Håll ett öga på ditt nätverk och säkra ditt system holistiskt.
EU har nyligen infört nya direktiv för att stärka cybersäkerheten, såsom cyberresilienslagen (CRA) och NIS 2-direktivet. Vilka specifika uppgifter gäller specifikt för automationsingenjörer?
Dr. Tebbe: Automatorer står inför utmaningen att möta både CRA- och NIS 2-direktivet. CRA syftar till att skydda nätverksprodukter från obehörig åtkomst och manipulation under hela deras livscykel. En viktig komponent är tillhandahållandet av säkerhetsuppdateringar i rätt tid. NIS-2-direktivet utökar reglerna för den befintliga NIS-1, vilket kräver att företag, beroende på deras kategori och bransch, effektivt hanterar de risker som är förknippade med deras digitala infrastruktur och tjänster. På samma sätt som kreditvärderingsinstitutet måste betydande cyberincidenter också rapporteras till de nationella myndigheterna. Det innebär att vi som tillverkare och systemintegratörer noggrant måste kontrollera vår infrastruktur, våra produkter och system för säkerhetsbrister och genomföra lämpliga säkerhetsåtgärder. Denna process förknippas ofta med långa utvecklingstider. Vi måste också se till att våra leverantörer uppfyller dessa höga standarder, vilket kräver nära samarbete och regelbundna revisioner.
Säkerhetskonceptet enligt IEC 62443 från WAGO inkluderar säkra nätverk, informationsskydd, användarautentisering och sårbarhetshantering.
Det finns starka interaktioner mellan CRA och NIS-2-direktivet, eftersom de påverkar både slutanvändarprodukter och industriella komponenter i kritisk infrastruktur.
Hur implementerar WAGO de nya kraven? Vilken roll spelar den internationella IEC 62443-serien av standarder inom cybersäkerhet inom industriell automation?
Dr. Tebbe: WAGO har länge drivit ett ISMS-system (Information Security Management System) baserat på den internationella standarden ISO 27001 och är därmed väl förberedd för kraven i NIS 2-direktivet. För produktutveckling har vi etablerat ett integrerat säkerhetskoncept baserat på den internationella IEC 62443-serien av standarder och certifierat det. Denna standard är avgörande för cybersäkerhet i industriella automations- och kontrollsystem. Den innehåller grundläggande riskförebyggande åtgärder, såsom användning av förtroendezoner, djupgående försvarsstrategier, principer om sista privilegiet och sårbarhetshantering. Dessa åtgärder hjälper oss att uppfylla säkerhetskraven i de nya EU-direktiven och skydda våra produkter optimalt under hela deras livscykel.
I framtiden kommer produkter som omfattas av kreditvärderingsinstitutet inte längre att få CE-märkning om de inte uppfyller de rättsliga kraven. Vilka produktklasser berörs?
Dr. Tebbe: CRA är en horisontell förordning och gäller för alla produktklasser med en integrerad digital komponent. Det finns bara några få undantag, såsom medicinsk teknik eller motorfordon, som är specifikt reglerade. Som ett resultat av detta omfattas hushållsapparater, smartphones och leksaker av CRA, liksom industriella styrenheter och mjukvaruapplikationer. Alla dessa produkter måste överensstämma med CRA för att få CE-märkning och tillåtas på den europeiska marknaden. Särskilt viktiga eller kritiska komponenter måste alltid kontrolleras för överensstämmelse av ett ackrediterat testorgan. Enligt EU:s planering ska detta dock endast gälla ett begränsat antal produkter som vanligtvis implementerar eller stöder säkerhetsfunktioner. För alla andra produkter räcker det med självbedömning, baserad på en harmoniserad standard. En kandidat för en sådan harmoniserad standard är den tidigare nämnda IEC 62443. Förfarandet, enligt IEC 62443-4-1 och -4-2, behandlar kraven från kreditvärderingsinstitutet under hela produktlivscykeln och inkluderar principerna för säker-vid-design, säker-för-implementering och säker-vid-standard. Först efter att ha klarat testet kan CE-märket anbringas och försäkran om överensstämmelse inom ramen för EU-direktiven utfärdas.
Hur viktigt är PSIRT hos WAGO med avseende på holistisk cybersäkerhet?
Dr. Tebbe: Sårbarhetshantering har varit fast förankrad i vårt företag i många år. Vårt Product Security Incident Response Team (PSIRT) fungerar som en central kontaktpunkt för sårbarhetsrapporter avseende våra produkter och lösningar. Målet är att hjälpa våra kunder att skydda sina applikationer och processer så effektivt som möjligt. Teamet utvärderar potentiella sårbarheter, samråder med relevanta intressenter som utvecklingsavdelningen och produkthantering, och initierar nödvändiga åtgärder, till exempel rekommendationer för åtgärder, uppdateringar eller korrigeringar. Ett exempel på vårt arbete är att eliminera en sårbarhet som vi tog upp med Intilion för switchar som används i batterilagring. Tack vare de strukturerade processerna i PSIRT, eliminerade vi snabbt det potentiella attackområdet. Vårt team arbetar ständigt för att utöka dessa processer till alla nya och befintliga produkter.
Hur lär sig kunderna om det finns en potentiell risk och i vilka produkter?
