The IEC 62443 series is very comprehensive and contains several parts, including technical specifications and technical reports. Although key parts of IEC 62443 are not available in updated versions, we recommend that the PSA Norway refers to (parts of) the IEC 62443 series in the guidelines to articles 32 to 34 of the facility regulations.
Mål og hensikt
Begrensninger
OPC Unified Architecture, NAMUR Open Architecture, 5G) i stedet for kjente utfordringer i eksisterende systemer/løsninger. o Hvordan nye IKT-systemer kan påvirke uavhengighet. Med IKT-systemer og IIoT-løsninger mener vi nye systemer/løsninger som kan tas i bruk de neste fem årene.
Begreper, definisjoner og forkortelser
Begreper og definisjoner
Cybersikkerhet Beskyttelse av IKT-systemer mot IKT-angrep som kan påvirke konfidensialitet, integritet og tilgjengelighet til IKT-systemer. Håndtering av IKT-hendelser Aktiviteter utført for å stoppe eller begrense skade på berørte IKT-systemer og nettverksressurser.
Forkortelser
Rapportstruktur
Bakgrunn for oppdraget
Hva menes med uavhengighet
Avhenger mellom sikkerhetssystemer og andre sikkerhetskritiske systemer og funksjoner, som mellom sjøvann og brannvannsystemer, mellom ballasthåndtering og nødballastering og mellom VVS og brann- og gasssystemet. Fra et sikkerhetsperspektiv er avhengigheter generelt uønskede, for eksempel mellom sikkerhetssystemer og operativsystem, men det kan være store designmessige, økonomiske og/eller andre fordeler med slike løsninger.
Modellering og analyser av avhengigheter
Det er ikke verifisert at etterspørselsraten og påliteligheten til IPL-ene har verdiene hentet fra Tabell 2. Det er ikke alltid verifisert i drift at IPL-ene opprettholdes slik at de opprettholder den antatte ytelsen.
Funksjonell sikkerhet og IKT-sikkerhet – utilsiktet og tilsiktet risikoelement
Teknisk sikkerhet, inkludert funksjonell sikkerhet, har tradisjonelt vært knyttet til ønsket om å beskytte mennesker og miljø mot ukontrollert strøm av energi som følge av utilsiktede hendelser og feilforhold. Konfidensialitet og beskyttelse av data og informasjon mot tilsiktede (ondsinnede) handlinger vektlegges ofte i IT-systemer, mens tilgjengelighet med hensyn til utilsiktede hendelser og feilforhold ofte vektlegges i OT-systemer.
Dagens systemer og løsninger
Figuren viser at funksjonssikkerhet påvirkes av IKT-sikkerhet i både IT- og OT-systemer og at IKT-hendelser inkluderer både tilsiktede handlinger og utilsiktede hendelser. På grunn av nye sammenhenger og avhengigheter mellom ulike systemer, vil energiområdet og informasjonsområdet i økende grad forstyrre hverandre. Hvorvidt regelverket bør endres som følge av tettere bånd mellom de to områdene er nærmere omtalt i kapittel 7.
IEC 62443
The control system shall provide the ability to logically segment control system networks from non-control system networks and to logically segment critical control system networks from other control system networks. Requirement Improvements. The control system shall provide the ability to physically segment control system networks from non-critical control system networks and to physically segment critical control system networks from non-critical control system networks. The control system shall provide the ability to logically and physically isolate critical control system networks from non-critical control system networks.
IEC 61508
IEC 61511
NORSOK I-002
Med lavere bemanning, bruk av edge-enheter og IIoT må man trolig gi tilgang til flere personer og organisasjoner gjennom tilgangssystemet oftere og kanskje permanent. Når man først får tilgang til anlegget og kanskje sonen, kan man lettere utøve negativ påvirkning både bevisst og utilsiktet.
DNV-RP-G108
Norsk olje og gass 070, Appendix G
NSMs Grunnprinsipper for IKT-sikkerhet
I dette kapittelet skal vi se på teknologiske trender, teknologier og løsninger som kan føre til nye avhengigheter og mulige negative påvirkninger, blant annet som følge av å koble nye systemer til tekniske nettverk. En hovedutfordring med de nye løsningene er at tradisjonell lagdeling utfordres gjennom at data sendes frem og tilbake mellom autonome komponenter, som beskrevet blant annet gjennom Industri 4.0.
Datadioder
Løsningen til Kang og Moskwitz var ganske komplisert, og senere løsninger som illustrert av Jones og Bowersox [19] var mer basert på bruken av en LED og en fototransistor. Som det fremgår av figur 8, er datadioden en attraktiv løsning ved at den fysisk kan garantere at A er uavhengig av B dersom datadioden representerer den eneste forbindelsen mellom de to. Det vil imidlertid kunne representere et problem dersom det var behov for A til f.eks.
