WIB zaprezentował pierwszy międzynarodowy standard cyberbezpieczeństwa dla automatyki

WIB zaprezentował pierwszy międzynarodowy standard cyberbezpieczeństwa dla automatyki

International Instrument Users Association (WIB), międzynarodowa organizacja reprezentująca producentów z branży automatyki przemysłowej, zaprezentowało 9 listopada 2010 roku drugą wersję dokumentu ‘Process Control Domain Security Requirements For Vendors’. Jest on uznawany za pierwszy międzynarodowy standard, który oferuje zestaw konkretnych zaleceń oraz najlepszych praktyk związanych z cyberbezpieczeństwem, skierowany do dostawców automatyki przemysłowej oraz systemów sterowania.

Alex van Delft, prezes WIB stwierdził, że „cieszymy się mogąc dziś zaprezentować drugą wersję naszego standardu cyberbezpieczeństwa. Jest to ważny krok w trwającym procesie poprawy niezawodności naszych krytycznych systemów produkcyjnych, a przy tym zapewnia użytkownikom możliwość przekazywania swoich oczekiwań dotyczących bezpieczeństwa automatyki procesu oraz systemów sterowania i bezpieczeństwa”.

Wrogi świat

Wraz z coraz silniejszym uzależnieniem sieci przemysłowych od wrogiego świata technologii informatycznych, częstotliwość i stopień wyrachowania ataków rośnie gwałtownie. Z tego powodu WIB sugeruje właścicielom sieci przemysłowych ochronę swoich krytycznych systemów. Niezależnie od tego czy atak jest zamierzony, czy przypadkowy, każdy jeden incydent naruszenia cyberbezpieczeństwa może kosztować miliony dolarów, a nawet zagrozić bezpieczeństwu kluczowych elementów infrastruktury kraju.

Peter Kwaspen, menedżer ds. strategii i rozwoju EMEA Control & Automation Systems w Shell Projects & Technology przyznał, że „nasze coraz częściej podłączone do sieci systemy produkcyjne narażone są na coraz większe zagrożenie i musimy zrobić wszystko co w naszej mocy, by zapewnić bezpieczeństwo środowiska produkcji. Dokument ten zapewnia wspólny język jakiego potrzebujemy do przekazywania naszych związanych z bezpieczeństwem oczekiwań dostawcom, a także stanowi szkielet umożliwiający dalszą w współpracę nad poprawą bezpieczeństwa naszych kluczowych systemów”.

Grupa, w skład której wchodzą, między innymi: Shell, BP, Saudi Aramco, Dow, DuPont, Laborelec, Wintershall oraz tuziny innych użytkowników, wiodący dostawcy, jak Invensys czy Sensus, ale także i wiele agencji rządowych, spędziła dwa lata na opracowywaniu zestawu wymagań i pilotowaniu programu certyfikacji, by móc zagwarantować, że wyniki prac będą funkcjonalne, skalowalne i nie zdezaktualizują się w najbliższym czasie.

Jos Menting, doradca ds. cyberbezpieczeństwa GDF Suez Group stwierdził, że „wymagania dotyczące bezpieczeństwa zawarte w dokumencie przez rok analizowane i weryfikowane były przez 50 członków stowarzyszenia z całego świata, a przez ostatnie osiem miesięcy przechodziły przez pilotażowy program certyfikacyjny. Dzięki temu doszliśmy do naprawdę funkcjonalnego standardu cyberbezpieczeństwa opartego na potrzebach użytkowników i to do nas użytkowników teraz zależy wykorzystanie wyników tych prac poprzez naciskanie na dostawców, by uzyskiwali certyfikat”.

Wymagana zgodność

Członkowie grupy roboczej WIB Plant Security rozpoczęli już proces implementacji wymagań w swoich procesach.

Ted Angevaare, lider zespołu PACO EMEA Control & Automation Systems stwierdził, że „Shell zażądał zgodności ze standardem WIB od wszystkich dostawców systemów instalowanych w środowisku sterowania procesem od stycznia 2011 roku”.

Wiodący dostawcy przemysłowych systemów sterowania procesem oraz automatyki również rozpoczynają proces wdrażania wymagań w swoich organizacjach.

Ernie Rakaczky, menedżer programu cyberbezpieczeństwa systemów sterowania Invensys Operations Management stwierdził, że „wdrożenie dotyczących bezpieczeństwa zaleceń WIB zapewni Invensys zestaw mierzalnych narzędzi do forsowania poprawy bezpieczeństwa kluczowych elementów infrastruktury. Dzięki temu zyskamy nie tylko obraz stanu obecnego, ale i możliwość stałego udoskonalania i adaptowania wciąż zmieniającego się krajobrazu bezpieczeństwa”.

Standard WIB został stworzony tak, by zaspokoić wszystkie potrzeby użytkowników/operatorów systemu, a także odzwierciedlić unikalne wymagania takich sektorów, jak: ropa i gaz, energetyka, smart grid, transport, farmaceutyczny czy chemiczny. Celem jest określenie związanych z cyberbezpieczeństwem najlepszych praktyk i rozłożenie odpowiedzialności na różne etapy cyklu życia systemu: praktyki organizacyjne, tworzenie produktu, testowanie i rozruch, a także utrzymanie i wsparcie.

Auke Huistra, menedżer projektu w National Infrastructure against Cyber Crime (NICC) stwierdził, że „bezpieczeństwo nie jest jednorazową aplikacją, ale raczej procesem, w którym każdy uczestnik musi w celu osiągnięcia znaczącej poprawy niezawodności coś wnieść”.

Zalecenia zostały również skonstruowane z myślą o całej gamie istotnych dla przemysłu zagadnień cyberbezpieczeństwa; od wysokich wymagań dla dostawców wewnętrznych polityk i procedur bezpieczeństwa, po specyficzne wymagania związane z: dostępem i uwierzytelnianiem, ochroną danych czy ochroną haseł.

Zalecenia są rozłożone na trzy etapy, które mają odzwierciedlać różne punkty początkowe globalnych dostawców i zapewniać skalowalny szkielet dla wdrażania udoskonaleń w czasie. W ramach programu są etapy: złoty, srebrny i brązowy, z których każdy składa się z zestawu zaleceń.

Globalna współpraca

Liderzy branży bardzo wcześnie zrozumieli, że biorąc pod uwagę globalną naturę cyberbezpieczeństwa, każdy wysiłek skierowany na standaryzację najlepszych praktyk dla cyberbezpieczeństwa wymaga współpracy uczestników z różnych sektorów i różnych regionów świata. I właśnie WIB okazał się być idealnym ciałem do stworzenia niezależnego standardu.

W toku swojej pracy, WIB konsultował się z wieloma agencjami rządowymi, grupami roboczymi oraz ciałami standaryzującymi, by umożliwić w przyszłości współpracę. Na przykład, takie standardy jak: ISA SP99, NIST 800-53, NISTIR 7628 i NERC/CIP zostały w miarę możliwości włączone do zaleceń. Komitet Wykonawczy WIB rozpoczął również proces standaryzacji swoich zaleceń zgodnie z wytycznymi CEN/CENELEC oraz IEC.

(lk)