As tecnologias de sistemas de controlo e automação Industrial (IACS ou ICS) são essenciais para infra-estruturas críticas e ambientes de tecnologia operacional (OT). Estes sistemas são constituídos por múltiplos componentes que comunicam entre si através de protocolos de rede, o que os torna susceptíveis a ciberataques. Mesmo as zonas protegidas por ar dentro do IACS permanecem vulneráveis a ataques de malware através de suportes periféricos e amovíveis.
A série ISA/IEC 62443 de normas de cibersegurança é uma estrutura comum para operadores, integradores de sistemas e fabricantes de componentes de redes IACS e OT. As normas incluem conjuntos de requisitos, instruções, controlos e melhores práticas para proteger as operações, o desenvolvimento, a manutenção e o fabrico de componentes do IACS.
História e evolução da ISA/IEC 62443
As normas ISA/IEC 62443 foram desenvolvidas em 2002 pela International Society of Automation (ISA) como ISA 99, com o objetivo de estabelecer normas para proteger os sistemas e operações de infra-estruturas críticas dos EUA contra ciberataques. Eventualmente, foi submetida à Comissão Eletrotécnica Internacional (IEC) para reconhecimento global, tornando-se na série de normas ISA/IEC 62443.
Em novembro de 2021, a ISA/IEC 62443 foi designada pela IEC como uma norma horizontal, tornando-a uma referência de cibersegurança amplamente reconhecida em todos os setores que usam, mantêm ou desenvolvem IACS. Atualmente, a série ISA/IEC 62443 tem um conteúdo extenso com um âmbito alargado, cobrindo mais de 800 páginas.
A quem se destina a norma ISA/IEC 62443?
Na ISA/IEC 62443 são definidas contextualmente três funções principais, com o objetivo de definir as partes interessadas que delas podem beneficiar:
- Proprietários de activos: Organizações que possuem e operam o IACS.
- Integradores de sistemas: Organizações ou consultores que oferecem serviços como integração de sistemas, manutenção ou outros serviços relacionados com o SIGC.
- Fabricantes de produtos: Organizações que oferecem produtos para cumprir os requisitos de segurança, fornecem componentes de produtos ou apoio ao ciclo de vida.
Componentes da ISA/ IEC62443
A série ISA/IEC 62443 está dividida em quatro partes principais: Geral, Políticas e Procedimentos, Sistema e Componente. Cada parte destina-se a uma função principal diferente e contém instruções e diretrizes que abrangem um aspeto ou fase específica da segurança ICS.
As quatro partes da série ISA/ IEC62443
Geral 62443-1
A primeira parte inclui uma panorâmica geral e introduz os conceitos fundamentais, os requisitos, a terminologia e as orientações para a conceção e implementação da cibersegurança no SIGC.
Começa com a secção 62443-1-1, que define a terminologia, os conceitos e os modelos de referência fundamentais utilizados em toda a série de normas. Em seguida, a secção 62443-1-2 apresenta um glossário de termos e abreviaturas utilizados em toda a série e a secção 62443-1-3 aborda as métricas de segurança para avaliar e medir a segurança dos sistemas. Por último, a norma 62443-1-4 fornece diretrizes a seguir para abordar a cibersegurança em sistemas completos.
Políticas e procedimentos 62443-2
Centrada na governação e na gestão do risco, a segunda parte fornece orientações sobre a criação, manutenção e gestão de programas de cibersegurança.
A secção 62443-2-1 descreve o processo de criação, implementação e manutenção de um sistema de gestão de cibersegurança para o IACS, enquanto a secção 62443-2-2 oferece diretrizes de implementação detalhadas para as organizações seguirem ao estabelecerem programas de segurança IACS. Em seguida, o 62443-2-3 fornece as melhores práticas para a gestão de correcções de software e firmware para manter a segurança do sistema e, finalmente, o 62443-2-4 enumera os requisitos de cibersegurança e as melhores práticas para os fornecedores de serviços que trabalham em ambientes industriais.
Sistema 62443-3
Esta parte fornece orientações sobre a conceção e implementação de sistemas seguros e aborda os requisitos de cibersegurança para o SIGC. Abrange a avaliação dos riscos, os requisitos e estratégias de segurança do sistema e os níveis de segurança do sistema.