Dr. Tebbe: Vi arbetar inte ensamma med att samordna och publicera information. Vi stöds av vår samordningspartner, CERT@VDE, som är en del av German Electrical Engineers Association. CERT@VDE ger information om buggfixar och säkerhetsbrister genom rådgivning och erbjuder också ett RSS-flöde. För att stärka informationssäkerheten, som är en kritisk framgångsfaktor för Industry 4.0 och digitalisering, har VDE etablerat en IT-säkerhetsplattform. Denna plattform fungerar som en central kontaktpunkt för kunder, konsoliderar säkerhetsbrister från olika företag och erbjuder specifika lösningar.
Vilka råd ger du företag att överväga när du genomför säkerhetsåtgärder och hur stöder du dem?
Kilian Fröhlich: Företag måste övervaka både sina OT- och IT-nätverk och implementera ett omfattande säkerhetskoncept, enligt NIS2-direktivet. WAGO tillhandahåller OT-säkerhetskonsulttjänster, kompletterat med en kombination av hårdvaru- och mjukvarulösningar. Till exempel samarbetar vi med Radiflow för att erbjuda omfattande OT-säkerhetslösningar över hela världen, skräddarsydda för de specifika behoven på marknader som smarta fabriker, smarta byggnader eller smart energi. Med vår expertis inom industriell automation och Radiflows expertis inom OT-cybersäkerhet, tillhandahåller vi holistisk säkerhetskonsultation för att hjälpa kunder att säkra sina OT-nätverk så effektivt som möjligt.
Integrerad cybersäkerhet: Genom partnerskap med OT-säkerhetsspecialisten Radiflow implementerar WAGO innovativa lösningar för realtidsövervakning och säkerhetssårbarhetsanalys.
WAGO strävar efter ett holistiskt säkerhetskoncept för att optimalt skydda produkter och system från möjliga cyberhot.
Kan du ge ett exempel på hur Radiflow mjukvarulösningar interagerar med dina produkter eller lösningar?
Kilian Fröhlich: Vi delar in vår kundrådgivning i två faser för att systematiskt minska attackvektorerna i deras nätverk. Den första fasen fokuserar på nätverksövervakning och avvikelsedetektering. Baserat på detta kan till stor del automatiserade riskbedömningar och härledda åtgärder vidtas i den andra fasen. Ett framgångsrikt exempel på detta samarbete är den sömlösa integreringen av Radiflows iSID i WAGOs mjukvarulandskap. Detta kompletta intrångsdetekteringssystem körs på våra edge-enheter, som kallas “WAGO Cybersecurity Network Sight.” I stora nätverk underlättar specialiserade nätverksavtappare, “WAGO Cybersecurity Collectors” övervakning. OT-data som samlas in kan också användas för kapitalförvaltning - i linje med principen: “Du kan bara skydda det du vet.” Detta tillvägagångssätt minskar den manuella ansträngningen och personalkostnaderna för våra kunder.
Hur kan hot upptäckas och minimeras i OT-miljön?
Kilian Fröhlich: Företagen bör se över sina nuvarande OT-säkerhetsåtgärder och göra en omfattande riskbedömning. Med “WAGO Cybersäkerhetsanalys” erbjuder vi ett verktyg baserat på Radiflows “Ciara” som gör det möjligt för kunder att identifiera hot, bedöma risker och genomföra riktade säkerhetsåtgärder som nätverkssegmentering. Detta resulterar i effektiv riskreduktion. Plattformen stöder också kunder i kontinuerlig övervakning och justering av sina säkerhetsstrategier för att följa internationella standarder, såsom NIST, IEC 62443 och ISO 27001. Detta är särskilt viktigt för företag som är verksamma inom starkt reglerade sektorer.
Hur kan de insikter som erhållits från analyserna genomföras på bästa sätt?
Kilian Fröhlich: En stor fördel är den enhetliga rapporteringen: “WAGO Cybersäkerhetsanalys” erbjuder detaljerade analyser och en intuitiv instrumentpanel som tydligt visar nätverkets aktuella säkerhetsstatus. Resultaten av dessa analyser bör översättas till konkreta säkerhetsåtgärder och genomföras, till exempel genom robusta strategier för segmentering av nätverk. Detta inkluderar härdning av system, applicering av säkerhetsuppdateringar och patchar och justering av nätverkskonfigurationer. Företagen kan använda de insikter som erhållits från analyserna för att kontinuerligt övervaka och anpassa sina säkerhetsstrategier efter behov. Vårt säkerhetsrådgivningsteam hjälper kunder att snabbt vidta nödvändiga åtgärder för att säkerställa säkerheten för industriella styrsystem.
Vad är nästa färdplan för partnerskapet med Radiflow?
Kilian Fröhlich: Vi planerar att ytterligare utöka vårt partnerskap och kontinuerligt förbättra våra gemensamma säkerhetslösningar. Tillsammans med de fyra produkter vi för närvarande koordinerar kommer ytterligare sådana att följa, till exempel den aktiva skannern, som möjliggör riktade sårbarhetsskanningar på enskilda enheter. Vi planerar också att utöka vår switch- och routerportfölj, certifierad enligt IEC 62443. I det här fallet kan larmmeddelanden från iSID utlösa justeringar av brandväggsregler.
För vissa låter allt detta som en betydande utgift. Vilka råd skulle du ge dessa företag?
Kilian Fröhlich: Vid första anblicken kan genomförandet av dessa säkerhetsåtgärder verka omfattande. Det är dock viktigt att vara proaktiv för att undvika långsiktiga skador och driftstopp. Därför råder vi företag att ta itu med de mest betydande säkerhetsbrister först och sedan gradvis genomföra ytterligare åtgärder. Det är viktigt att först identifiera vad som finns i nätverket, eftersom det du kan se kan skyddas mer effektivt.
Källa: Computer and Automation, | september 2024