اجرای استاندارد IEC 62443 جهت ایمن‌سازی سیستم‌های اتوماسیون و کنترل صنعتی

کاربران معمولاً تصور می‌کنند که پیامدهای مخرب حملات سایبری فقط شامل سرقت داده‌های حساس و از دسترس خارج شدن وب‌سایت‌ها است. در حالی که عواقب ناشی از وقوع این مخاطرات فقط محدود به دنیای دیجیتال نیست و ممکن است منجر به جراحت فیزیکی و حتی فجایع محیط زیستی (مثل قطع برق بیمارستان‌ها، منازل، مدارس و کارخانجات) در محیط‌های عملیاتی شود. بنابر نتایج تحقیقات صورت گرفته، احتمال وقوع چنین حملاتی علاوه بر دنیای دیجیتالی در دنیای فیزیکی نیز بسیار زیاد است. در این مطلب از فراست حفظ و تأمین امنیت در سیستم‌های اتوماسیون و کنترل صنعتی با استفاده از استاندارد IEC 62443 را مورد بررسی قرار می‌دهیم.

امنیت در سیستم‌های اتوماسیون صنعتی

متأسفانه تیم‌های امنیتی معمولاً تصور می‌کنند که حفظ امنیت در بخش فناوری اطلاعات (IT) یک سازمان کافی است و توجه چندانی به امنیت سایبری در بخش‌های انرژی، تولید، مراکز درمانی، حمل و نقل و غیره ندارند. برای مثال در سال 2000 میلادی، هک یک سیستم مدیریت زباله در یکی از شهرهای استرالیا توسط یک متقاضی کار ناراضی و خشگمین منجر به سرازیر شدن میلیون‌ها لیتر زباله خام به رودخانه‌ها و از بین رفتن موجودات دریایی شد. در سال 2015 میلادی نیز پس از نفوذ مهاجمان سایبری به سیستم سرپرستی یا گردآوری داده یا SCADA (مخفف Supervisory Control And Data Acquisition) یک شرکت برق، برق حدود 250 هزار مشتری قطع شد. بنابراین در شرایط اضطراری جهت حفاظت از کارمندان و به حداقل رساندن پیامدهای ناشی از بلایای طبیعی، متصدیان باید در اسرع وقت قابلیت دریافت اطلاعات دقیق و لازم و انجام اقدامات مناسب مثل خاموش کردن تشکیلات یا انتقال عملیات بر روی تجهیزات پشتیبان را داشته باشند.

از دیدگاه امنیت سایبری سیستم‌های کنترل و اتوماسیون صنعتی بر خلاف سیستم‌های کاری به‌گونه‌ای طراحی شده‌اند که امکان دسترسی آسان از شبکه‌های مختلف به آنها وجود داشته باشد. از این رو احتمال وقوع انواع مخاطرات امنیتی در چنین محیط‌هایی بسیار بالا است. البته تفاوت‌های موجود بین محیط‌های فناوری عملیاتی (OT) و فناوری اطلاعاتی تأثیر بسیار زیادی در اجرای حملات سایبری بر علیه سیستم‌های خودکارسازی صنعتی دارند.

چه تفاوت‌هایی بین محیط‌های فناوری عملیات و فناوری اطلاعات وجود دارد؟

رشد و افزایش تعداد دستگاه‌هایی که به یکدیگر متصل هستند منجر به ایجاد همگرایی بین دو حوزه فناوری اطلاعات و فناوری عملیات و شکل‌گیری اینترنت اشیای صنعتی شده است. از این رو فناوری اطلاعات و فناوری عملیات مکمل یکدیگر هستند. البته تفاوت‌های بسیار زیادی هم بین آنها وجود دارد. تعدادی از این تفاوت‌ها شامل موارد زیر هستند:

• IT شامل دنیای مجازی است. عملیات ذخیره، بازیابی، ویرایش و انتقال داده‌ها در این محیط انجام می‌شوند. در حالی که OT متعلق به دنیای واقعی بوده و با پردازش‌های بلادرنگ کار می‌کند.
• IT باید از همه لایه‌های سیستم حفاظت کند ولی هدف اصلی OT حفظ کنترل سیستم‌ها مثل خاموش و روشن کردن، باز و بسته کردن و غیره است.
• تمرکز امنیت فناوری اطلاعات حفاظت از محرمانگی، جامعیت و دسترس‌پذیری داده‌ها است اما در دنیای فناوری عملیاتی، دسترس‌پذیری بیشترین اهمیت را دارد. اولویت‌های محیط‌های فناوری عملیاتی معمولاً شامل سلامت، ایمنی و حفاظت از محیط زیست است.