A secção 62443-3-1 analisa as tecnologias de segurança existentes e emergentes relevantes para o SIGC. Em seguida, a secção 62443-3-2 apresenta uma metodologia para avaliar e gerir os riscos de cibersegurança durante a conceção do sistema. Finalmente, a secção 62443-3-3 estabelece requisitos pormenorizados de segurança do sistema e categoriza-os em quatro níveis de segurança (SL1-SL4).
Componente 62443-4
A quarta e última parte da série descreve o ciclo de vida do desenvolvimento de produtos. Centra-se na segurança de componentes individuais do SIGC, tais como SCADA (controlo de supervisão e aquisição de dados), PLCs (controladores lógicos programáveis) e sensores.
Inclui duas secções. A secção 62443-4-1 descreve os processos do ciclo de vida de desenvolvimento do produto, incluindo a conceção, o desenvolvimento e a manutenção dos componentes do SIGC, e a secção 62443-4-2 especifica os requisitos e capacidades técnicas de segurança necessários para os componentes individuais do SIGC no âmbito do sistema.
Requisitos básicos
Os sete Requisitos Fundamentais (FRs) são identificados na primeira parte da série (IEC 62443-1-1). série. Estes requisitos fundamentais são a pedra angular da norma ISA/IEC62443, na qual se baseiam todas as partes subsequentes da série, incluindo as partes relativas aos requisitos de segurança dos sistemas IACS (3-3) e dos componentes (4-2).
- Controlo da identificação e da autenticação
- Utilizar o controlo
- Integridade do sistema
- Confidencialidade dos dados
- Fluxo de dados restrito
- Resposta atempada aos acontecimentos
- Disponibilidade de recursos
Benefícios e aplicações da ISA/IEC 62443
Estas normas foram adoptadas em várias indústrias, incluindo a indústria transformadora, infra-estruturas críticas, petróleo e gás, cuidados de saúde e tratamento de águas residuais. A forma como uma organização pode utilizar a série ISA/IEC 62443 depende do papel da organização numa indústria específica, quer se trate de operação, manutenção, integração ou fabrico de componentes para IACS.
Para os proprietários de activos
Os proprietários de activos que estabelecem protocolos de segurança e operam IACS podem consultar a secção 2 da ISA/IEC 62443 para desenvolver requisitos para integradores de sistemas. Estas diretrizes podem ajudá-los a determinar as caraterísticas de segurança de que necessitam especificamente num produto.
Para integradores de sistemas
Devido à realização de serviços de integração, manutenção e serviços semelhantes relacionados com o ICS, os integradores de sistemas utilizam principalmente as normas 62443-3 para avaliar o nível de segurança dos proprietários de activos e processar os seus requisitos. Além disso, as normas 62443-3-3 são utilizadas para avaliar a segurança dos componentes produzidos pelos fabricantes de produtos e para determinar se incluem as funcionalidades exigidas pelos proprietários de activos.
Para fabricantes de produtos
Os fabricantes de produtos estabelecem e mantêm um SDL (ciclo de vida de desenvolvimento da segurança), oferecem produtos que cumprem o nível de segurança exigido, fornecem produtos componentes e prestam apoio ao ciclo de vida. Os fabricantes de produtos são empresas que produzem componentes de hardware e software IACS. Os fabricantes de produtos podem encontrar nas normas 62443-4 uma referência clara sobre as capacidades e caraterísticas de segurança a incluir nos seus produtos.
Importância da norma ISA/IEC 62443-3-3 para a proteção de infra-estruturas críticas
As normas 62443-3-3 fornecem requisitos técnicos de segurança críticos e níveis de segurança a utilizar como referência para o nível de segurança a atingir. Esta secção é utilizada pelos integradores de sistemas para cumprir as normas dos sistemas que desenvolvem.
Principais requisitos de segurança
Defesa - em profundidade
Uma técnica que requer várias camadas de técnicas de defesa para impedir ou abrandar um ciberataque. Por exemplo, o nível de segurança pode incluir verificações físicas, análises frequentes, proteção das transferências de ficheiros e utilização de firewalls.
Zonas e condutas
Aproveitando o modelo Purdue, também conhecido como Purdue Enterprise Reference Architecture (PERA), a série ISA/IEC-62443 identifica uma zona como uma unidade funcional ou física, enquanto uma conduta é um conjunto de canais de comunicação entre zonas.
