Cyberbezpieczeństwo zakładów produkcyjnych

Dla obszarów operacyjnych, które podlegają rozporządzeniu o niebezpiecznych zdarzeniach, § 3 (Ogólne obowiązki operatora) 12 BImSchV wymaga również uwzględnienia bezpieczeństwa IT. Nacisk kładziony jest tu na sterowanie procesami oraz oprzyrządowanie i urządzenia kontrolne. Za realizację odpowiedzialne są administracje ochrony środowiska poszczególnych krajów związkowych. W przypadku NRW LANUVw dokumencie informacyjnym określił wymagania dotyczące prezentacji bezpieczeństwa IT w raporcie bezpieczeństwa oraz w dokumentach licencyjnych dotyczących bezpieczeństwa instalacji.

Można założyć, że władze w NRW będą odtąd stosować dokument orientacyjny jako wzór przy ocenie raportów bezpieczeństwa i dokumentów licencyjnych. W dokumencie instruktażowym wyraźnie wymieniono następujące tematy, które muszą zostać przedstawione w raporcie bezpieczeństwa:

• Architektura sieci i modele stref
• Wykazy aktywów
• Analiza ryzyka informatycznego / ocena ryzyka informatycznego

Ustawa o bezpieczeństwie IT, za którą odpowiedzialne jest Federalne Ministerstwo Spraw Wewnętrznych, koncentruje się przede wszystkim na ochronie bezpieczeństwa dostaw i tzw. infrastruktury krytycznej. Prawo dotyczy tylko „obiektów”, które obsługują co najmniej 500 tys. osób. BSI-KritisV jest holistycznym podejściem dla przedsiębiorstw i dlatego obejmuje wszystkie działy firmy.

Komisja ds. bezpieczeństwa instalacji (KAS) jest niezależnym organem doradzającym rządowi federalnemu lub właściwemu ministerstwu federalnemu w kwestiach związanych z bezpieczeństwem instalacji w rozumieniu federalnej ustawy o kontroli emisji (BImSchG). Wytyczna KAS-51 „Środki zabezpieczające przed manipulacją przez osoby nieupoważnione” określa między innymi podstawowe środki. Obejmuje to na przykład określenie zakresu odpowiedzialności, a także zarządzanie dostępem i monitorowanie dostępu. Wymagana przez wytyczne KAS-51 analiza bezpieczeństwa składa się z analizy zagrożeń, analizy ryzyka oraz oceny ryzyka informatycznego. Te ostatnie mogą być realizowane m.in. zgodnie z normami IEC 62443, DIN ISO/IEC 27001 czy NA 163. Załącznik 2 do przewodnika KAS-51 dotyczy ochrony przed atakami cyberfizycznymi i obejmuje takie tematy jak bezpieczeństwo IT jako zadanie zarządzania oraz reagowanie na nowe podatności i zagrożenia. Wszystkie tematy wymienione w Załączniku 2 są realizowane poprzez pytania kontrolne. Przegląd dokonywany przez organ koncentruje się ostatecznie na analizie bezpieczeństwa i jakości wdrożenia. Jeżeli zostanie stwierdzona wystarczająca ochrona, nie jest wymagana oddzielna kontrola bezpieczeństwa zgodnie z § 10a rozporządzenia w sprawie kontroli bezpieczeństwa (Sicherheitsüberprüfungsfeststellungsverordnung, SÜFV). Raport bezpieczeństwa służy jako dowód pewności prawnej dla użytkownika instalacji.

W wyniku konkretyzacji norm IEC 61508 i IEC 61511, VDI/VDE 2180, wytyczne dotyczące bezpieczeństwa funkcjonalnego w przemyśle procesowym, zostały odnowione w kwietniu 2019 roku. Cyberbezpieczeństwo stanowi nowy punkt zainteresowania: „W zarządzaniu bezpieczeństwem funkcjonalnym aspekty bezpieczeństwa informatycznego muszą być uwzględnione w planowaniu, zamówieniach, walidacji, eksploatacji, modyfikacjach i wycofaniu z eksploatacji.” Nowa wersja mówi dalej: „Dzięki zastosowaniu technologii informatycznych i coraz większemu połączeniu systemów w sieć, systemy automatyki, w tym powiązane z nimi urządzenia programujące i konfigurujące, mogą stać się celem cyberzagrożeń. […] należy przeprowadzić ocenę ryzyka informatycznego w celu oszacowania potencjału ryzyka i określenia odpowiednich środków zaradczych.” (Arkusz 1, str. 38 i nast.) Ocena bezpieczeństwa IT dla urządzeń zabezpieczających PLT może być przeprowadzona niezależnie lub razem z ogólną oceną ryzyka IT. Dotyczy to sprzętu, oprogramowania, danych, połączeń, procesów i ludzi. VDI/VDE 2180 stwierdza również na kolejnych stronach, że NA 163 zawiera metody przeprowadzania analizy ryzyka IT, jak również katalog środków, które wraz z VDI/VDE 2180 mogą prowadzić do stworzenia odpowiedniej koncepcji bezpieczeństwa IT.

Ponieważ wyżej wymienione podejścia do analizy ryzyka IT są często bardzo czasochłonne i wymagają zaangażowania personelu, arkusz 163 NAMUR ma na celu pomóc w zapewnieniu zgodności z przepisami prawa i regulacjami, nawet jeśli analiza bezpieczeństwa jest przeprowadzana przez osoby niebędące specjalistami IT (np. inżyniera PCT). Wymagany czas powinien być ograniczony przez arkusz do maksymalnie jednego dnia na system. W NA 163 zalecane jest napisanie oceny ryzyka IT zgodnie z IEC 62443. Podstawowe parametry są ogólnie obowiązujące: SIL 1 do 3, niski wskaźnik wymagań i strefowa struktura sieci. Ocena ryzyka IT dla instalacji bezpieczeństwa PLT zgodnie z NA 163 jest ostatecznie przeprowadzana w pięciu krokach:

1. Identyfikacja rozpatrywanego systemu
2. Ocena ryzyka informatycznego wysokiego poziomu
3. Podział rozpatrywanego systemu na strefy i połączenia
4. Szczegółowa ocena ryzyka informatycznego
5. Dokumentacja