در چنین شرایطی امکان تشخیص و پیشگیری از نفوذ و تهدیدات امنیتی در حوزه امنیت سایبری صنعتی کار چندان آسانی نیست. از طرفی دیگر هکرها به راحتی می‌توانند با استفاده از ابزارهایی مثل موتور جستجوی اینترنت اشیای Shodan دستگاه‌های فیزیکی آسیب‌پذیر (مثل یخچال‌های هوشمند، سیستم‌های گرمایشی یا حتی درهای گاراژ هوشمند) را در یک شبکه بیابند. بنابراین وجود ضعف امنیتی حتی در یک دستگاه متصل به شبکه هم برای کل سازمان خطرناک است.

 

سیستم‌های اسکادا

در دنیای فناوری اطلاعات سیستم‌های تشخیص و پیشگیری از نفوذ مسئولیت حفاظت از داده‌ها در مقابل بدافزارها و ویروس‌ها را بر عهده دارند. در بخش‌های فناوری عملیاتی و محیط‌های صنعتی، این وظیفه بر عهده سیستم‌های کنترل صنعتی SCADA است.

سیستم‌های SCADA معمولاً متکی بر اصل «ایجاد امنیت از طریق مبهم‌سازی» هستند. بنا بر این اصل الزامی در حفاظت از سیستم‌های ارتباطی که کاربر اطلاعات چندانی درباره آنها و داده‌های‌شان ندارد، نیست. امروزه سیستم‌های SCADA شامل شبکه‌های ارتباطی بسیار گسترده‌ای بوده و به صورت مستقیم یا غیرمستقیم با هزاران تشکیلات مختلف در ارتباط هستند. در چنین شرایطی احتمال وقوع تهدیدات عمدی یا غیرعمدی که می‌توانند به انسان‌ها و تجهیزات آسیب‌هایی جدی وارد کنند افزایش می‌یابد.

شناسایی داده‌هایی که مورد نفوذ قرار گرفته‌اند از جمله کاربردهای اصلی سیستم‌های SCADA هستند. بنابراین ایجاد و حفظ امنیت در این سیستم‌ها از اهمیت بسیار بالایی برخوردار است. از طرفی دیگر مجهز نمودن سیستم‌های SCADA به تدابیر امنیتی کار چندان ساده‌ای نست.

 

رویکرد مبتنی بر مخاطرات راهکار برون رفت از چالش

واضح است که تأمین امنیت صرفاً محدود به نصب فناوری‌ها و ابزارهای امنیتی نیست. کسب آگاهی و دانش درباره مخاطرات امنیتی و ایجاد سازوکارهای حفاظتی در نقاط اصولی از جمله پیش‌نیازهای لازم برای تأمین امنیت و حفاظت از اطلاعات حساس هستند. همچنین تأمین امنیت در سازمان باید جزو اهداف سازمان و متناسب با سایر اهداف آن باشد. در غیر این صورت اقداماتی که برای کاهش مخاطرات امنیتی صورت می‌گیرند ممکن است تأثیرات منفی بر روی عملکرد سازمان بگذارند. از این رو همه سیستم‌ها و کارمندان یک سازمان باید در ایجاد و حفظ امنیت آن دخیل باشند.

رویکرد مبتنی بر مخاطرات از طریق ایجاد تدابیر امنیتی بر مبنای اصول توصیه شده، پیاده‌سازی مؤثر و کارآمد این تدابیر و ترکیب استانداردهای مناسب با سطوح ارزیابی دقیق تلاش می‌کند اعتماد کارمندان سازمان را جلب کند. تدوین یک رویکرد امنیتی مبتنی بر مخاطرات جهت مواجه با پیامدهای ناشی از حملات سایبری شامل مراحل زیر است.

