יישום ISA/IEC 62443: ציוד היקפי וניתן להסרה מעשית Media הגנה למערכות OT

החלק הראשון כולל סקירה כללית ומציג את המושגים הבסיסיים, הדרישות, המינוח וההנחיות לתכנון ויישום של אבטחת סייבר ב-IACS. 

זה מתחיל בסעיף 62443-1-1, המגדיר את המינוח הבסיסי, המושגים ומודלי הייחוס המשמשים לאורך סדרת הסטנדרטים. לאחר מכן, 62443-1-2 עם מילון מונחים וקיצורים המשמשים לאורך הסדרה, ו-62443-1-3 כדי לדון במדדי אבטחה להערכת ומדידה של אבטחת מערכות. לבסוף, 62443-1-4 מספק הנחיות שיש לפעול אליהן לטיפול באבטחת סייבר בכל המערכות. 

החלק השני, המתמקד בממשל וניהול סיכונים, מספק הנחיות ליצירה, תחזוקה וניהול תוכניות אבטחת סייבר. 

סעיף 62443-2-1 מתאר את תהליך היצירה, היישום והתחזוקה של מערכת ניהול אבטחת סייבר עבור IACS, בעוד ש-62443-2-2 מציע הנחיות יישום מפורטות שארגונים צריכים לעקוב אחריהן בעת ​​הקמת תוכניות אבטחת IACS. לאחר מכן, סעיף 62443-2-3 מספק שיטות עבודה מומלצות לניהול תיקוני תוכנה וקושחה לשמירה על אבטחת המערכת, ולבסוף, סעיף 62443-2-4 מפרט דרישות אבטחת סייבר ושיטות עבודה מומלצות עבור ספקי שירותים העובדים בסביבות תעשייתיות.

חלק זה מספק הנחיות לתכנון ויישום של מערכות מאובטחות ומתייחס לדרישות אבטחת הסייבר עבור IACS. הוא מכסה הערכת סיכונים, דרישות ואסטרטגיות אבטחת מערכת, ורמות אבטחת מערכת.  

סעיף 62443-3-1 סוקר טכנולוגיות אבטחה קיימות ומתפתחות הרלוונטיות ל-IACS. לאחר מכן, 62443-3-2 מציג מתודולוגיה להערכת וניהול סיכוני אבטחת סייבר במהלך תכנון המערכת. לבסוף, 62443-3-3 קובע דרישות אבטחת מערכת מפורטות ומסווג אותן לארבע רמות אבטחה (SL1-SL4).

החלק הרביעי והאחרון בסדרה מתאר את מחזור חיי פיתוח המוצר. הוא מתמקד באבטחה של רכיבים בודדים של מערכות ניהול מערכות (IACS), כגון SCADA (בקרת פיקוח ורכישת נתונים), בקרים לוגיים מתוכנתים (PLC) וחיישנים. 

הוא כולל שני חלקים. סעיף 62443-4-1 מתאר את התהליכים של מחזור חיים של פיתוח מוצר, כולל תכנון, פיתוח ותחזוקה של רכיבי IACS, וסעיף 62443-4-2 מפרט את דרישות האבטחה הטכניות והיכולות הנדרשות עבור רכיבי IACS בודדים בתוך המערכת. 

תקנים אלה אומצו בתעשיות שונות, כולל ייצור, תשתיות קריטיות, נפט וגז, שירותי בריאות וטיפול בשפכים. האופן שבו ארגון יכול להשתמש בסדרת ISA/IEC 62443 תלוי בתפקיד הארגון בתעשייה ספציפית, בין אם מדובר בתפעול, תחזוקה, שילוב או ייצור רכיבים עבור מערכות שליטה ובקרה (IACS).

בעלי נכסים היוצרים פרוטוקולי אבטחה ומפעילים IACS יכולים לעיין בסעיף 2 של תקן ISA/IEC 62443 כדי לפתח דרישות עבור משלבי מערכות. הנחיות אלו יכולות לעזור להם לקבוע אילו תכונות אבטחה הם צריכים באופן ספציפי במוצר.

עקב ביצוע שירותי אינטגרציה, תחזוקה ושירותים דומים הקשורים למערכות מידע מבוזרות (ICS), משלבי מערכות משתמשים בעיקר בתקני 62443-3 כדי להעריך את רמת האבטחה של בעלי הנכסים ולעבד את דרישותיהם. כמו כן, תקני 62443-3-3 משמשים להערכת אבטחת הרכיבים המיוצרים על ידי יצרני מוצרים ולקבוע אם הם כוללים את התכונות הנדרשות על ידי בעלי הנכסים.

תקני 62443-3-3 מספקים דרישות אבטחה טכניות קריטיות ורמות אבטחה שיש להשתמש בהן כנקודת ייחוס לרמת האבטחה שיש להשיג. סעיף זה משמש את משלבי המערכות כדי לעמוד בסטנדרטים של המערכות שהם מפתחים.

רמות האבטחה המוגדרות נועדו למדוד את העוצמה ולהדגיש את גורמי הסיכון במערכות OT ו-IACS. ארבע רמות אבטחה מוגדרות בתקן 62443-3-3, החל מ-1 כרמת המינימום ועד 4 כרמת המקסימום.

מדיה נשלפת, כגון USB ודיסקים קשיחים חיצוניים משמשים לעתים קרובות כצינורות להעברת נתונים ברשתות IACS ו-OT, למרות סיכוני האבטחה המשמעותיים שהם מהווים. היו מתקפות סייבר בולטות שנגרמו על ידי מדיה נשלפת, כמו Stuxnet שכיוונה את מתקן הגרעין של איראן בנתנז (2010), מתקפת תחנת הכוח הגרעינית קודאנקולאם בהודו (2019) ומתקפת Agent.BTZ שהתפשטה דרך רשתות משרד ההגנה האמריקאי (2008). 

הכללת הגנה על מדיה היקפית ונשלפת כחלק מאסטרטגיית ההגנה לעומק יכולה למלא תפקיד חיוני בהפחתת התקפות כאלה, ובהשגת תאימות לתקני ISA/IEC 62443, ובכך להפחית את הסיכון לפריצות נתונים ולשיבושים במערכת. לדוגמה, פתרון פיזי, כמו MetaDefender Kiosk™ , יכול לסרוק מדיה נשלפת באמצעות מנועי אנטי-וירוס מרובים כדי להבטיח את בטיחותה. פתרונות אחרים כמו MetaDefender Drive™ , MetaDefender Media Firewall™ , MetaDefender Endpoint™ ו- MetaDefender Managed File Transfer ( MFT )™ יכולים למלא תפקיד מרכזי בשיפור רמת האבטחה ואסטרטגיית ההגנה לעומק שלכם.