Inżynierowie zajmujący się bezpieczeństwem cybernetycznym w przemyśle powinni być świadomi rosnącego ryzyka związanego z coraz bardziej połączonymi ze sobą wzajemnie komponentami automatyki. Budujmy systemy przemysłowe tak, aby działały bezpiecznie przez cały cykl życia.
Przemysłowy Internet Rzeczy (IIoT), połączone urządzenia i ogromne ilości generowanych danych tworzą wiele nowych możliwości, ale zwiększają również ryzyko związane z cyberbezpieczeństwem. Ta zmiana stawia przed inżynierami wyzwanie stosowania odpowiednich działań w zakresie cyberbezpieczeństwa, tak aby projektować i budować systemy, które będą działać bezpiecznie przez cały cykl życia. Rozmowa z Maxem Wanderą, dyrektorem Centrum Doskonalenia Bezpieczeństwa Cybernetycznego Produktów firmy Eaton, dostarcza wskazówek dla inżynierów sterowania pracujących nad bezpieczeństwem cybernetycznym w przemyśle.
Jakie są największe wyzwania związane z cyberbezpieczeństwem, przed którymi stoją branże sterowania i automatyki?
Kluczowe trendy wpływające na cyberbezpieczeństwo to rosnąca cyfryzacja i obecny brak globalnych, powszechnie akceptowanych standardów dla cyberbezpieczeństwa. Tworzenie zaufanych środowisk jest koniecznością, a bezpieczeństwo cybernetyczne jest niezbędnym elementem rozwoju produktu, podobnie jak bezpieczeństwo i jakość. Zagrożenia związane z bezpieczeństwem cybernetycznym muszą być traktowane poważnie i należy im przeciwdziałać w sposób proaktywny, stosując systemowe podejście defensywne. Analitycy z Grand View Research Inc. szacują, że do 2025 roku na wdrożenie rozwiązań IIoT na całym świecie zostaną wydane prawie 4 biliony złotych. W miarę jak organizacje dążą do coraz większej cyfryzacji, konieczna jest ochrona dostępności, integralności i poufności połączonych systemów. Tworzenie środowisk cyberbezpiecznych jest trudne bez globalnej oceny zgodności. Obecnie kraje na całym świecie opracowują własne wymagania. Ta luka w zgodności utrudnia producentom określenie norm, zgodnie z którymi powinni budować komponenty, zwłaszcza że produkty są wytwarzane i sprzedawane na całym świecie. Co więcej, systemy sterowania i infrastruktura elektryczna składają się zazwyczaj z technologii pochodzących od różnych dostawców.
Gdzie powinien zaczynać się i kończyć zakres zabezpieczeń komponentu, jeśli nie istnieje globalny system oceny zgodności, który zapewniałby, że zintegrowane komponenty nie są podatne na atak?
Posiadanie wspólnego zestawu zweryfikowanych wymagań dla produktów na poziomie globalnym jest bardzo ważne. W zakresie bezpieczeństwa cybernetycznego Eaton współpracuje z UL, Międzynarodową Komisją Techniczną (IEC), Międzynarodowym Stowarzyszeniem Automatyki (ISA) Global Cybersecurity Alliance i innymi partnerami z branży elektrycznej i spoza niej w celu rozwoju globalnej oceny zgodności dla technologii zarządzania energią.
W jaki sposób inżynierowie mogą zapewnić, że najważniejsze systemy i procesy są odporne na zagrożenia?
Bezpieczeństwo sieci lub systemu jest tylko tak mocne, jak jego najsłabsze ogniwo. Inżynierowie muszą zatem stosować zasadę bezpiecznego projektowania w całym cyklu życia produktu. Muszą upewnić się, że mają odpowiednie szkolenia, technologie i procesy, aby spełnić wymagania dotyczące bezpieczeństwa cybernetycznego w całym cyklu życia produktu.
Które normy bezpieczeństwa cybernetycznego są ważne dla inżynierów?
Istnieją certyfikaty procesowe, produktowe i laboratoryjne, a uzyskanie akredytacji jest niezbędne do budowania godnych zaufania środowisk. IEC przyjęła serię norm 62443, która stanowi ramy dla cyberbezpieczeństwa przemysłowych systemów sterowania (ICS). Normy te zawierają wymagania dla wszystkich głównych ról w całym cyklu życia systemu – od projektowania i rozwoju produktu, poprzez integrację, instalację, eksploatację i wsparcie. IEC stworzyła również normę 62443-4-2 w celu poprawy bezpieczeństwa produktów. UL również stworzył 2900 Standard for Software Cybersecurity for Network Connectable Products (UL 2900). Wytyczne te obejmują procesy testowania urządzeń pod kątem luk w zabezpieczeniach, słabości i złośliwego oprogramowania. Norma ta potwierdza, że producent urządzenia spełnia wytyczne dla:
– procesów zarządzania ryzykiem,
– oceny i testowania na obecność podatności oprogramowania i złośliwego oprogramowania,
– kontroli ryzyka bezpieczeństwa architektury.
