Nya standarder för säker industriell IT

Standarder att bygga säkerhet i industrins IT. Foto: SEK

För att ge riktlinjer för hur man bygger upp och hanterar IT-säkerheten i ett system för industriell processtyrning eller teknisk infrastruktur – eller, om man så vill, ett SCADA-system – har den internationella standardiseringsorganisationen IEC gett ut en serie standarder och rapporter i serien IEC 62443. Den bygger vidare på ett amerikanskt arbete, kallat ISA 99.

IEC 62443 fokuserar på hur man gör för att uppnå det önskade skyddet, som förstås beror på vilken nivå som valts för de olika delarna av systemet. Standarden bygger på en uppdelning av systemet i avgränsade zoner och kanaler med olika säkerhetsnivåer och därmed med olika strikta krav. Riskbedömningen är central i sammanhanget, eftersom hotbild, känslighet och möjliga konsekvenser är olika från anläggning till anläggning.

IEC 62443-serien fokuserar på industriella automationssystem, alltså det som ibland kallas OT – operational techology – till skillnad från IT, information technology. För det mer övergripande arbetet med informationssäkerhet har IEC och ISO tillsammans tagit fram standarderna i den kända serien ISO/IEC 27000. För andra sektorer kan det finnas särskilda IT-säkerhetsstandarder, som serien IEC 62351 för elkraftsystem. Inom andra pågår arbete, t ex inom det marina området med en kommande IEC 63154 för radio- och navigationssystem.

IEC driver också i IECEE en omfattande internationell verksamhet, som gör det möjligt att få produkter certifierade mot internationella standarder från IEC. IECEE har tagit fram ett program för certifiering mot standarder i serien IEC 62443. För närvarande omfattas delarna -2-4, -3-3, -4-1 och -4-2,