Standarder för cybersäkerhet

Ökad cybersäkerhet i olika slags tekniska system

Industri, forskning och myndigheter världen över arbetar tillsammans för att ta fram riktlinjer för ökad cybersäkerhet i olika slags tekniska system.

I datanät i industrin är riskerna – och kraven på skydd – lite andra än i rent administrativa system. I industrisystem, ofta kallade OT-system, kan det vara viktigare att skydda produktionen och miljön, än att som i administrativa IT-system omedelbart hindra personuppgifter och andra data från att komma i orätta händer.

Grundläggande arbeten för skydd mot intrång och attacker har gjorts för system för processindustrin. Resultaten därifrån har använts för anpassade standarder för andra typer av system – för elnät, järnvägar, marina system, anläggningar – medan medicinteknik och kärnkraft utgått från andra förutsättningar. De har alla det gemensamt att de är mer teknik- och lösningsorienterade än de mer kända och generella ledningssystemstandarderna i serien ISO/IEC 27000.

Industri och teknisk infrastruktur
För att ge riktlinjer för hur man bygger upp och hanterar IT-säkerheten i ett system för industriell processtyrning eller teknisk infrastruktur – eller, om man så vill, ett SCADA-system – har den internationella standardiseringsorganisationen IEC gett ut en serie standarder och rapporter i serien IEC 62443. Den bygger vidare på ett amerikanskt arbete, kallat ISA 99.

IEC 62443 bygger på sju grundläggande fordringar, som beskrivs i den första, orienterande delen. De är kontroll av åtkomst (access) och användning (use), skydd mot avlyssning och ändring av data (confidentiality och integrity) och skydd mot obehörig publicering (restricted data flow) samt snabbt ingripande om något händer (timely response) och upprätthållande av tillgängligheten (resource availability).

Hur långt en angripare kan komma beror också på hur systemet är uppbyggt. IEC 62443 bygger därför på en uppdelning av systemet i avgränsade zoner och kanaler med olika säkerhetsnivåer och därmed med olika krav. Standarden fokuserar på hur man gör för att uppnå det önskade skyddet, som förstås beror på vilken nivå som valts för de olika delarna av systemet. Eftersom hotbild, känslighet och möjliga konsekvenser är olika från anläggning till anläggning spelar riskbedömningen en stor roll. En introduktion finns i inledningen till den första delen, se preview på SEK TS 62443-1-1 här.

Serien IEC 62443 består av flera delar. Här i Europa har flera av dem antagits som europeisk standard, något som ju bland annat ger standarden en särskild status vid offentlig upphandling. De har också fastställts som svensk standard, SS-EN, av SEK Svensk Elstandard, som inte bara är den svenska standardiseringsorganisationen inom el och elektronik, utan också sedan 1907 den svenska medlemmen i IEC.

IEC 62443 kommer från den tekniska kommittén IEC TC 65, där den svenska spegelkommittén är SEK TK 65 Industriell processtyrning. Därifrån kommer också ”SIL-standarderna” IEC 61508 och IEC 61511 om säkerhetskritiska system. Det finns en viss koppling mellan de båda typerna av säkerhet. Det beskrivs i SEK TR 63069, Industrial-process measurement, control and automation – Framework for functional safety and security. Särskilt för maskiner behandlas frågan i SEK TR 63074.

Elförsörjning och kärnkraft
IEC 62351 är en serie som bygger på IEC 62443 men som är särskilt anpassad till förhållanden i system för styrning av kraftsystem. Den är utarbetad av IEC TC 57 där svenska intressenter deltar genom SEK TK 57 Styrning av kraftsystem och tillhörande kommunikation.

Samma tekniska kommitté har tagit fram de kanske mer kända standardserierna IEC 60870 för fjärrstyrning och IEC 61850 för system för kraftföretagsautomation, som delvis också behandlar IT-säkerhet. Flera av delarna har fastställts som svensk standard SS-EN av SEK Svensk Elstandard. En inledande översikt över området finns att ladda här.

På kärnkraftområdet finns särskilda standarder som tagits fram inom den tekniska kommittén IEC TC 45 med svensk spegelkommitté SEK TK 45 Kärnteknisk mätutrustning. Fordringar på cybersäkerhet för kärnkraftanläggningar finns i IEC 62645, i Sverige SS-EN IEC 62645, som ansluter till ISO/IEC 27001 och är samordnad med IEC 62443-serien. Den bygger på andra säkerhetsstandarder för kärnkraft, framförallt SS-EN 61513, och har därför en lite annorlunda struktur. Den kompletteras av IEC 63096 om informationssäkerhetsåtgärder som ansluter till ISO/IEC 27002. Dessutom finns en SS-EN IEC 62859 som behandlar samordning av säkerhet och cybersäkerhet.