Certyfikacja procesów rozwoju produktów przez IEC i UL oznacza, że klienci mogą być pewni, iż produkty i rozwiązania, które kupują od nas, spełniają ten sam poziom standardów zalecanych przez dwie kluczowe organizacje normalizacyjne na całym świecie. UL zapewnia program akceptacji danych dla producentów, który certyfikuje laboratoria testujące z globalną zdolnością do testowania produktów z inteligencją lub wbudowaną logiką zgodnie z kluczowymi aspektami standardu 2900. Produkty testowane w tych wyspecjalizowanych laboratoriach spełniają najwyższe branżowe wymagania w zakresie bezpieczeństwa cybernetycznego, zanim zostaną zainstalowane w systemach o znaczeniu krytycznym. Wprowadziliśmy pierwszy ośrodek badawczy i testujący zatwierdzony do udziału w programie UL’s Cybersecurity Client Lab Validation w Pittsburgu, a następnie dodaliśmy drugie laboratorium Eaton, które dołączyło do programu w mieście Pune, w Indiach. Oprócz certyfikacji produktów zalecam inżynierom konsultowanie się z producentami, którzy wprowadzają bezpieczeństwo w całym procesie rozwoju produktu, czyli w cyklu bezpiecznego rozwoju (SDL). SDL został stworzony w odpowiedzi na wzrost ilości wirusów i złośliwego oprogramowania po roku 2000. To podejście do rozwoju produktu stawia bezpieczeństwo cybernetyczne w centrum uwagi od momentu powstania do wdrożenia i utrzymania cyklu życia. SDL może pomóc producentom wyprzedzić cyberprzestępców poprzez zarządzanie ryzykiem związanym z bezpieczeństwem cybernetycznym w całym cyklu życia produktu.
A jakie znaczenie ma ujednolicenie wymogów bezpieczeństwa cybernetycznego dla połączonych urządzeń i systemów?
Połączony świat potrzebuje zaufanych środowisk. Postępująca cyfryzacja przy jednoczesnym budowaniu zabezpieczeń zapewnia najwyższy poziom obrony przed pojawiającymi się zagrożeniami cyberbezpieczeństwa. W miarę tego, jak coraz więcej branż wdraża rozwiązania IIoT, bezpieczeństwo i ochrona operacji przemysłowych stają się coraz ważniejsze i trudniejsze do implementacji. Złożoność ta wynika po części z braku globalnego, powszechnie akceptowanego standardu bezpieczeństwa cybernetycznego i schematu oceny zgodności zaprojektowanego w celu walidacji produktów połączonych. Istnieje mnogość różnych norm i przepisów stworzonych przez różne organizacje, kraje i sojusze regionalne na całym świecie. Wszystkie te standardy i regulacje odnoszą się do pilnej potrzeby zabezpieczenia naszego „połączonego” świata, jednak stwarzają one również pewne zamieszanie i możliwość powstania słabych ogniw w infrastrukturach. Nadszedł czas na przeprowadzenie jednolitej oceny zgodności. Nasza firma współpracuje z liderami branży, aby tego właśnie dokonać. The International Society of Automation (ISA) Global Cybersecurity Alliance i jego członkowie wspierają działania na rzecz globalnego standardu bezpieczeństwa cybernetycznego i współpracy branżowej.
W jaki sposób inżynierowie mogą się dowiedzieć więcej o bezpiecznym projektowaniu i bezpieczeństwie połączonych systemów?
Cybersecurity perspectives to globalne, wirtualne forum, które pomaga rozwijać zaufane środowiska cyfrowe. Ta internetowa platforma edukacyjna gromadzi ekspertów, partnerów i klientów z całego świata, którzy omawiają zdobyte doświadczenia, najlepsze praktyki i standardy branżowe, aby tworzyć bezpieczne jutro. Sesje edukacyjne obejmują kluczowe spostrzeżenia liderów branży oraz prowadzone przez ekspertów dyskusje panelowe na temat trendów w dziedzinie bezpieczeństwa.
Max Wandera jest dyrektorem Product Cybersecurity Center of Excellence w firmie Eaton