1. آشنایی با سیستم، دارایی‌های ارزشمند و آنچه که نیازمند بیشترین سطح حفاظت است؛
2. آشنایی با تهدیدات شناخته شده از طریق مدل‌سازی تهدید و ارزیابی مخاطرات؛
3. بررسی مخاطرات و پیاده‌سازی تدابیر امنیتی با استفاده از استانداردهای بین‌المللی که بر اساس اصول توصیه شده طراحی شده‌اند؛
4. ارزیابی دقیق میزان مطابقت سیاست‌های امنیتی با الزامات قانونی از طریق آزمایش و صدور گواهینامه‌های مورد نیاز.

هدف از اجرای مرحله چهارم و فرایند ارزیابی، اندازه‌گیری میزان مطابقت با استانداردهای قانونی، سنجش اجزای مختلف سیستم، شایستگی‌های افرادی که آنها را طراحی، مدیریت و نگهداری می‌کنند و فرایندها و رویه‌های مورد استفاده برای به کار بستن آنها است. این کار ممکن است مستلزم اجرای ارزیابی‌های مختلف (از جمله ارزیابی‌هایی که توسط خود سازمان انجام می‌شود)، ارزیابی‌های تأمین‌کنندگان فناوری‌ها یا ارزیابی سازمان‌های مستقل که انتخاب آنها بر اساس سطوح مختلف مخاطرات انجام می‌شود، باشد.

در دنیای دیجیتالی امروزی که تهدیدات و مخاطرات سایبری در حال رشد و توسعه هستند، ایجاد مجموعه خاصی از تدابیر امنیتی مبتنی بر استانداردهای بین‌المللی و صدور گواهینامه‌های اختصاصی و جهانی یک رویکرد بسیار مؤثر برای مدیریت مخاطرات، کنترل کیفیت و اطمینان از مقاومت سایبری بلند مدت محسوب می‌شود. استانداردهای بین‌المللی معمولاً جهت حفظ عملکرد سیستم‌های OT و براساس اصول توصیه شده طراحی شده‌اند. امکان اعمال این استانداردها در محیط‌های صنعتی از جمله تشکیلات زیرساختی مثل نیروگاه‌های برق یا هسته‌ای و همچنین بخش‌های حمل‌ونقل وجود دارد. محققان با استفاده از این استانداردها ارزش ابتکار و نوآوری را درک نموده و تولیدکنندگان نیز محصولاتی را که دارای عملکرد و کارایی منسجم و پایدار هستند تولید می‌کنند.

یکی از سازمان‌های استاندارد بین‌المللی که این استانداردها را برای کلیه فناوری‌های الکتریکی، الکترونیکی و سایر فناوری‌های مرتبط تهیه و منتشر می‌کند کمیسیون بین‌المللی الکتروتکنیک یا IEC (مخفف International Electrotechnical Commission) است که تحت عنوان «الکتروتکنولوژی» نیز شناخته می‌شود. در بخش بعدی این استانداردها را مورد بررسی قرار می‌دهیم.

استانداردهای بین‌المللی IEC

استانداردهای بین‌المللی IEC انعکاسی از یک اجماع جهانی و ترکیبی از نتایج تحقیقات هزاران کارشناس فنی منتخب از جانب کشورهای مختلف برای مشارکت در IEC و براساس یک توافق نظر بین‌المللی در بین آنها هستند. این استانداردها شامل دستورالعمل‌ها، خط مشی‌ها، قوانین یا تعاریفی هستند که برای طراحی، ساخت، نصب، آزمایش، تأیید، مراقبت و تعمیر سیستم‌ها و دستگاه‌های الکترونیک و الکتریکی مورد استفاده قرار می‌گیرند.

بسیاری از کشورها این استانداردهای بین‌المللی را بومی نموده و آنها را تبدیل به استانداردهایی ملی یا منطقه‌ای کرده‌اند. برای مثال، حدود 80 درصد از استانداردهای الکتریکی و الکترونیکی اروپا جزو استانداردهای بین‌المللی IEC هستند.

این سازمان استاندارد بین‌المللی بر روی امنیت سایبری نیز تمرکز ویژه داشته و یک بخش مختص تأمین امنیت تشکیل داده است. اقداماتی که در این بخش انجام می‌شوند عبارتند از:

• رسیدگی به موضوعات حریم خصوصی داده‌ها و امنیت اطلاعات که مختص یک کمیته فنی IEC خاص نیستند؛
• هماهنگی فعالیت‌های مربوط به حریم خصوصی داده‌ها و امنیت اطلاعات؛
• ارایه راهنمایی‌های لازم برای کمیته‌ها و زیرکمیته‌های فنی در زمینه پیاده‌سازی حریم خصوصی داده و امنیت اطلاعات در قالب یک چشم‌انداز عمومی و برای بخش‌های خاص.

