IoT schreeuwt om aandacht voor standaarden in cybersecurity

De mega groei van het industriële Internet of Things (IIoT) van vandaag creëert een cruciale behoefte aan cyberbeveiliging en goed gedefinieerde normen. Deze kunnen klanten het vertrouwen geven dat hun verbonden apparaten veilig zullen werken gedurende hun hele levenscyclus.

Meer data

Tegen 2025 zullen circa 40 miljard aangesloten apparaten zijn. En deze zullen bijna 80 zettabyte (ZB) aan data genereren die veilig moeten worden onderhouden en verwerkt. Analisten voorspellen dat deze toename van verbonden apparaten en de gegevens die ze genereren zal blijven groeien. De toename van kritieke gegevens en computers vereist naar verwachting 4x meer elektriciteit in het komende decennium.

Een wereld met versterkte connectiviteit en elektrische vraag heeft het vertrouwen nodig dat elektrische energiesystemen zijn gebouwd met vertrouwde producten. Cybersecurity is een must-have voor productontwikkeling, net als veiligheid en kwaliteit. Dit betekent dat strikte procedures en cyberbeveiligingsprotocollen moeten worden geïntegreerd in elke fase van productontwikkeling waarbij mensen, processen en technologieën betrokken zijn.

Cybersecurity certificeringen voor verbonden producten

Voor apparaten voor energiebeheer die zijn aangesloten, heeft UL de 2900-norm voor softwarecybersecurity voor producten die via een netwerk kunnen worden verbonden (UL 2900) opgesteld. Deze richtlijnen waren de eerste in hun soort en omvatten processen om apparaten te testen op beveiligingsproblemen, softwarematige zwakheden en malware. Deze norm bevestigt dat de fabrikant van het apparaat voldoet aan de richtlijnen voor:

RISICO’s


Evaluatie en testen op de aanwezigheid van kwetsbaarheden, softwarematige zwakheden en malware
Vereisten voor beheersing van beveiligingsrisico’s in de architectuur en het productontwerp
UL biedt ook een Cybersecurity Client Lab Validation-programma voor fabrikanten, dat testlaboratoria certificeert met de wereldwijde mogelijkheid om producten met intelligentie of ingebouwde logica te testen volgens de belangrijkste aspecten van de 2900-norm. Door producten aan te schaffen die in deze gespecialiseerde laboratoria zijn getest, kunnen klanten rustiger zijn, wetende dat hun apparaten voldoen aan de hoogste cyberbeveiligingsvereisten in de branche voordat ze in kritieke systemen worden geïnstalleerd.

Evenzo heeft de International Electrotechnical Commission (IEC) de reeks normen 62443 aangenomen, die een kader biedt om de cyberbeveiliging van industriële controlesystemen aan te pakken. Deze standaarden bieden vereisten voor alle hoofdrollen gedurende de levenscyclus van het systeem – van productontwerp en ontwikkeling tot integratie, installatie, bediening en ondersteuning. In 2018 heeft de IEC 62443-4-2 toegevoegd om de beveiliging van producten te verbeteren.

Net zoals cybersecurity-certificeringen voor producten nodig zijn om betrouwbare connectiviteit te ondersteunen, is het even belangrijk om te valideren dat fabrikanten veilige productontwikkelingsprincipes toepassen op productontwikkeling. Dit kan worden bevestigd door middel van een geaccrediteerde Secure Development Lifecycle (SDL) die de zekerheid biedt dat cybersecurity is ingebed in het hele productontwikkelingsproces.

Secure Development Lifecycle (SDL)

SDL is ontstaan ​​als reactie op een toename van het aantal uitbraken van virussen en malware aan het begin van de 21e eeuw. Deze benadering van productontwikkeling plaatst cyberbeveiliging van begin tot eind en tot implementatie en levenscyclusonderhoud centraal. SDL kan fabrikanten helpen cybercriminelen voor te blijven door cyberbeveiligingsrisico’s gedurende de hele levenscyclus van een product of oplossing te beheren.