Medicinteknik
För medicinteknisk utrustning har IEC TC 62 skrivit den tekniska rapporten IEC TR 60601-4-5, Medical electrical equipment - Part 4-5: Guidance and interpretation - Safety-related technical security specifications. Den är ny för i år och kommer från IEC TC 62 (svensk spegelkommitté SEK TK 62 Elektrisk utrustning för medicinskt bruk). Se preview på de inledande avsnitten av IEC/TR 60601-4-5:2021 här. Den ingår i serien IEC 60601 om säkerhet och väsentliga prestanda hos elektrisk utrustning för medicinskt bruk.

Tillsammans med en grupp inom ISO har IEC TC 62 även tagit fram en serie om hantering av risker i IT-nätverk som ansluter medicintekniska produkter. Den första delen är standard, se preview på SS-EN 80001-1 här, och de följande är tekniska rapporter.

Den här 80001-serien är lite annorlunda eftersom den fokuserar på nät som både kan innehålla medicinteknisk utrustning – som det finns hårda krav på – och annan utrustning, som skrivare och annat som inte omfattas av samma krav. Den lägger också stor vikt vid frågor kring drift och ansvar.

Marin teknik
Det senaste tillskottet i raden av cybersäkerhetsstandarder är IEC 63154 för cybersäkerhet för marin navigerings- och kommunikationsutrustning. Den kommer från den tekniska kommitté inom IEC som arbetar med internationella standarder för marin navigations- och radiokommunikationsutrustning, IEC TC 80. SEK Svensk Elstandard har en motsvarande SEK TK 80 Marin navigations- och radiokommunikationsutrustning där svenska företag och myndigheter deltar. Se preview på SS-EN IEC 63154 här.

Den här standarden ansluter till serien IEC 61162 om digitala gränssnitt för marin navigerings- och kommunikationsutrustning. Den lägger särskilt vikt vid autentisering och verifiering av data som överförs mellan icke-säkra och säkra områden, till exempel via fartygets nätverk från allmänna utrymmen ombord till utrustning på bryggan. Skadlig kod kan också komma in på andra sätt, t ex med USB-stickor eller över radio. Särskilt utsatta kan system för behandling och visning av elektroniska sjökort, ECDIS, vara.

Järnväg
Lite avvikande är SEK TS 50701 som omfattar system för styrning och övervakning av järnvägsdriften, både i fasta installationer och rullande materiel. Den är inte framtagen inom IEC, utan i europeiskt samarbete i standardiseringsorganisationen CENELEC. Även där är SEK Svensk Elstandard den svenska medlemmen och för den tekniska kommittén CENELEC TC 9X för järnvägar, spårvägar och liknande är SEK TK 9 Elutrustning för järnvägar och järnvägsfordon den svenska spegelkommittén.

SEK TS 50701 kan användas både för system med och utan betydelse för säkerheten och är anpassad till SS-EN 50126-1, som är standarden för specifikation och demonstration av tillförlitlighet, tillgänglighet, underhållsmässighet och säkerhet (RAMS). Läs mer om den här.

Risk
Det finns alltså en del standarder som ger vägledning i arbetet med cybersäkerhet i tekniska system och som bygger vidare på de mer administrativa anvisningarna i ISO/IEC 27000-serien. Genom samarbetet med CENELEC blir internationella standarder från IEC i allmänhet även europeisk standard. Det ger dem bland annat en särskild ställning vid offentlig upphandling.

Riskbedömning är en väsentlig del i processen. Även där finns vägledning från IEC, närmast i standarden IEC 31010. Den beskriver hur man planerar och väljer metod, hur man leder en riskbedömning och hur man går vidare och tillämpar resultatet, läs mer om SS-EN IEC 31010 här. Den ansluter till SS-ISO 31000, som ger riktlinjer för att hantera de risker som en organisation kan ställas inför, se preview här.

Internationell standard från IEC och europeisk från CENELEC tas fram i samarbeten mellan industri, forskning och myndigheter som känner ett behov av gemensamma och offentliga riktlinjer inom ett visst område. I Sverige är SEK Svensk Elstandard porten in i det arbetet. Välkommen att dra nytta av det.

Några andra aktuella frågor, som liksom cybersäkerhet spänner över flera branscher är bland andra energieffektivisering och livscykelhantering. Den som inte engagerar sig i att skriva standarderna, utan bara läser och använder dem, kan förstås enkelt ha sitt standardbibliotek uppdaterat och lätt tillgängligt på nätet. Läs mer om SEK e-Standard. Om du vill ha koll på nya standarder från SEK Svensk Elstandard – och vilka gamla som upphävs – prenumererar du på nyhetsbrevet som kommer en gång i månaden, ungefär.

Författare: Thomas Borglin

Sofie Bergh
Marketing & Communication Manager
sofie.bergh@elstandard.se
08-444 14 17

2021-11-12 - Industritorget