استانداردهای افقی و عمودی

سازوکارهای امنیتی قوی، متکی بر استانداردهای افقی و عمودی هستند. استانداردهای افقی عمومی شامل مجموعه‌ای از اصول، مفاهیم، تعاریف، اصطلاحات و سایر اطلاعات مشابه عمومی می‌باشند. این استانداردها به دلیل قدرت انعطاف‌پذیری بالا در حوزه‌های بی‌شماری کاربرد دارند. در حالی که استانداردهای عمودی فقط مختص حوزه‌های کاربرد خاص هستند.

ISO/IEC 27000 و IEC 62443 دو نمونه از استانداردهای افقی هستند. استاندارد ISO/IEC 27000 صرفاً به حفاظت از سیستم‌های اطلاعاتی کمک نموده و گردش آزاد اطلاعات را در دنیای مجازی حفظ می‌کنند. این گروه یک چارچوب افقی قدرتمند جهت محک زدن پیاده‌سازی، نگهداری و پیشرفت مستمر کنترل‌ها براساس اصول توصیه شده فراهم می‌کنند. استاندارد IEC 62443 نیز با هدف سرپا نگه داشتن سیستم‌های OT در دنیای واقعی طراحی شده‌اند. امکان اعمال این مجموعه در هر محیط صنعتی از جمله تشکیلات زیرساخت‌های حیاتی مثل نیروگاه‌های برق و انرژی هسته‌ای و همچنین بخش‌های درمان و حمل و نقل وجود دارد.

راهکارهای ویژه‌ای که متناسب با نیازهای هر بخش طراحی شده‌اند، می‌توانند مکملی برای استانداردهای افقی باشند. برای مثال استانداردهای عمودی مختلفی هستند که نیازهای خاص بخش هسته‌ای، شبکه‌های ارتباطی صنعتی، اتوماسیون صنعتی و صنعت دریایی را پوشش می‌دهند.

استاندارد IEC 62443

استانداردهای IT برای حفاظت از سیستم‌های کنترل و اتوماسیون صنعتی یا IACS (مخفف Industrial Control and Automation Systems) و سایر محیط‌های OT مناسب نیستند. برای مثال الزامات عملکردی و دسترس‌پذیری و همچنین طول عمر تجهیزات در حوزه OT متفاوت است. همچنین حملات سایبری بر ضد سیستم‌های IT معمولاً منجر به ایجاد پیامدهای اقتصادی می‌شوند درحالی که وقوع این حملات بر ضد زیرساخت‌های حیاتی می‌توانند پیامدهای محیط زیستی مخربی به همراه داشته و حتی جان انسان‌ها و سلامت عمومی آنها را هم تهدید کنند.

بنابراین سری استاندارد IEC 62443 جهت ایمن‌سازی کل چرخه حیات IACS که نقش مهمی در زیرساخت‌های بنیادی و اساسی دارند طراحی شدند. در حال حاضر این مجموعه شامل 9 استاندارد، گزارش فنی یا TR (مخفف Technical Report) و مشخصات فنی یا TS (مخفف Technical Specification) است.

این استاندارد ابتدا برای بخش فرایندهای صنعتی طراحی شد اما پس از مدتی در بخش‌ها و صنایع مختلفی مثل تأمین و توزیع انرژی و حمل و نقل نیز مورد استفاده قرار گرفت.

پیاده‌سازی IEC 62443 از وقوع حملات سایبری پیشگیری نموده و تأثیرات ناشی از حملات موفق را هم کاهش می‌دهد.

کارمندان بخش IACS نیز نیازمند آموزش، دانش و مهارت‌هایی برای حفظ امنیت هستند. بنابراین IEC 62443 علاوه بر فناوری‌های تشکیل‌دهنده یک سیستم کنترل، شامل یکسری برنامه‌های آموزشی برای ارایه دانش لازم به کارمندان هم است.

