Standards & Safety 3 min read

Cyberbeveiliging van industriële besturingssystemen voor IEC 62443: patch- en onderhoudsvereisten

Technical analysis: Cyber security IEC 62443 for industrial control systems: patching and maintenance

Кібербезпека промислових систем управління за IEC 62443: вимоги до патчингу та технічного обслуговування - UNITEC-D Industrial MRO
Стаття розглядає практичні вимоги стандарту IEC 62443 до патч-менеджменту та технічного обслуговування промислових систем управління на українських підприємствах. Включено чек-лист відповідності, вимо

Inleiding: waarom cyberbeveiliging van ATS een onderhoudsprobleem is

Industriële controlesystemen (ICS/ACU TP) bij Oekraïense ondernemingen werken onder omstandigheden van voortdurende cyberdreigingen. Volgens CERT-UA werden er in de periode 2023-2024 meer dan 2.500 incidenten geregistreerd die gericht waren op kritieke infrastructuurfaciliteiten. De IEC 62443-standaard (een reeks van 14 documenten, de laatste geconsolideerde editie – 2024) definieert een systematische aanpak voor de bescherming van industriële netwerken op alle niveaus – van componenten tot organisatiebeleid.

Voor een service engineer is cybersecurity geen abstracte IT-taak. Elke open patch op de controller, elke niet-geüpdatete firmware van het HMI-paneel, elke onbeschermde Ethernet-poort op de schijf is een aanvalsvector. IEC 62443-2-3:2015 (Patchbeheer in de IACS-omgeving) regelt rechtstreeks de procedures voor het updaten van de software van ACS-componenten als onderdeel van gepland onderhoud.

Op 1 januari 2024 is in Oekraïne de wet "over kritieke infrastructuur" (nr. 1882-IX) in werking getreden, die exploitanten van kritieke infrastructuurfaciliteiten verplicht om cyberbeschermingssystemen te implementeren in overeenstemming met internationale normen. DSTU EN IEC 62443 wordt via de bevestigingsmethode aangenomen als nationale norm.

Reikwijdte en verplichting

Wie moet verantwoordelijk zijn?

  • Exploitanten van kritieke infrastructuurobjecten (categorieën A, B, C volgens resolutie van de CMU nr. 1109)
  • Bedrijven met ACS TP verbonden met bedrijfsnetwerken
  • Productie met SCADA, DCS, PLC-systemen van niveau 0-3 volgens het Purdue-model
  • Leveranciers van ATS-componenten (eisen IEC 62443-4-1 en 4-2)

Welke apparatuur valt onder de eisen

  • Programmeerbare logische controllers (PLC) - Siemens S7-1500, Allen-Bradley ControlLogix, ABB AC500
  • Bedieningspanelen (HMI) — Siemens Comfort/Unified, Weintek, Schneider Magelis
  • Frequentieomvormers met netwerkinterfaces (Profinet, EtherNet/IP, Modbus TCP)
  • Industriële switches en routers (Hirschmann, Moxa, Phoenix Contact)
  • Sensoren en transducers met HART/Foundation Fieldbus/IO-Link
  • Industriële pc's, SCADA-servers, historische systemen

Industrieën

Energie, watervoorziening, chemische industrie, metallurgie, voedingsindustrie, cementproductie, mijnbouw - elke productie met geautomatiseerd beheer van technologische processen.

Belangrijkste eisen van de standaard

DocumentvereisteImplementatieperiodeverantwoordelijk
IEC 62443-2-1:2010+AMD1:2024Cyber Security Management System (CSMS) - Beleid, procedures, rollen12 maanden vanaf het moment van objectcategorisatieHoofd van de onderneming
IEC 62443-2-3:2015Patchbeheerprocedures voor de IACS-omgeving6 maanden na CSMS-implementatieIngenieur ACS TP / IT-beveiliging
IEC 62443-3-3:2013Beveiligingsvereisten op systeemniveau (SL 1-4)Bij het ontwerpen/moderniserenProjectingenieur
IEC 62443-4-2:2019Technische eisen aan componenten (SL-C)Bij aanschaf van nieuwe componentenAfdeling Inkoop / MRO
DSTU ISO/IEC 27001:2023Integratie van ISMS met CSMSParallel aan IEC 62443-2-1CISO / verantwoordelijk voor IS

