¿Qué es el marco ISA/IEC 62443?
Las amenazas de ciberseguridad para las plantas de procesamiento y fabricación provienen de una amplia gama de vectores de ataque, incluida la cadena de suministro, la logística, la informática empresarial, las conexiones remotas, las estaciones de operador, los controladores lógicos programables, los sistemas de control distribuido (DCS), los sensores inteligentes y los nuevos dispositivos inteligentes. . Las tecnologías de Internet de las cosas (IoT) ofrecen una mayor conectividad y un sinfín de aplicaciones, pero hacen que el panorama de la ciberseguridad sea más complejo.
Varias de las industrias afectadas han dado grandes pasos para mejorar su postura de defensa, principalmente gracias a los requisitos de cumplimiento normativo gubernamentales. La mayoría de las organizaciones con sistemas de control industrial (SCI) pertenecen a una de dos categorías: reguladas y no reguladas. Por lo tanto, es esencial averiguar qué marco se aplica a su industria.
La serie de normas ISA/IEC 62443 pertenece a los requisitos de cumplimiento no regulados.
El Comité ISA99
Desarrollo de estándares de la Sociedad Internacional de Automatización (ISA) 99 comité reúne a expertos en seguridad cibernética industrial de todo el mundo para desarrollar estándares ISA para la seguridad de los sistemas de control y automatización industrial que son aplicables a todos los sectores industriales e infraestructura crítica.
El comité ISA99 aborda los sistemas de control y automatización industrial cuyo compromiso podría resultar en alguna o todas las siguientes situaciones:
- poner en peligro la seguridad pública o de los empleados
- pérdida de confianza pública
- violación de los requisitos reglamentarios
- pérdida de información patentada o confidencial
- pérdida económica
- impacto en la seguridad nacional.
Los sistemas de fabricación y control incluyen, pero no se limitan a:
- sistemas de hardware y software como DCS, PLC, SCADA, sensores electrónicos en red y sistemas de monitoreo y diagnóstico
- interfaces asociadas internas, humanas, de red o de máquina utilizadas para proporcionar funcionalidad de operaciones de control, seguridad y fabricación a procesos continuos, por lotes, discretos y otros.
El propósito del comité es desarrollar estándares, prácticas recomendadas, informes técnicos e información relacionada que definan procedimientos para implementar sistemas de control y fabricación digitalmente seguros y prácticas de seguridad y evaluar el desempeño de la seguridad cibernética. Aunque la guía es aplicable a los responsables del diseño, implementación o gestión de sistemas de control y fabricación, los usuarios, los integradores de sistemas, los profesionales de la seguridad y los fabricantes y proveedores de sistemas de control también pueden hacer uso de ella.
El enfoque de estos estándares y mejores prácticas es mejorar la confidencialidad, integridad y disponibilidad de los componentes o sistemas utilizados para la fabricación o el control y proporcionar criterios para adquirir e implementar sistemas de control seguros.
La serie ISA/IEC 62443
La serie de normas ISA/IEC 62443, desarrollada por el comité ISA99 y adoptada por la Comisión Electrotécnica Internacional (IEC), proporciona un marco flexible para abordar y mitigar las vulnerabilidades de seguridad actuales y futuras en los sistemas de control y automatización industrial (IACS).
El siguiente diagrama, cortesía de ISA, muestra el estado de los diversos productos de trabajo en la serie ISA/IEC 62443 de estándares e informes técnicos de IACS.
ISO-27001, NIST Cybersecurity Framework e ISA/IEC 62443 son algunos de los estándares internacionales ampliamente adoptados que brindan una guía integral y una efectividad absoluta para proteger los sistemas de TI y OT.
Publicaciones clave de IEC 62443
Según IEC 62443-1-1, un Sistema de Control y Automatización Industrial (IACS) es un «conjunto de procesos, personal, hardware y software que pueden afectar o influir en la operación segura y confiable de un proceso industrial».
Las normas clave de la serie IEC 62443 son las siguientes:
- IEC 62443-2-4: define políticas y prácticas para la integración de sistemas
- IEC 62443-4-1: requisitos de ciclo de vida de desarrollo seguro
- IEC 62443-4-2: especificaciones de seguridad de los componentes del IACS
- IEC 62443-3-3: requisitos de seguridad y niveles de seguridad
- IEC 62443-3-2: evaluación de riesgos de ciberseguridad
El estándar ve la ciberseguridad como un proceso continuo y no como un objetivo que debe alcanzarse y contempla el desarrollo de componentes IACS que son seguros por diseño. La integración de estos componentes en un entorno industrial debe regirse por políticas y prácticas de defensa en profundidad.