Industri 4.0
- Industri 4.0 og petroleumsindustrien
- OPC UA
- NAMUR Open Architecture
- Arkitektur og teknologi
- Potensielle bruksområder for 5G
- Integrasjon, driftsmodeller og uavhengighet
Dette er grunnen til at tysk industri har utviklet Asset Administration Shell (AAS) [59][60] som er en praktisk tilnærming til dette. Som nevnt i forrige avsnitt, er den største forretningsfordelen med 5G at du kan bruke en felles fysisk infrastruktur på tvers av mange applikasjonsområder. 5G-basestasjoner vil bli en delt infrastruktur som brukes for flere lags applikasjoner i Purdue-modellen samtidig.
Kantenheter
I figur 15 er bruken av kantenheter ytterligere problematisk, og viser en potensiell negativ innvirkning på sikkerhetssystemer. Det er spesielt viktig å beskytte seg mot «blinde passasjerer» når du mottar informasjon fra enheter som er involvert i sikkerhetsfunksjoner. Slike beskyttelser kan være spesielt nødvendige for "billige" enheter der det ikke er tilstrekkelig datakraft og batterikapasitet, spesielt i trådløse enheter, men også for eksempel i en trykksender.
Håndholdte enheter
Ekstern tilgang til OT-systemene
Dersom system A kan utsettes for cyberangrep fra eller gjennom system B, vil dette være en trussel mot uavhengigheten til system A. Programvare kan også utsettes for angrep, og et vellykket angrep kan tillate en aktør å endre systemets oppførsel og dermed påvirke dens uavhengighet [6]. Dermed vil det ofte være nødvendig å bruke nettverksmekanismer som begrenser hvilke aktører som kan (prøve å) kommunisere med programvare som kan påvirke funksjonssikkerhet.
Kommunikasjon for funksjonell sikkerhet
I denne sammenhengen er vi mest bekymret for cyberangrep som kan kompromittere integriteten og tilgjengeligheten til systemer og data, og til slutt undergrave uavhengigheten2. Selv om profilene i IEC 61784-3 omhandler ulike feilmoduser for kommunikasjonskanaler, kommer standarden noe til kort når det gjelder informasjonssikkerhetsdekning. Da bør kravet gjelde at selv om løsningen er sertifisert etter IEC 61784-3, må den også ha tilstrekkelige mekanismer for informasjonssikkerhet.
Kryptering
Den andre metoden unngår å endre SIF ved å hindre uautorisert tilgang til kommunikasjonskanalen ved bruk av soner og tunneler som definert i IEC 62443. Skallbeskyttelse i form av soner og tunneler i henhold til IEC 62443 kan på kort sikt representere et mer gode for OT-systemer . Det finnes kablede sikkerhetssystemer sertifisert SIL 4 i henhold til IEC 61508, hvor logikken ikke kan påvirkes av IKT-systemer.
Digitale signaturer og meldingsautentiseringskoder (MAC)
Det har tidligere vært en utbredt misforståelse at kryptering av en kommunikasjonskanal (for eksempel i form av et virtuelt privat nettverk) gjør det umulig å manipulere dataene som overføres uten oppdagelse av mottakeren. Imidlertid har IT-bransjen de siste årene måttet akseptere at slike garantier kun kan gis dersom en av de mer veldefinerte protokollene for autentisert kryptering brukes, for eksempel AES-GCM [57] eller AES-CCM [29] . En vanlig måte å implementere en MAC på er å bruke en kryptografisk hash-funksjon etter et spesifikt mønster.
Egenskaper til soner og tunneler
Den konseptuelt enkleste måten å implementere en digital signatur på er å ta en kryptografisk hash av meldingen og kryptere resultatet med As private RSA-nøkkel. Mottakeren kan deretter utføre den samme hash-operasjonen på meldingen, dekryptere signaturen med As offentlige nøkkel, og sammenligne de to resultatene. Algoritmen leveres med den hemmelige nøkkelen og en melding (et datasett med variabel størrelse) og produserer en verdi (MAC) assosiert med meldingen som skal beskyttes.
