Szereg norm ISA/IEC 62443 opracowanych przez działające na zasadzie non-profit Międzynarodowe Stowarzyszenie Automatyki (ang. International Society of Automation, ISA) i przyjętych przez Międzynarodową Komisję Elektrotechniczną (ang. International Electrotechnical Commission, IEC) wyznacza ramy pozwalające na ograniczenie lub wyeliminowanie luk w bezpieczeństwie przemysłowych systemów automatyzacji i sterowania, a użytkownikom daje możliwość kierowania się zapobiegawczym, usystematyzowanym podejściem.

W styczniu 2018 r. opublikowano nową normę wchodzącą w ich skład: ISA/IEC 62443-4-1:2018, Security for industrial automation and control systems, Part 4-1: Secure product development lifecycle requirements. Określa ona specyfikacje procesów, których przedsiębiorstwa powinny przestrzegać podczas tworzenia produktów, aby sprostać wymogom bezpieczeństwa. Norma ta ma na celu zwiększenie bezpieczeństwa całego cyklu życia produktów. Obejmuje definicję wymogów bezpieczeństwa, bezpieczne projektowanie, bezpieczne wdrożenie (z uwzględnieniem wytycznych programowania), weryfikację i walidację, obsługę błędów, obsługę poprawek i wycofywanie produktu z użytku.

Podstawę certyfikacji stanowi scenariusz użycia
Aby upewnić się, że firma Copa-Data uzyska certyfikat zgodności z najnowszą normą IEC 62443-4-1, zespół projektowy pod kierownictwem Reinharda Mayra, kierownika ds. bezpieczeństwa informacji i działalności badawczej, zobowiązany został do stworzenia realistycznego, wielobranżowego scenariusza użycia. Składa się on z kilku warstw i obejmuje szereg różnych systemów odpowiadających rozwiązaniom stosowanym w najnowocześniejszych zakładach produkcyjnych. Są one zestawiane ze sobą warstwa po warstwie, tworząc jeden kompletny i bezpieczny system.

- Naszym celem było zdefiniowanie przypadku użycia, który odzwierciedlałby nie tylko rzeczywiste zastosowanie naszego oprogramowania w usieciowionym środowisku produkcyjnym oraz uwzględniałby nasze inwestycje w bezpieczeństwo na przestrzeni ostatnich lat, lecz również spełniałby wymagania normy - mówi Reinhard Mayr.

W samym centrum znajduje się komórka produkcyjna stanowiąca część procesu produkcji. Wymaga ona maksymalnego zabezpieczenia przed niebezpiecznymi czynnikami z obszarów produkcji, z którymi jest połączona. Są to np. sterownie służące do monitorowania procesu, sieci zewnętrzne i kierownictwa, a także chmury obliczeniowe. Z tego powodu scenariusz zastosowany do celów certyfikacji zawiera również tzw. strefę zdemilitaryzowaną. Opiera się ona o technologię zenon i odpowiada ogólnym koncepcjom dotyczącym bezpieczeństwa informatycznego określonym w normie IEC 27001.

- Strefa zdemilitaryzowana chroni obszar operacyjny przed zewnętrznymi wpływami, a także zwiększa bezpieczeństwo informatyczne. Strategie i koncepcje, którymi kierujemy się od wielu lat przy okazji rozwijania oprogramowania zenon, takie jak "bezpieczeństwo od samego początku" czy "obrona w głąb", również pomagają to osiągnąć. Dzięki licznym natywnym protokołom oprogramowania zenon jesteśmy też w stanie znacząco utrudnić atakującym hakerom wyrządzenie poważnych szkód - wyjaśnia Reinhard Mayr.

Bezpieczeństwo: praca zespołowa
Zdając sobie sprawę, że bezpieczeństwo informatyczne dla przemysłu będzie odgrywać jeszcze większą rolę w procesie rozwoju oprogramowania, firma Copa-Data powiększyła zespół ds. zarządzania bezpieczeństwem i nadała mu więcej uprawnień. Uzyskaliśmy nowy certyfikat, który będzie musiał być odnawiany co rok. W związku z tym cały cykl bezpieczeństwa firmy Copa-Data będzie stale audytowany.

Jak wyjaśnia Reinhard Mayr, firma Copa-Data od samego początku działalności wprowadza ciągłe usprawnienia w obszarze bezpieczeństwa. - Jest to filar naszej strategii korporacyjnej. Aktywnie promujemy nasze działania, gdy tylko jest to potrzebne, ściśle współpracując z organami urzędowymi i innymi producentami.

Bezpieczeństwo pozostaje kwestią, którą muszą zajmować się wszystkie obszary w firmie oraz producenci elementów wchodzących w skład systemów. Wszystkie elementy połączone siecią informatyczną, tj. ludzie, przedsiębiorstwa, sprzęt komputerowy i oprogramowanie, muszą utrzymywać podstawowe standardy bezpieczeństwa. - Dokładamy wszelkich starań, aby wspierać realizację strategii bezpieczeństwa naszych klientów oraz chronić ich przed cyberatakami, zawsze gdy tylko jest to możliwe - wyjaśnia Reinhard Mayr.

Źródło: Copa-Data