Impact op onderhoudswerkzaamheden

Patchen als onderdeel van gepland onderhoud

IEC 62443-2-3 vereist een geformaliseerd software-updateproces voor industriële componenten. Dit betekent:

  1. Inventarisatie van alle softwaremiddelen (PLC-firmware, HMI OS, SCADA-versies)
  2. Monitoring van beveiligingsbulletins van fabrikanten (Siemens ProductCERT, Rockwell Knowledgebase, ABB Cybersecurity Advisory)
  3. Risicobeoordeling vóór het aanbrengen van de pleister (CVSS-score ≥ 7,0 – kritisch, sluitingsperiode ≤ 30 dagen)
  4. Patchtesten op back-uphardware voordat deze in productie worden genomen
  5. Documentatie van elke update in het wijzigingslogboek

Wijzigingen in de inkoop van reserveonderdelen

De IEC 62443-4-2-standaard stelt vier componentbeveiligingsniveaus vast (SL-C 1–4). Bij het vervangen van de controller, schakelaar of HMI-paneel moet u:

  • Controleer op ISASecure-certificaat (EDSA/SSA/SDLA) of conformiteitsverklaring IEC 62443-4-2
  • Zorg ervoor dat de firmware een veilige update ondersteunt (ondertekende firmware-update)
  • Documentatie over hardingsrichtlijnen opvragen bij de leverancier
  • Behoud de integriteit van de toeleveringsketen – koop alleen bij geautoriseerde distributeurs

Documentatie

Elke onderhoudsprocedure met betrekking tot cyberfysieke systemen moet het volgende bevatten:

  • Asset-ID en huidige firmwareversie
  • Lijst met toegepaste patches met datums
  • Resultaten van integriteitscontrole (hash-sommen, digitale handtekeningen)
  • Handtekening van een verantwoordelijke persoon met kwalificaties (GICSP-certificaat, ISA/IEC 62443 Cybersecurity-certificaat)

Componentvereisten en certificering

Componenten met verplichte cyberbeveiligingscertificering

ComponenttypeVereiste IEC 62443-4-2Minimale SL-CVoorbeelden van gecertificeerde oplossingen
PLC / Veiligheids-PLCFR 1–7 (identificatie, autorisatie, gegevensintegriteit, auditing)SL-C 2 (typische productie), SL-C 3 (kritieke infrastructuur)Siemens S7-1500 (TÜV SÜD-gecertificeerd), Allen-Bradley GuardLogix 5580
Industriële schakelaarsFR 1, FR 2, FR 5 (beperking van gegevensstromen)SL-C 2Hirschmann EAGLE40, Phoenix Contact FL MGUARD
HMI-panelenFR 1, FR 3, FR 4 (vertrouwelijkheid, integriteit)SL-C 2Siemens uniforme comfortpanelen (V18+)
Frequentieomvormers met EthernetFR 1, FR 7 (beschikbaarheid van bronnen)SL-C 1ABB ACS880, Siemens G120 met CU250S-2
Industriële routers/firewallsFR 1–7 (volledige set)SL-C 3Fortinet FortiGate Robuust, Cisco IE-3400

Mechanische en elektrische componenten

Cybersecurityvereisten annuleren klassieke certificeringen niet. Voor componenten die in een ACS TP-omgeving werken, is het volgende nog steeds verplicht:

  • CE-markering (Richtlijn 2014/35/EU voor laagspanningsapparatuur)
  • UkrSEPRO-certificaat voor apparatuur die onderworpen is aan verplichte certificering in Oekraïne
  • Naleving van DSTU EN 60529 (graad van IP-bescherming) voor automatiseringskasten
  • DSTU EN 61439-1:2017 voor complete laagspanningsapparaten
  • Lagers, afdichtingen, connectoren — naleving van ISO 9001 en specifieke normen (ISO 15:2017 voor wentellagers)

