Et digitalt innbrudd i det sentrale driftssystemet er antakelig enklere enn du tror. Og det er i alle fall farligere enn du tror. Har du hørt om IEC 62443? Det bør du. Det er en ny standard for cybersikkerhet på vei inn, som vil sette viktige grenser for vann- og avløpsanlegget du jobber i.
Tekst: Jørn Søderholm
– Hvorfor er den så viktig?
– Jo, fordi kommunens eller IKS-ets driftsanlegg er veldig, veldig utsatt for nettangrep. IEC 62443 kan bidra til å sikre driftssystemet mot at uvedkommende tar seg inn i det. Den sier mye om hvordan du skal sørge for at ingen andre enn de som skal ha adgang kommer seg inn. Tenk deg selv hvor mye skade som kan gjøres dersom en person med gode kunnskaper og dårlige hensikter kommer seg inn systemer som kontrollerer vannbehandling, transportnett eller avløpshåndtering.
Det sier Thomas Christiansen. Han er produktsjef for cybersikkerhet i Phoenix Contact, et selskap spesialisert på gode kraft- og dataforbindelser i systemer for operasjonell teknologi (OT)
Hva er det som er så viktig?
IEC 62443.
Standard for cybersikkerhet – IEC 62443
Ikke hørt om den, sa du?
Du er ikke alene. Det er en temmelig ny og fersk internasjonal standard som gir retningslinjer for sikring av industrielle kontrollsystemer og kommunikasjonsnettverk for operasjonell teknologi (OT).
Hæ…?
Ja, det var ikke lettere å skrive den setningen enn det er å lese den. Les den gjerne en gang til:
Sikring av industrielle kontrollsystemer og kommunikasjonsnettverk for operasjonell teknologi (OT). Og IEC 62443.
Og for å gjøre det enda verre: En ny seksjon om tingenes internett i industri er på gang.
Det finnes en standard for alt, sies det. IEC 62443 er en standard for digital sikring av alle slags kontrollsystemer, driftsanlegg og kommunikasjonsnettverk. Det er akkurat så generelt og altomfattende som det høres ut.
Trussel mot vann og avløp
I vannbransjen gjelder den for eksempel kommunens eller IKS-ets sentrale driftsanlegg for vann og avløp, dataanlegget som bestyrer all adgangsbegrensing gjennom nøkkelkort og den risikoutsatte dataforbindelsen som gjør det mulig å overvåke driftsanlegget fra en iPad. For å nevne noe.
Husker du VA-dagene i 2023? Der var Jørgen Dyrhaug fra Nasjonal Sikkerhetsmyndighet (NSM), og snakket i et særdeles engasjert og underholdende innlegg om hvor vanskelig det er å sikre styringsanlegg mot at uvedkommende tar seg inn i det. Spesielt når anlegget skal være tilgjengelig for folk med vanlige datakunnskaper.
Siden sommeren 2022 har NSM registrert en seksdobling i antall tjenestenektangrep sammenlignet med de tre foregående årene samlet. Nytt er at virksomheter i transport-, finans- og helsesektoren har blitt mål for tjenestenektangrep. Hvor utsatt tror du kommunaltekniske anlegg for vannforsyning og avløpshåndtering er da…?
Enklere å sikre mot cybertrusler
– Ved å følge IEC 62443 blir det enklere for nett- og ledningseieren å sikre anlegget mot cybertrusler. Det er avgjørende for å oppretthold sikkerheten i kritisk infrastruktur, og samtidig opprettholde en effektiv operasjonell drift, sier Christiansen.
Verken IEC 62443 eller Phoenix Contact er særlig godt kjent for den norske vann- og avløpsbransjen. Phoenix Contact har en historie helt tilbake til 1923, og er spesialister på drift og sikring av driftssystemer i infrastruktur på forskjellige områder.
– Vi har jobbet mye de siste årene med å gjøre IEC 62443 kjent i vei- og tunnelbransjen. Der har det gått fra null kjennskap til at “shit, dette vi må gjøre noe med” er den vanligste reaksjonen. Vann og avløp er en samfunnskritisk infrastruktur som minst like viktig å sikre. Det begynner vi med nå, sier han.
Standarden IEC 62443 har gradvis kommet i stand gjennom de siste 3-4 årene. Den består av ulike underseksjoner, som danner grunnleggende krav til et stort spekter av sikkerhets temaer. Nærmere bestemt syv ulike aspekter ved slike systemer. Eller foundation requirements, som det kalles.
* FR 1: Kontroll med identifsiering og autentisering
* FR 2: Kontroll med bruk
* FR 3: Systemintegritet
* FR 4: Datakonfidensialitet
* FR 5: Begrenset datastrøm (restricted data flow)
* FR 6: Riktig respons på hendelser
* FR 7: Tilgjengelighet på ressurser
Industrial Internet of Things (IIoT)
– Standarden omfatter både digitale og fysiske tiltak. Den påvirker i stor grad kravene som stilles til komponentene som benyttes i OT-systemer, sier Thomas Christiansen i Phoenix Contact.
– Du nevnte at det er noe nytt på gang i standarden, som gjør den enda mer aktuell. Hva er det?
– Den nye seksjonen IEC 62443-4-3. Den er nå publisert som et utkast og omfatter anbefalinger for Industrial Internet of Things (IIoT). Det vil si løsninger for datainnsamling fra alle nivåer i kontrollsystem til sentral optimalisering. Gjerne i skyen, sier han.
Dette er altså et område som ikke er det letteste å begripe seg på, men som er fryktelig viktig for alle som er involvert i drift av vann og avløp.
Vi anbefaler at du tar en tur til VA-dagene, på Gardermoen uka etter påske. Der vil Phoenix Contact være med som partner for å orientere bransjen om IEC 62443, cybertrusselen mot norsk vannbransje og hva man skal gjøre for å sikre seg mot nettangrep.
Thomas Christiansen skal holde et innlegg på konferansen, og vil sammen med kollegaer i Phoenix Contact stå som utstiller på stand og svare på spørsmål.