IEC 62443 یک رویکرد مبتنی بر مخاطرات بوده و استانداردهای آن بر مبنای این قائده که «همه داده‌ها دارای ارزش یکسانی نیستند» شکل گرفته‌اند. بنابراین کاربران باید تشخیص دهند که چه دارایی‌هایی نیازمند قوی‌ترین سطح حفاظت هستند.

سری استانداردهای IEC 62443 شامل چهار بخش عمومی، سیاست‌ها و رویه‌ها، سیستم و اجزا و الزامات هستند. در ادامه هر یک از این بخش‌ها را مورد بررسی قرار می‌دهیم.

عمومی

بخش اول شامل موضوعاتی هستند که در کل این سری استاندارد وجود دارند.

• 1-1 (TS): اصطلاحات، مفاهیم و مدل‌ها

• 1-2: تدوین طرح امنیت سیستم کنترل و اتوماسیون صنعتی

سیاست‌ها و رویه‌ها

این بخش متمرکز بر روی روش‌ها و رویه‌های مربوط به امنیت IACS است.

• 2-1 برپایی طرح امنیت IACS
• 2-3 (TR): مدیریت وصله‌های امنیتی در محیط IACS
• 2-4: الزامات طرح امنیتی برای ارایه‌دهندگان خدمات IACS

سیستم

بخش سوم مربوط به الزامات امنیتی مورد نیاز در سطح سیستمی است.

• 3-1 فناوری‌های امنیتی برای IACS
• 3-2 ارزیابی مخاطرات امنیتی برای طراحی سیستم
• 3-3 الزامات امنیتی سیستم و سطوح امنیتی

اجزا و الزامات

در این بخش جزئیات الزامات برای محصولات IACS مشخص می‌شود.

• 4-1 الزامات مربوط به چرخه توسعه امن محصول
• 4-2 الزامات امنیتی فنی برای اجزای IACS

تشریح بخش‌های استاندارد IEC 62443

به مرور زمان بخش‌های مختلف استاندارد IEC 62443 مورد ارزیابی و بروزرسانی قرار می‌گیرند. در ادامه به بررسی بعضی از آنها می‌پردازیم.

استاندارد IEC TS 62443-1-1:2009 شبکه‌های ارتباطی صنعتی – امنیت سیستم و شبکه

بخش 1-1 : اصطلاحات، مفاهیم و مدل‌ها

IEC/TS 62443-1-1:2009(E) شامل مجموعه مشخصات فنی است که اصطلاحات، مفاهیم و مدل‌های مربوط به امنیت سیستم‌های کنترل و اتوماسیون صنعتی را مشخص می‌کنند. این استاندارد پایه و اساس سایر استانداردهای سری IEC 62443 را تشکیل می‌دهد.

استاندارد IEC 62443-2-1:2010  امنیت شبکه‌های ارتباطی صنعتی – امنیت سیستم و شبکه

بخش 2-1: تدوین طرح امنیت سیستم کنترل و اتوماسیون صنعتی

IEC 62443-2-1:2010 عناصر لازم جهت برقراری یک سیستم مدیریت امنیت سایبری یا CSMS (مخفف Cyber Security Management System) برای سیستم‌های کنترل و اتوماسیون صنعتی را مشخص نموده و راهنمایی‌های لازم در زمینه شیوه طراحی این عناصر ارایه می‌دهد. این استاندارد شامل مفاهیم گسترده‌ای است. در IEC/TS 62443-1-1 توضیحات کامل درباره یک سیستم IACS ارایه شده است. اجزای یک CSMS که در این استاندارد درباره آنها صحبت شده عمدتاً مربوط به سیاست‌ها، رویه‌ها، اعمال و کارمندان هستند و توضیح می‌دهند که در CSMS نهایی برای سازمان چه مواردی باید وجود داشته باشند.

