BLOG

Řešení kompenzačních opatření kybernetické bezpečnosti dle norem IEC 62443

Kybernetická bezpečnost průmyslových řídicích systémů (ICS) je aktuálně velmi diskutovaným pojmem. ICS jsou mnohdy staršího data výroby a jejich vylepšení mohou být neúměrně nákladná. Z tohoto důvodu jsou ICS často v rámci různých systémů řízení kybernetické bezpečnosti více či méně opomíjeny. Manažeři kybernetické bezpečnosti se tak snaží nalézt nové přístupy k řízení kybernetické bezpečnosti. Kompenzační opatření představená v tomto článku jsou jedním z nich.

Úvod

Kybernetická bezpečnost průmyslových řídicích systémů (Industrial Control System – ICS) je relativně novým oborem, z tohoto důvodu také její standardizace přichází postupně a s určitým zpožděním. V organizacích je obvykle zajištěna využitím některých mezinárodních metodických rámců pro řízení kybernetické bezpečnosti. Obecně platnými rámci jsou např. řady norem IEC 62443, řada NIST (konkrétně NIST SP 800-82 „Guide to Industrial Control Systems (ICS) Security“ je hojně používaná pro ochranu různých ICS systémů [1]), francouzská ANSSI a německá BSI. [2] Mezi rámce zaměřené konkrétně na určitý sektor se řadí NRC Regulation 5.71 pro nukleární energetiku, API 1164 pro petrochemický průmysl a CFATS pro chemická zařízení. Speciální řadu standardů představuje NERC CIP, jenž je cílený na kritickou infrastrukturu státu. [3] Kybernetická bezpečnost je také částečně řešena ve známé sérii standardů řady ISO 27000.

Nutno podotknout, že ačkoli jsou některé výše zmíněné standardy vydávány státními autoritami, jsou používány přímo i nepřímo s určitými modifikacemi napříč celým světem. Tyto nejvýznamnější standardy také slouží jako inspirace pro velké podniky k tvorbě vlastních interních politik a procedur. S pokračujícím vývojem zákonů o kybernetické bezpečnosti napříč jednotlivými státy světa je na ně často také odkazováno přímo z těchto lokálních zákonů. [3] V České republice lze v zákonu č. 181/2014 Sb., o kybernetické bezpečnosti nalézt referenci na systém řízení bezpečnosti informací prezentovaný sérií ISO 27000 [4]. Jejich celosvětový význam pro kybernetickou bezpečnost podniků je tedy nesporný.

Bezpečnostní rámce jsou tvořeny zpravidla sérií různých standardů a představují ucelenou metodiku pro řízení kybernetické bezpečnosti. Vzhledem k dlouholeté praxi jejich rozsáhlé implementace v celosvětovém měřítku lze jejich aplikaci a následnou kustomizaci obecně doporučit pro každý podnik využívající ICS. Protože ICS jsou mnohdy systémy staršího data výroby, není často možné implementovat všechny bezpečnostní požadavky obsažené v těchto standardech. [1] Z tohoto důvodu je vhodné implementovat kompenzační opatření1, která mohou snížit bezpečnostní rizika na přijatelnou úroveň. Smyslem kompenzačních opatření je částečně nebo zcela vyrovnat riziko vzniklé z nemožnosti implementace konkrétního bezpečnostního požadavku. Tento článek se zabývá popisem řešení kybernetické bezpečnosti dle norem IEC 62443 a analyzuje, jakým způsobem jsou v ní řešena kompenzační opatření. Dále je v něm navržen soubor možných kompenzačních opatření na základě dostupné odborné literatury a zkušeností autorů.

Řešení kybernetické bezpečnosti dle norem IEC 62443

První norma tohoto mezinárodního bezpečnostního rámce byla publikována až v roce 2002 pod označením ISA-99, později byla adoptována organizací IEC a dnes je známá pod označením IEC 62443. [5] Ačkoli zdaleka ne všechny normy z této řady byly dokončeny a vydány (viz popis norem níže), s postupující praxí implementací systémů kybernetické bezpečnosti napříč různými průmyslovými odvětvími získává tato řada norem převahu a uznání napříč mnoha průmyslovými podniky a výrobci technologií. Tento rámec přiměřeně vyvažuje technickou a procesní stránku kybernetické bezpečnosti (zde je vidět podstatný rozdíl oproti řadě norem ISO 27000, která je zaměřena především na procesy organizace).