersecurity staat men nooit stil. Een systeem dat gisteren 100% veilig was, is het vandaag al niet meer. Zowel leveranciers, systeemintegratoren en asset owners moeten hun steentje bedragen om het beveiligingsniveau zo hoog mogelijk te krijgen en te houden! De norm IEC-62433 beschrijft hoe dit moet: techniek, procedures en processen. Onlangs is een nieuwe versie uitgekomen van de IEC-62443-3-2, waarin de werkwijze voor het uitvoeren van een risico-assessment en het maken van het systeemontwerp zijn beschreven.
R.A. Hulsebos
Wat is de IEC-62443? De norm IEC-62443 beschrijft hoe te werk moet worden gegaan om specifiek voor een industriële omgeving de cybersecurity in te regelen. Het is een voortzetting van de norm ISA-99, de naam waaronder er nog vaak aan gerefereerd wordt. Die is al in 2007 uitgekomen, maar na de overdracht naar de IEC is fors doorgewerkt aan een verdere uitbouw. Bovendien is er na de uitbraak van de ‘Stuxnet’ malware gekeken welke aanpassingen nodig waren om herhaling te voorkomen.
Afbeelding 1
Dit is zo gedaan om de verschillende eisen, taken en verantwoordelijkheden duidelijk van elkaar te schei- den. Bijvoorbeeld, een gebruiker van een apparaat heeft immers geen invloed op de veiligheid van de firmware die er in zit, en anderzijds heeft de leveran- cier de taak om die firmware zo veilig als mogelijk op te leveren, dan wel een taak in nazorg mocht er een probleem in die firmware ontdekt worden.
De diverse documenten zijn nu in verschillende stadia van standaardisatie, sommige zijn al af, aan anderen wordt nog gewerkt. Document 62443-3-1 is een over- zicht van beveiligings-technologieën en hun sterktes en zwaktes. Van de IE62443-3-2 ‘Security Risk Assess- ment and System Design’ is begin 2018 de laatste versie uitgekomen, die nu (mei 2018) in stemming is. Het is een redelijk compact document, dat de work- flow op een redelijk eenvoudige wijze beschrijft. Wel wordt gerefereerd aan de IEC 62443-3-3, die beschrijft hoe ‘security levels’ (SL) bepaald moeten worden (zie kader ‘Security Levels’).
Zone & Conduit Requirements De titel ‘Security Risk Assessment and System Design’ geeft al aan dat in de IEC 63443-3-2 een belangrijke activiteit wordt uitgevoerd. Concreet: het definiëren van de beveiligingsmaatregelen om de cyber-risico’s waaraan een IACS bloot staat tot een aanvaardbaar niveau terug te brengen. Welke risico’s dat zijn, en wat ‘aanvaardbaar’ is, en op welke wijze dat gehaald moet worden, wordt niet vastgelegd. Dat kan ook niet, want dat is immers de expertise van de IACS-eigenaar (asset owner), die weet het beste waar de risico’s in zijn systeem zitten, en wat de consequenties zijn als het fout gaat.
Centraal in de IEC-62443 staan ‘Zones’ en ‘Conduits’:
Concreet vraagt de IEC-62443 om het inrichten van een ‘Information Security Management System’ (ISMS) voor een ‘Industrial Automation and Control System’ (IACS). Ze bestaat uit vier reeksen documenten (afbeelding 1):
- IEC-62443-1-X bevat de algemene documenten - IEC-62443-2-X is bedoeld voor de eigenaren van een IACS (‘asset owner’)
- IEC-62443-3-X is voor systeemintegratoren, en - IEC-62443-4-X voor leveranciers (van hardware en software).
6 | nummer 4 | 2018
- Een zone bevat alle assets (systemen, besturingen, netwerkapparatuur, software, I/O, etc.) waaraan gelijke beveiligingseisen worden gesteld.
- Een conduit bevat de communicatiekanalen tussen zones waaraan gelijke beveiligingseisen gesteld worden. Er kunnen dus meerdere conduits tussen 2 zones zijn.
De apparatuur die in dezelfde zone geplaatst is kan elkaar dus vertrouwen, daarvoor hoeven geen extra
Page 1 |
Page 2 |
Page 3 |
Page 4 |
Page 5 |
Page 6 |
Page 7 |
Page 8 |
Page 9 |
Page 10 |
Page 11 |
Page 12 |
Page 13 |
Page 14 |
Page 15 |
Page 16 |
Page 17 |
Page 18 |
Page 19 |
Page 20 |
Page 21 |
Page 22 |
Page 23 |
Page 24 |
Page 25 |
Page 26 |
Page 27 |
Page 28 |
Page 29 |
Page 30 |
Page 31 |
Page 32 |
Page 33 |
Page 34 |
Page 35 |
Page 36 |
Page 37 |
Page 38 |
Page 39 |
Page 40 |
Page 41 |
Page 42 |
Page 43 |
Page 44 |
Page 45 |
Page 46 |
Page 47 |
Page 48