Als een van de eerste speerpunten van het SDL-initiatief heeft Microsoft zijn SDL-tools, -processen en -richtlijnen algemeen beschikbaar gesteld. Sindsdien wordt SDL op grote schaal toegepast in alle sectoren, waaronder elektrische en kritieke infrastructuur. Tegenwoordig is SDL een bewezen strategie om risico’s proactief aan te pakken met een systeembrede defensieve aanpak.

Voor fabrikanten is het toepassen van een SDL-aanpak die is gevalideerd door een derde partij essentieel voor het creëren van vertrouwde omgevingen. Het is de certificering door een derde partij die klanten vertrouwen geeft in de processen en technologieën die ze toepassen, net zoals veiligheidscertificeringen en normen in de National Electric Code.

Hoewel SDL geen inherente code of standaard is, schrijft deze wel voor hoe cyberbeveiliging moet worden geïntegreerd in processen voor productinkoop-, ontwerp-, implementatie- en testteams.

IEC 62443-4-1 bevat richtlijnen voor een veilige ontwikkeling van de productlevenscyclus in de elektrische industrie. De IEC-richtlijn specificeert procesvereisten voor de veilige ontwikkeling van producten die worden gebruikt in industriële automatiserings- en controlesystemen. Het definieert een veilige ontwikkelingscyclus voor het ontwikkelen en onderhouden van veilige producten. Deze richtlijnen kunnen worden toegepast op nieuwe of bestaande processen voor het ontwikkelen, onderhouden en buiten gebruik stellen van hardware, software of firmware voor nieuwe of bestaande producten.

Validatie door derden voor SDL-processen is belangrijk omdat het klanten vertrouwen geeft en het risico helpt verminderen door te bevestigen dat de technologieën en processen die ze toepassen, voldoen aan beproefde brancherichtlijnen. Bij Eaton nemen we SDL zeer serieus om proactief cyberbeveiligingsrisico’s in producten te beheren via een raamwerk met bedreigingsmodellering, analyse van vereisten, implementatie, verificatie en doorlopend onderhoud.

Een “verdediging in de diepte” -mechanisme dat vandaag effectief is, is morgen misschien niet effectief omdat de kwetsbaarheden blijven evolueren. Daarom moeten beheerders van industriële controlesysteemnetwerken altijd alert zijn op veranderingen in het cybersecurity-landschap en mogelijke kwetsbaarheden proberen te voorkomen.

De door IEC uiteengezette cybersecurityprocescertificeringen geven klanten het vertrouwen dat fabrikanten de organisatiebrede benaderingen hebben bijgebracht die nodig zijn om robuuste cybersecurity te garanderen gedurende de levenscyclus van een bepaald product.

De beveiliging van een netwerk of systeem is zo sterk als de zwakste schakel. Organisaties moeten basale cyberbeveiligingshygiëne toepassen en opkomende bedreigingen continu analyseren om ervoor te zorgen dat systemen veilig worden geïmplementeerd. Bovendien moeten bedrijven een inventaris maken van alles wat met hun netwerken is verbonden en een zero-trust-model toepassen.

Naarmate meer fabrikanten en industrieën IIoT-apparaten bouwen en implementeren, worden de beveiliging en veiligheid van systemen die essentiële bewerkingen leveren belangrijker en moeilijker te beheren. Deze complexiteit is gedeeltelijk het gevolg van het ontbreken van een wereldwijde, universeel aanvaarde cyberbeveiligingsstandaard en conformiteitsbeoordelingsschema dat is ontworpen om verbonden producten te valideren.

De economische uitdagingen voor het beschermen van IIoT-ecosystemen komen voort uit de complexe productieketen en de moeilijkheid om duidelijke aansprakelijkheden toe te wijzen aan fabrikanten en systeemintegratoren voor eventuele geïntroduceerde kwetsbaarheden. De meeste producten en systeemassemblages bestaan ​​uit componenten van verschillende leveranciers. Waar moet het element vertrouwen beginnen en eindigen als er geen wereldwijd conformiteitsbeoordelingsschema is om ervoor te zorgen dat producten en systemen zijn ontworpen om te voldoen aan de wereldwijde normen die door de industrie zijn gedefinieerd?