OPC UA
PubSub som innfallsvinkel til datadioder
Individuelle dataelementer er gruppert i en "DataSetMessage" og noen av dem kan igjen grupperes i en "NetworkMessage", som til slutt danner nyttelasten til en transportprotokollmelding (i vårt tilfelle UDP). Hvis du bruker UDP, må forbrukerne sannsynligvis tilpasses slik at de kan fungere selv om noen pakker ikke kommer. 3 Det er mulig de mener MAC her og ikke digital signatur, da de også nevner at dette krever at produsent (utgiver) og forbruker (abonnent) deler en hemmelig nøkkel.
Zero trust versus skallsikring
I dette kapittelet vil vi si noe generelt om hvordan nye løsninger kan føre til mulige avhengigheter og negative konsekvenser, og også tenke litt over hvorvidt Ptils krav til uavhengighet er oppfylt eller ikke.
Hva legger vi i negativ påvirkning?
Nye avhengigheter og koblinger
Med ekstern kobling (eller andre koblinger på tvers av soner) er det ikke lenger en klar sammenheng mellom system og sone. Her er det også viktig å merke seg at NOA, som definerer hvordan informasjon kan hentes fra OT til IT ved hjelp av datadioder, ikke inkluderer sikkerhetssystemer. Ser man på OT-systemer under ett kan det være ganske mange vanlige komponenter, selv om dette selvfølgelig kan variere fra enhet til enhet.
I hvilken grad vil Ptils krav til uavhengighet være oppfylt?
Skal vi redusere disse mulighetene, må IT og OT i det minste ha egne funksjoner. Selv om hver enkelt kobling ser ut til å være godt sikret, er et stort antall koblinger en utfordring da sikringen er fersk og må oppdateres og vedlikeholdes. På grunn av den økte kompleksiteten og de mange koblingene er det svært vanskelig å vise at en mulig feil som kan oppstå i ett system ikke kan påvirke et annet system negativt.
Bakgrunn
Diskusjon rundt mulige justeringer av regelverket
Forslag vedrørende Ptils Styringsforskrift § 5 Barrierer
Eksempler på barrierefunksjoner inkluderer å forhindre lekkasje, hindre antennelse, redusere brannbelastningen, forhindre uønskede informasjonsstrømmer, sikre sikker evakuering og forhindre hørselsskader. Ytelse betyr etterprøvbare krav til blant annet kapasitet, pålitelighet, tilgjengelighet, uavhengighet, effektivitet, spenst, integritet og robusthet. En ytterligere utdyping av barrierefunksjonen for å hindre uønsket informasjonsflyt og krav til uavhengighet kan for eksempel inngå i neste oppdatering av barrierenotatet av Ptil [45], se punkt 7.2.3 nedenfor.
Forslag vedrørende henvisninger i Ptils Innretningsforskrift §32-34
Det kan også vurderes om et større fokus på IKT-barrierer kan oppnås gjennom tilpasninger til andre artikler, som forskriften §§ 15-16.
Forslag vedørende Ptils Barrierenotat 2017
Anbefalinger til næringen
Reduser kompleksiteten og antall koblinger og ha tett kontroll over hva som må eksistere slik at de ikke påvirker OT-systemer negativt. Edge-enheter og andre enheter som brukes til å samle inn data fra OT bruker vanligvis protokoller som gir enten forespørsler eller bekreftelser til OT-systemer. Sørg for at informasjon på håndholdte enheter ikke brukes til sikkerhetskritiske operasjoner og at informasjon fra dem ikke påvirker OT-systemer.
Anbefalinger til Ptil
Det er ikke identifisert analyser eller dokumentasjon fra leverandørene som viser at de har uavhengighet mellom for eksempel PCS og SIS. Gjennomfør befaringer der du går i dybden med selvstendighet og ber om analyser og andre dokumenter som dokumenterer om kravene i for eksempel byggeforskriften er oppfylt.
Behov for kunnskapsinnhenting
Proceedings.https://cheswick.com/ches/papers/gateway.pdfhttps://cheswick.com/ches/papers/gat eway.pdf. NSM's Basisprincipes voor ICT-beveiliging (v2.0) https://nsm.no/getfile.php Demo/Dokumenter/Veiledere/nsms-grunnprinsipper-for-ikt-sikkerhet-v2.0.pdf. Rapport https://www.ptil.no/globalassets/fagstoff/prosjektrapporter/ikt-sikkerhet/id4-grunnprinsipper-for-ikt-sikkerhet_sintef-rapportnr feb---signert.pdf.
![Figur 2 Utilsiktet og tilsiktede feil og hvordan de kan gi fysisk skade [Tilpasset fra [13]]](https://thumb-eu.123doks.com/thumbv2/9pdfnet/19391345.0/20.892.80.651.518.868/figur-utilsiktet-tilsiktede-feil-hvordan-fysisk-skade-tilpasset.webp)