استاندارد IEC TR 62443-2-3:2015 امنیت سیستم‌های کنترل و اتوماسیون صنعتی

بخش 3-2 (TR): مدیریت وصله‌های امنیتی در محیط IACS

IEC TR 62443-2-3:2015(E) الزامات امنیتی برای مالکان دارایی و تأمین‌کنندگان محصولات IACS را مشخص و تدوین نموده و یک طرح مدیریت وصله امنیت IACS را مشخص می‌کند. این گزارش فنی همچنین شیوه استفاده از یک قالب تعریف شده برای توزیع اطلاعات مربوط به وصله‌های امنیتی از سمت مالک به تأمین‌کنندگان محصولات IACS را تعیین نموده و مفاهیم مربوط به یکسری فعالیت‌های مرتبط با تکمیل اطلاعات وصله‌های امنیتی توسط تأمین‌کننده محصول و نصب آنها توسط مالک ارایه می‌دهد. فعالیت‌ها و نوع مبادله اطلاعات برای استفاده در وصله‌های امنیتی تعریف شده‌اند اما برای به روزرسانی‌ها یا وصله‌های غیرمرتبط با امنیت نیز قابل اعمال هستند.

استاندارد IEC62443-2-4:2015+AMD1:2017 CSV امنیت سیستم‌های کنترل و اتوماسیون صنعتی

بخش 2:4 الزامات طرح امنیتی برای ارایه‌دهندگان سرویس IACS

IEC 62443-2-4:2015+A1:2017 قابلیت‌های امنیتی ارایه‌دهندگان سرویس IACS را که می‌توانند در فعالیت‌های ادغام و نگهداری از یک راهکار اتوماسیون، در اختیار مالک دارایی قرار بگیرند مشخص می‌کند.

 

استاندارد IEC TR 62443-3-1:2009  امنیت سیستم‌های کنترل و اتوماسیون صنعتی

بخش 3:4 فناوری‌های امنیتی برای ICAS

IEC/TR 62443-3-1:2009(E) یک ارزیابی جدید از ابزارهای امنیت سایبری مختلف، راهکارهای مقابله با حملات و فناوری‌های قابل استفاده برای سیستم‌های IACS الکتریکی مدرن ارایه می‌کند. در این استاندارد انواع مختلف فناوری‌های امنیتی سیستم‌های کنترل، نوع محصولات هر دسته، مزایا و معایب این محصولات در محیط‌های IACS نسبت به تهدیدات مورد انتظار و آسیب‌پذیری‌های شناخته شده و توصیه‌ها و راهنماهایی‌های لازم برای استفاده از این محصولات یا راهکارها تشریح شده‌اند.

استاندارد IEC 62443-3-2:2020  امنیت سیستم‌های کنترل و اتوماسیون صنعتی

بخش3-2 ارزیابی مخاطرات امنیتی برای طراحی سیستم

IEC 62443-3-2:2020 الزامات مورد نیاز برای موارد زیر را مشخص می‌کند:

• تعریف سیستم مورد نظر برای یک IACS
• تفکیک سیستم مورد نظر به بخش‌ها و مجراهای مختلف
• ارزیابی مخاطرات برای هر بخش و مجرا
• مشخص نمودن سطح امنیت هدف برای هر بخش و مجرا
• مستندسازی الزامات امنیتی

استاندارد IEC 62443-3-3:2013 شبکه‌های ارتباطی صنعتی – امنیت سیستم و شبکه

بخش سوم: سطوح امنیتی و الزامات امنیتی سیستم

IEC 62443-3-3:2013 مفاهیم مربوط به الزامات سیستم کنترل به همراه 7 الزام امنیتی تشریح شده در IEC 62443-1-1 که تعریف الزامات سطوح امنیتی مختلف سیستم کنترل را مشخص می‌کند ارایه داده است. اعضای مختلف جامعه IACS باید در هنگام مشخص نمودن سیستم کنترل هدف، برای یک دارایی خاص از این الزامات به همراه تعاریف مجاری و بخش‌های سیستم مدنظر استفاده کنند. محتوای اصلاحیه آوریل 2014 نیز در این نسخه تلفیق شده است.

