Seria norm IEC 62443

Międzynarodowa seria norm IEC 62443 „Przemysłowe sieci komunikacyjne – Bezpieczeństwo sieci i systemów” dotyczy sposobu osiągnięcia bezpieczeństwa w automatyce. Jej zakres tematyczny obejmuje zagadnienia od analizy ryzyka, poprzez wymagania dotyczące bezpiecznej eksploatacji, aż po bezpieczne opracowywanie produktów („bezpieczeństwo przez projektowanie”). W związku z tym norma IEC 62443 oferuje obecnie wykaz najlepszych praktyk dla operatorów instalacji, konstruktorów maszyn i producentów urządzeń w zakresie skutecznego wdrażania bezpieczeństwa przemysłowego.

Norma IEC 62443 obejmuje pięć obszarów: podstawowe wymagania bezpieczeństwa przemysłowego, zasadę funkcjonowania stref i kanałów, poziomy bezpieczeństwa, cykl życia bezpieczeństwa i analizę ryzyka.

Kluczowym elementem jest procedura oceny ryzyka dla funkcji bezpieczeństwa, która może być podstawą do definiowania spersonalizowanych środków bezpieczeństwa. Podkreślono również zależność pomiędzy środkami organizacyjnymi i technicznymi. W najgorszym przypadku same rozwiązania techniczne dają jedynie złudne poczucie bezpieczeństwa, ponieważ mogą one zostać łatwo osłabione zachowaniami ludzi. Na przykład: hasło zapewnia ochronę tylko pod warunkiem, że jest zmieniane, nie jest udostępniane innym osobom i nie jest w sposób widoczny dostępne na urządzeniu.

Aby spełnić wymagania bezpieczeństwa OT, systemy automatyki przemysłowej wymagają podejścia polegającego na ochronie w głąb. Firma Pilz wykorzystuje swoją wiedzę specjalistyczną, aby wspierać producentów i operatorów maszyn we wdrażaniu wymagań organizacyjnych i technicznych, w szczególności tych określonych w normie IEC 62443.

Koncepcja bezpieczeństwa przemysłowego oraz zgodność z normami i wymogami prawnymi przynoszą znaczące zwiększenie cyberbezpieczeństwa firmy – nawet na poziomie maszyn. 

ISO/IEC TS 63074:2023

„Bezpieczeństwo maszyn – Aspekty bezpieczeństwa związane z bezpieczeństwem funkcjonalnym systemów sterowania związanych z bezpieczeństwem”

Podstawowym celem normy jest powiązanie bezpieczeństwa i ochrony, ponieważ dotyka ona sedna wymogów Rozporządzenia w sprawie maszyn. W zakresie identyfikacji zagrożeń i słabych punktów zabezpieczeń korzysta się z normy IEC 62443. Bierze ona pod uwagę słabe punkty sterownika bezpieczeństwa, które mogą zostać wykorzystane w ramach zagrożeń dla bezpieczeństwa (takich jak nieautoryzowany dostęp, złośliwe oprogramowanie lub cyberataki). Celem jest ochrona funkcji bezpieczeństwa, tak aby mogły one faktycznie spełniać swoją rolę ochronną. Zasada „ochrony w głąb” jest szczególnie zalecana w kontekście bezpieczeństwa.

W dokumencie zdefiniowano przypadki użycia i zastosowano do nich odpowiednie modele zagrożeń. Pomaga to zrozumieć, jak zagrożenia mogą wpłynąć na bezpieczeństwo. Inne skutki cyberataku nie są uwzględniane wprost.

ISO 27001 – Systemy Zarządzania Bezpieczeństwem Informacji (SZBI)

Dyrektywa NIS 2 skupia się na systemach zarządzania bezpieczeństwem informacji. Szczególną uwagę zwraca się na normę ISO/IEC 27001, która jest uznawana na całym świecie za faktyczny standard w zakresie bezpieczeństwa informacji i podlega certyfikacji. Określa wymagania dotyczące systemu zarządzania bezpieczeństwem informacji.

Mówimy o bezpieczeństwie informacji, a nie o bezpieczeństwie IT, ponieważ wszystkie informacje muszą być chronione bez względu na to, czy są cyfrowe czy analogowe (zapisane ręcznie, przekazywane ustnie i wizualnie), zapisane na kartce papieru czy przechowywane w chmurze. Ponieważ obecnie wiele informacji przetwarza się przy wykorzystaniu technologii informatycznych, bezpieczeństwo informatyczne odgrywa coraz większą rolę.

Zasadniczo celem jest minimalizowanie ryzyka związanego z bezpieczeństwem informacji we wszystkich obszarach organizacji. Dotyczy to również środków produkcji, takich jak maszyny i sieci OT.

