Международная электротехническая комиссия (IEC) утвердила стандарт ISA/IEC 62443-4-2-2018, устанавливающий требования кибербезопасности для компонентов систем автоматического управления в промышленности (АСУТП). Документ определяет параметры, которым должны соответствовать элементы технологического оборудования, чтобы снизить риск компьютерных угроз до приемлемого уровня без использования дополнительных мер защиты.

Новый регламент входит в семейство стандартов ISA/IEC 62443 и затрагивает сетевые компоненты, встроенные электронные устройства, серверное оборудование и программное обеспечение, используемое в промышленных системах. Документ позволяет разработчикам отдельных элементов АСУТП унифицировать средства, используемые для защиты своей продукции от киберугроз, и обеспечить бесшовную интеграцию составных частей технологической цепочки в единый контур безопасности предприятия.

Отсутствие единого подхода к безопасности промышленного оборудования приводит к образованию брешей в комплексной защите АСУТП уровня предприятия. Поставщики отдельных компонентов, не связанные требованиями стандартов, могут не уделять должного внимания ИБ-аспекту, что поставит под угрозу всю систему.

В апреле этого года стало известно о серьезных уязвимостях в промышленных роутерах тайваньского производителя Moxa. Эксперты выяснили, что баги в прошивке маршрутизатора EDR-810 позволяют злоумышленникам получить root-привилегии на устройстве, а также вызвать отказ в обслуживании.

«Общий стандарт безопасности для всех компонентов АСУТП дает возможность разработчикам продуктов, поставщикам решений и всем заинтересованным сторонам говорить друг с другом на одном языке. Это упрощает процесс закупок и интеграции технологического оборудования, составляющего автоматическую систему управления», — отметил Кевин Стаггс (Kevin Staggs), возглавлявший команду создателей регламента.

Как и другие документы серии, ISA/IEC 62443-4-2-2018 был разработан рабочей группой ISA99 Международной ассоциации автоматизации и первоначально принят в качестве национального стандарта в США. IEC одобрила регламент, однако пока не опубликовала его на своем сайте.

Необходимость принятия подобных стандартов назрела давно. По информации «Лаборатории Касперского», в 2017 году половина автоматизированных систем управления в промышленности хотя бы раз подвергалась атаке киберпреступников. За двенадцать месяцев ИБ-специалисты зафиксировали 322 уязвимости в компонентах АСУТП, из которых 194 оценены экспертами как бреши с высоким или критическим уровнем опасности.

В феврале этого года Международная электротехническая комиссия утвердила регламент ISA/IEC 62443-4-1-2018, описывающий требования к жизненному циклу продукта. Семейство стандартов 62443 включает в себя тринадцать положений, касающихся процедур и политик, интеграционных процессов и компонентов АСУТП.

Категории: Другие темы, Кибероборона