Compliancechecklist voor de servicemanager

  1. Er werd een volledige inventarisatie van de softwaremiddelen van het automatische besturingssysteem (PLC, HMI, SCADA, netwerkapparatuur) uitgevoerd - firmwareversies werden gedocumenteerd
  2. Er is een register van activa gemaakt met classificatie op basis van beveiligingszones (zones) en communicatiekanalen (conduits) in overeenstemming met IEC 62443-3-2
  3. Voor elke zone wordt een doelbeveiligingsniveau (SL-T) gedefinieerd
  4. Aangewezen persoon die verantwoordelijk is voor patchbeheer van ACS TP (geen IT-afdeling voor algemene doeleinden)
  5. Ondertekend in het veiligheidsbulletin van alle fabrikanten van de geïnstalleerde apparatuur
  6. Er is een risicobeoordelingsprocedure ontwikkeld voordat de pleister wordt aangebracht (sjabloon voor risicobeoordeling)
  7. Er is een testomgeving gecreëerd om patches vóór productie te testen
  8. De maximale termijnen voor het sluiten van kwetsbaarheden zijn gedefinieerd: CVSS ≥ 9,0 — 14 dagen, CVSS 7,0–8,9 — 30 dagen, CVSS 4,0–6,9 — 90 dagen
  9. Implementeerde een back-upprocedure voor PLC/HMI-configuraties vóór elke update
  10. Fysieke bescherming van programmeerpoorten (USB, seriële poorten) is aanwezig - stekkers, kastsloten
  11. Gecontroleerd op IEC 62443-4-2 certificaten voor alle recent aangeschafte componenten
  12. Implementeerde netwerksegmentatie (VLAN's, firewalls) tussen zones van niveau 0-3 en het bedrijfsnetwerk
  13. Het registreren van beveiligingsgebeurtenissen met gecentraliseerde verzameling (syslog/SIEM) is geconfigureerd
  14. Onderhoudspersoneel werd getraind in de basisbeginselen van cyberhygiëne (standaardwachtwoorden wijzigen, USB-drives verbieden)
  15. Er werd een incidentresponsplan ontwikkeld met de definitie van de rollen van het onderhoudspersoneel
  16. Contracten met leveranciers van reserveonderdelen werden gecontroleerd op integriteitseisen in de toeleveringsketen
  17. Er werd een audit van oudere systemen uitgevoerd; er werden compenserende maatregelen vastgesteld voor systemen zonder patchondersteuning
  18. Alle externe verbindingen met ACS TP (VPN, modems) zijn gedocumenteerd – geminimaliseerd tot het vereiste minimum
  19. Wijzigingsbeheer is geïmplementeerd - geen update zonder goedgekeurd wijzigingsverzoek
  20. Er is een jaarlijkse nalevingsaudit van IEC 62443 gepland met betrokkenheid van een externe auditor

Typische inconsistenties die door auditors worden geïdentificeerd

1. Gebrek aan patchbeheer als proces

Bij 78% van de Oekraïense bedrijven (volgens de schatting van DSSZZI, 2023) wordt de PLC-firmware-update helemaal niet uitgevoerd of alleen tijdens grote reparaties. Controllers draaien op firmware van 5 tot 10 jaar oud met bekende kwetsbaarheden (CVE).

2. Standaardwachtwoorden

Siemens S7-300/400 zonder wachtwoordbeveiliging, HMI-panelen met admin/admin login, switches met standaard fabrieksgegevens. Schending van FR 1 (identificatie- en authenticatiecontrole) IEC 62443-4-2.

3. Gebrek aan netwerksegmentatie

PLC en bedrijfsnetwerk in hetzelfde VLAN. Geen DMZ tussen lagen 3 en 4. Directe schending van IEC 62443-3-3, SR 5.1 (netwerksegmentatie).

4. Inconsistentie van gekochte componenten

Een defecte switch vervangen door een huishoudelijke (niet-beheerde) switch zonder ACL-, VLAN-, 802.1X-ondersteuning. Nagemaakte of niet-geautoriseerde componenten kopen zonder documentatie.

5. Gebrek aan changelogs

Onvermogen om bij te houden wie, wanneer en wat er is gewijzigd in het PLC-programma. Gebrek aan projectversiebeheer.

Aansprakelijkheid en sancties

Administratieve verantwoordelijkheid

De wet van Oekraïne inzake kritieke infrastructuur (artikel 27) bepaalt:

  • Boete voor het niet naleven van cyberbeschermingsvereisten – van 3.400 tot 51.000 UAH (100–1.500 NMDH) voor ambtenaren
  • Boete voor rechtspersonen — maximaal 2% van de jaaromzet (naar analogie met NIS2 Richtlijn 2022/2555 bij integratie in de Europese markt)

Strafrechtelijke aansprakelijkheid

Artikel 363-1 van het Wetboek van Strafrecht van Oekraïne (inmenging in de werking van informatiesystemen) – als nietsdoen heeft geleid tot een incident met ernstige gevolgen: maximaal 5 jaar gevangenisstraf.