Análise de risco
Para além das práticas convencionais de análise de riscos, a norma ISA/IEC-62443-3-2 fornece mais pormenores sobre as metodologias de avaliação de riscos de segurança para um SIGC.
Menos privilégio
O princípio do privilégio mínimo limita o acesso dos utilizadores a componentes ou aplicações específicas de um sistema, impedindo o acesso desnecessário e minimizando a superfície de ataque em caso de ciberataque.
Utilização de componentes seguros
A parte da ISA/IEC-62443-3-3 não é um conjunto autónomo de requisitos, mas também aproveita outras partes da série. Pressupõe que foi desenvolvido um programa de segurança de acordo com a norma IEC 62443-2-1 e pressupõe que os componentes seguros serão implementados de acordo com as normas ISA/IEC-62443-4-2 e ISA/IEC-62443-4-1 para garantir a conformidade.
Níveis de segurança
Os níveis de segurança definidos destinam-se a medir a força e a destacar quaisquer factores de risco nos sistemas OT e IACS. Na norma 62443-3-3 são definidos quatro níveis de segurança, começando por 1 como nível mínimo e indo até 4 como nível máximo.
Nível de segurança 1
Os níveis de segurança definidos destinam-se a medir a força e a destacar quaisquer factores de risco nos sistemas OT e IACS. Na norma 62443-3-3 são definidos quatro níveis de segurança, começando por 1 como nível mínimo e indo até 4 como nível máximo.
Nível de segurança 2
Para proteção contra ciberataques gerais que não requerem um conjunto de competências específicas ou recursos intensivos, como hackers individuais.
Nível de segurança 3
Abrange a proteção contra ataques intencionais utilizando técnicas sofisticadas e competências específicas com motivação moderada.
Nível de segurança 4
Protege contra ataques intencionais que requerem competências altamente sofisticadas e específicas do SIGC com acesso a recursos alargados, tais como ataques a sistemas altamente críticos por grupos de piratas informáticos organizados ou Estados inimigos.
Em conjunto com a norma 62443-3-3, as normas 62443-4-2 são frequentemente tidas em consideração pelos integradores de sistemas, uma vez que fornecem orientações adicionais sobre a segurança de cada componente do ciclo de vida.
Periférico e amovível Media Proteção
Os suportes amovíveis, como o USB e os discos rígidos externos, são frequentemente utilizados como canais para transferir dados nas redes IACS e OT, apesar dos riscos de segurança significativos que representam. Houve ciberataques proeminentes causados por suportes amovíveis, como o Stuxnet, que visou a instalação nuclear iraniana de Natanz (2010), o ataque à central nuclear indiana de Kudankulam (2019) e o ataque Agent.BTZ que se espalhou pelas redes do Departamento de Defesa dos EUA (2008).
A inclusão da proteção de suportes periféricos e amovíveis como parte da estratégia de defesa em profundidade pode desempenhar um papel essencial na mitigação de tais ataques e na obtenção da conformidade com as normas ISA/IEC 62443, reduzindo o risco de violações de dados e interrupções do sistema. Por exemplo, uma solução física, como MetaDefender Kiosk™, pode analisar suportes amovíveis utilizando vários motores anti-malware para garantir a sua segurança. Outras soluções como MetaDefender Drive™, o MetaDefender Media Firewall™, MetaDefender Endpoint™ e MetaDefender Managed File Transfer™ podem desempenhar um papel fundamental no aumento do seu nível de segurança e na estratégia de defesa em profundidade.
Conclusão
As normas ISA/IEC 62443 são consideradas as normas de segurança cibernética mais abrangentes que abordam os desafios de segurança cibernética dos ambientes IACS e OT. Com a série de normas ISA/IEC 62443, as organizações podem reconhecer sistematicamente o que é mais valioso no seu ambiente, melhorar a visibilidade e identificar os activos que são altamente susceptíveis a ciberataques.
OPSWAT oferece soluções abrangentes em segurança de suportes de dados periféricos e amovíveis para melhorar a proteção da defesa em profundidade e minimizar a superfície de ataque. Para saber por que razão as organizações, os governos e as instituições de todo o mundo confiam na OPSWAT, fale hoje com um dos nossos especialistas para saber como podemos ajudar na segurança dos seus periféricos e suportes amovíveis.
