Nya standarder för cybersäkerhet

I industrisystem gäller det att skydda produktionen mot cyberangrepp. Foto: SEK

Industri, forskning och myndigheter världen över arbetar tillsammans för att ta fram riktlinjer för ökad cybersäkerhet i olika slags tekniska system. I datanät i industrin är riskerna – och kraven på skydd – lite andra än i rent administrativa system. I industrisystem, ofta kallade OT-system, kan det vara viktigare att skydda produktionen och miljön, än att som i administrativa IT-system omedelbart hindra personuppgifter och andra data från att komma i orätta händer.

Grundläggande arbeten för skydd mot intrång och attacker har gjorts för system för processindustrin. Resultaten därifrån har använts för anpassade standarder för andra typer av system – för elnät, järnvägar, marina system, anläggningar – medan medicinteknik och kärnkraft utgått från andra förutsättningar. De har alla det gemensamt att de är mer teknik- och lösningsorienterade än de mer kända och generella ledningssystemstandarderna i serien ISO/IEC 27000.

För att ge riktlinjer för hur man bygger upp och hanterar IT-säkerheten i ett system för industriell processtyrning eller teknisk infrastruktur – eller, om man så vill, ett SCADA-system – har den internationella standardiseringsorganisationen IEC gett ut en serie standarder och rapporter i serien IEC 62443. Den bygger vidare på ett amerikanskt arbete, kallat ISA 99.

IEC 62443 bygger på sju grundläggande fordringar, som beskrivs i den första, orienterande delen. De är kontroll av åtkomst och användning , skydd mot avlyssning och ändring av data och skydd mot obehörig publicering samt snabbt ingripande om något händer och upprätthållande av tillgängligheten.

Hur långt en angripare kan komma beror också på hur systemet är uppbyggt. IEC 62443 bygger därför på en uppdelning av systemet i avgränsade zoner och kanaler med olika säkerhetsnivåer och därmed med olika krav. Standarden fokuserar på hur man gör för att uppnå det önskade skyddet, som förstås beror på vilken nivå som valts för de olika delarna av systemet. Eftersom hotbild, känslighet och möjliga konsekvenser är olika från anläggning till anläggning spelar riskbedömningen en stor roll.