Verzekeringsgevolgen

Verzekeringsmaatschappijen weigeren uit te betalen bij bewezen niet-naleving van cyberveiligheidsnormen. Een typisch verlies als gevolg van een cyberaanval op een industriële onderneming bedraagt ​​tussen de 500.000 en 5.000.000 euro (gegevens uit het Allianz Global Industrial Report 2024).

Contractrisico's

Europese klanten vereisen bevestiging van naleving van IEC 62443 als voorwaarde van het contract. Niet-naleving = verlies van exportcontracten.

Praktische aanbevelingen voor implementatie

Stap 1: Audit huidige status (1-2 maanden)

Inventarisatie van alle componenten van ACS TP. Bepaling van het huidige beveiligingsniveau (SL-A — behaald). Identificatie van de kloof tussen SL-A en doel-SL-T.

Stap 2: Beleidsontwikkeling (2-3 maanden)

Creëren van een patchbeheerprocedure voor IEC 62443-2-3. Integratie met het bestaande geplande onderhoudssysteem (CMMS). Definitie van rollen en verantwoordelijkheden.

Stap 3: Technische implementatie (3–6 maanden)

Netwerksegmentatie. Vervanging van apparatuur die niet aan de veiligheidseisen voldoet. Controle-instellingen. Implementatie van veilige toegang op afstand.

Stap 4: Aankoop van de juiste componenten

In het geval van geplande vervanging of modernisering - de selectie van componenten met bevestigde conformiteit IEC 62443-4-2. Industriële schakelaars, controllers, frequentieomvormers, sensoren met netwerkinterfaces - moet alles documentatie hebben die de geïmplementeerde beveiligingsfuncties beschrijft (beveiligingsfuncties).

Resultaat

Cyberbeveiliging van industriële besturingssystemen is geen optioneel IT-initiatief. Dit is een verplicht onderdeel van technisch onderhoud, vastgelegd door de wetgeving van Oekraïne en internationale normen. IEC 62443-2-3 definieert patchen rechtstreeks als een onderhoudsprocedure. Bij elke vervanging van een ACS TP-onderdeel moet rekening worden gehouden met cyberbeveiligingsvereisten en met elektrische en mechanische kenmerken.

UNITEC-D GmbH zorgt voor de levering van gecertificeerde industriële componenten - van lagers en afdichtingen tot netwerkapparatuur en automatiseringssysteemelementen - met volledige documentatie van conformiteit met CE-, ISO- en industrienormen. Gebruik UNITEC-D E-Catalog om componenten te selecteren die voldoen aan de vereisten voor uw beveiligingsniveau.

Lijst met regelgevingsdocumenten

  • IEC 62443-2-1:2010+AMD1:2024 — Beveiliging voor industriële automatiserings- en besturingssystemen — Deel 2-1: Opzetten van een IACS-beveiligingsprogramma
  • IEC 62443-2-3:2015 - Patchbeheer in de IACS-omgeving
  • IEC 62443-3-2:2020 — Beveiligingsrisicobeoordeling voor systeemontwerp
  • IEC 62443-3-3:2013 - Systeembeveiligingsvereisten en beveiligingsniveaus
  • IEC 62443-4-1:2018 — Veilige levenscyclusvereisten voor productontwikkeling
  • IEC 62443-4-2:2019 — Technische beveiligingsvereisten voor IACS-componenten
  • Wet van Oekraïne "betreffende kritieke infrastructuur" nr. 1882-IX van 16 november 2021
  • CMU-resolutie nr. 1109 van 9 oktober 2020 "Over de goedkeuring van de procedure voor het opstellen van een lijst van kritieke infrastructuurobjecten"
  • DSTU ISO/IEC 27001:2023 (ISO/IEC 27001:2022, IDT)
  • Richtlijn (EU) 2022/2555 (NIS2) — voor ondernemingen met Europese contracten
  • NIST SP 800-82 Rev. 3 (2023) - Gids voor OT-beveiliging (referentie)

Related Articles