ISA/CEI 62443-4-2 Security for Industrial Automation and Control Systems: Technical Security Requirements for IACS Components, proporciona los requisitos técnicos de ciberseguridad para los componentes que componen un IACS, específicamente los dispositivos integrados, los componentes de red, los componentes host y las aplicaciones de software. El estándar establece capacidades de seguridad que permiten que un componente mitigue las amenazas para un nivel de seguridad determinado sin la ayuda de contramedidas compensatorias.
La especificación estándar de las capacidades de seguridad para los componentes del sistema ofrece a los proveedores de productos y a todos los demás interesados en el sistema de control un lenguaje coherente. Esto simplifica los procesos de compra e integración de las computadoras, el software, los equipos de red y los dispositivos de control del sistema de control.
ISA/CEI 62443-4-1 Requisitos del ciclo de vida del desarrollo de la seguridad del producto, especifica los requisitos del proceso para el desarrollo seguro de los productos utilizados en un IACS y define un ciclo de vida de desarrollo seguro para desarrollar y mantener productos seguros. El ciclo de vida incluye la definición de los requisitos de seguridad, el diseño seguro, la implementación segura (incluidas las pautas de codificación), la verificación y validación, la gestión de defectos, la gestión de parches y el final de la vida útil del producto.
Estos requisitos se pueden aplicar a procesos nuevos o existentes para desarrollar, mantener y retirar hardware, software o firmware. Los requisitos se aplican al desarrollador y mantenedor de un producto, pero no al integrador o usuario del producto.
El diseño de seguridad en los productos desde el comienzo del ciclo de vida del desarrollo es crucial, ya que puede ayudar a eliminar las vulnerabilidades del producto antes de que lleguen al campo. Todos somos conscientes de lo desafiante y costoso que puede ser parchear el software regularmente en el campo. El estándar nos brinda la oportunidad de crear productos seguros por diseño y detener el ciclo de parches de seguridad regulares.
ISA/CEI 62443-3-3 Requisitos de seguridad del sistema y niveles de seguridad, define los niveles de garantía de seguridad de los componentes del IACS. Los niveles de seguridad definen las funciones de ciberseguridad integradas en nuestros productos para aumentar la solidez del producto y hacerlo resistente a las ciberamenazas.
Los niveles de seguridad 1 y 2 corresponden a amenazas que se originan desde adentro, como empleados o contratistas descuidados o descontentos, o intrusos con pocas habilidades y motivación. Por otro lado, los Niveles de Seguridad 3 y 4 están relacionados con amenazas de ciberdelincuentes “profesionales”, espionaje industrial o actores maliciosos patrocinados por el estado que demuestran altas habilidades y motivación moderada a alta.
Además, IEC 62443-3-3 define los requisitos básicos de seguridad, que incluyen procesos para la autenticación de usuarios, la aplicación de funciones y responsabilidades, la gestión de cambios, el uso de cifrado, la segmentación de redes, los registros de auditoría y la copia de seguridad y recuperación del sistema.
ISA/CEI 62443-3-2: Evaluación de riesgos de seguridad para el diseño de sistemas, publicado en 2020, define un conjunto completo de medidas de ingeniería para guiar a las organizaciones a través del proceso esencial de evaluar el riesgo de un IACS en particular e identificar y aplicar contramedidas de seguridad para reducir ese riesgo a niveles tolerables.
El estándar se basa en la premisa de que cada organización que posee y opera un IACS tiene su propia tolerancia al riesgo. Cada IACS representa un riesgo único según las amenazas a las que está expuesto, la probabilidad de que ocurran esas amenazas, las vulnerabilidades inherentes al sistema y las consecuencias si el sistema se viera comprometido.
Sin ser excesivamente prescriptivo, ISA/IEC 62443-3-2 define los requisitos básicos para una evaluación de riesgos de IACS. El estándar resultante promueve la uniformidad en toda la industria al tiempo que permite a los propietarios y operadores de IACS emplear cualquier enfoque que cumpla con el estándar.