Jeżeli organizacja wymaga wdrożenia ISMS (systemu zarządzania bezpieczeństwem informacji) zgodnego z normą ISO/IEC 27001 ze względu na wymagania zewnętrzne (np. wymogi prawne lub umowy z klientem) lub chce wdrożyć system z własnej inicjatywy (np. w celu ochrony siebie lub wykorzystania publicznego wizerunku jakości), nie może ignorować tematu cyberbezpieczeństwa przemysłowego.

W ten sposób wracamy do normy IEC 62443, która obecnie oferuje najlepsze podstawy bezpieczeństwa informacji w obszarze bezpieczeństwa przemysłowego.

Szybko rosnące zagrożenie cyberatakami, które mogą spowodować ogromne straty materialne, prowadzi do wytyczania na całym świecie ram prawnych określających minimalne standardy, które muszą spełniać przedsiębiorstwa, instalacje przemysłowe, maszyny i podzespoły maszyn. Cyberbezpieczeństwo to nowy wymóg i absolutna konieczność – zwłaszcza w przypadku infrastruktury krytycznej.

Aby ograniczyć ryzyko, europejscy prawodawcy wprowadzili nowe zbiory zasad.

Rozporządzenie w sprawie maszyn

Rozporządzenie w sprawie maszyn 2023/1230 zostało przyjęte w czerwcu 2023 r. i wejdzie w życie we wszystkich państwach UE po 42-miesięcznym okresie przejściowym. Rozporządzenie dotyczy producent maszyn lub zespołów maszyn i integratorów systemów. W przyszłości wytwórcy maszyn będą musieli potwierdzić, że maszyny spełniają wymagania Rozporządzenia w sprawie maszyn, w tym również wymogi dotyczące bezpieczeństwa i ochrony. Obejmuje to m.in. ochronę przed uszkodzeniem oraz środki zapobiegania złośliwym ingerencjom ze strony osób trzecich, których celem jest doprowadzenie do niebezpiecznej sytuacji. Zgodność z Rozporządzeniem w sprawie maszyn formalnie potwierdza się w Deklaracji zgodności. Znak CE jest umieszczany na maszynie w widocznym miejscu. Maszyny, które nie spełniają wymogów nowego Rozporządzenia w sprawie maszyn, nie będą mogły być sprzedawane na terenie UE.

Firma Pilz od lat wspiera producentów maszyn w procesie uzyskania zgodności w niemal każdym obszarze: od koncepcji bezpieczeństwa, poprzez analizę i ocenę ryzyka, aż po deklarację zgodności. W przyszłości zajmiemy się również aspektami dotyczącymi bezpieczeństwa i odpowiedniego zabezpieczenia.

Dyrektywa UE w sprawie bezpieczeństwa sieci i informacji (NIS 2) 2022/2555

Dyrektywa NIS 2 ustanawia jednolity poziom ochrony przed cyberatakami dla „istotnych i ważnych” podmiotów w UE. W przeciwieństwie do Rozporządzenia w sprawie maszyn opisuje ona wymagania dotyczące cyberbezpieczeństwa dla przedsiębiorstw, a nie maszyn. Dyrektywa przewiduje różne wymagania dla różnych obszarów w zależności od znaczenia danego przedsiębiorstwa dla gospodarki (znaczenie krytyczne). Przykładowo przedsiębiorstwa z sektora dostaw energii i transportu kolejowego są uznawane za krytyczne. Inne podmioty objęte dyrektywą NIS 2 to producenci maszyn i urządzeń zatrudniający ponad 50 pracowników lub osiągający roczny obrót przekraczający 10 mln EUR, w tym ci z mniej krytycznych sektorów.

Przedsiębiorstwa muszą podejmować środki techniczne, operacyjne i organizacyjne w celu zarządzania zagrożeniami dla bezpieczeństwa sieci i systemów informatycznych. Obejmuje to między innymi szkolenie kadry kierowniczej i pracowników. Ważne jest, aby wziąć pod uwagę nie tylko klasyczną infrastrukturę IT biura, ale także obszar OT, a co za tym idzie: Bezpieczeństwo przemysłowe.

Cyber Resilience Act (2024/2847)

Cyber Resilience Act ma na celu poprawę bezpieczeństwa produktów zawierających elementy cyfrowe. Dotyczy producentów i podmiotów wprowadzających produkty na rynek. Obejmuje również producentów maszyn. Ustawa CRA wprowadza obowiązkowe wymogi bezpieczeństwa do całego cyklu życia produktu. Wymaga dochowania należytej staranności przez cały cykl życia, co obejmuje również zobowiązanie producenta do zapewnienia aktualizacji oprogramowania w ramach procesu zarządzania lukami w zabezpieczeniach przez okres co najmniej 5 lat w przypadku ujawnienia słabego punktu w zabezpieczeniach produktu. Oznakowanie CE produktów wymaga zgodności z ustawą CRA od momentu wejścia jej w życie. W ten sposób ustawa CRA uzupełnia Dyrektywę NIS 2 i Rozporządzenie w sprawie maszyn o kwestie bezpieczeństwa produktu.