استاندارد IEC 62443-4-1:2018 امنیت سیستم‌های کنترل و اتوماسیون صنعتی

بخش4-1 الزامات چرخه حیات توسعه امن محصول

IEC 62443-4:2018 الزامات فرایندها برای توسعه امن محصولات مورد استفاده در IACS را مشخص می‌کند. این توضیحات بخشی از سری استانداردهایی هستند که به موضوع امنیت برای IACS رسیدگی می‌کنند. IEC 62443-4 چرخه حیات توسعه امن، الزامات مربوط به امنیت سایبری محصولات مورد استفاده در IACS و همچنین توصیه‌هایی برای برآورده کردن الزامات تشریح شده برای هر بخش ارایه می‌کند. توضیح چرخه حیات شامل تعریف الزامات امنیتی، طراحی امن، پیاده‌سازی امن (از جمله توصیه‌هایی برای کدنویسی)، اعتبارسنجی، مدیریت نقص، مدیریت وصله‌های امنیتی و پایان عمر محصول است. این الزامات را می‌توان در فرایندهای جدید یا موجود مورد استفاده برای طراحی، نگهداری و کنارگذاشتن نرم‌افزار، سخت‌افزار یا میان‌افزارها به کار برد. این الزامات فقط به توسعه‌دهنده و نگهدارنده محصول مرتبط بوده و هیچ‌گونه ارتباطی با کاربر یا ادغام کننده محصول ندارند. خلاصه‌ای از این الزامات در پیوست ارایه شده است.

استاندارد IEC 62443-4-2:2019 امنیت سیستم‌های کنترل و اتوماسیون صنعتی

بخش4-2 الزامات امنیتی فنی برای اجزای IACS

IEC 62443-4-2:2019 یک توضیح جامع از الزامات سیستم کنترل فنی به همراه 7 الزام بنیادین تشریح شده در IEC TS 62443-1-1 از جمله تعریف الزامات سطوح امنیتی سیستم کنترل و اجزای آن ارایه می‌دهد.

7 الزام بنیادی بر اساس آنچه در IEC TS 62443-1-1 ارایه شده شامل موارد زیر هستند:

1. کنترل شناسایی و احراز هویت
2. کنترل استفاده
3. جامعیت داده‌ها
4. محرمانگی داده‌ها
5. محدودسازی گردش داده‌ها
6. واکنش به موقع به رویدادها
7. دسترس پذیری منابع

موارد بالا 7 الزام پایه و اساس تعریف سطوح امنیت قابل اعمال برای سیستم کنترل را تشکیل می‌دهند. هدف از ارایه این سند، تعریف سطوح امنیتی قابل پیاده‌سازی برای اجزای سیستم کنترل و سطوح امنیتی به دست آمده یا هدف خارج از محدوده آن هستند.

استاندارد IEC GUIDE 116:2018 راهنمای ارزیابی و کاهش ریسک‌های ایمنی برای تجهیزات ولتاژ پایین

IEC Guide 116:2018(E) یک استاندارد غیر اجباری بوده و مکملی برای ISO/IEC Guide 51 محسوب می‌شود. این استاندارد یکسری توصیه‌های کاربردی جهت ایمن‌سازی تجهیزات ولتاژ پایین را ارایه می‌دهد. IEC Guide 116:2018(E) دانش لازم در رابطه با مدیریت مخاطرات، رویارویی با حوادث امنیتی و آسیب‌پذیری‌های مربوط به تجهیزات کم‌مصرف و همچنین پایه و اساس لازم برای کاهش مخاطرات را در اختیار کاربران قرار می‌دهد. کمیته‌های فنی باید در صورت امکان از این راهنما که شامل توصیه‌هایی درباره ISO/IEC Guides 50، 51 و 71 در زمینه اطلاعات لازم جهت انجام مدیریت مخاطرات است استفاده کنند.

جمع‌بندی

امروزه حملات سایبری علاوه بر کاربران فضای مجازی، کسب‌وکارهای آنلاین و سایر فعالیت‌هایی که در بستر اینترنت انجام می‌گیرند دنیای فیزیکی را هم مورد هدف قرار می‌دهند. در حال حاضر نیز سیستم‌های کنترل صنعتی از جمله تجهیزات فیزیکی هستند که توسط مجرمان سایبری مورد سوءاستفاده واقع می‌شوند. از این رو تأمین و حفظ امنیت این سیستم‌ها از اهمیت بسیار بالایی برخوردار است. در این مطلب امنیت سیستم‌های اتوماسیون و کنترل صنعتی با استاندارد 62443 را مورد بررسی قرار داده و راهنمایی‌های امنیتی لازم را در این خصوص ارایه نموده‌ایم. پیاده‌سازی و اجرای این راهکارها و طرح‌های امنیتی مانع از نفوذ راحت مهاجمان به ابزارها و تجهیزات فیزیکی که معمولاً گران هم هستند، می‌شود.