A norma IEC-62443 será integrada no Common Regulatory Framework on Cybersecurity.

Recentemente, a International Society of Automation (ISA) publicou a seguinte notícia: “The United Nations Economic Commission for Europe (UNECE; Geneva, Switzerland) confirmed that it will integrate the widely used ISA/IEC 62443 series of standards into its forthcoming Common Regulatory Framework on Cybersecurity (CRF). The CRF will serve as an official UN policy position statement for Europe. At its recent annual meeting in Geneva, UNECE’s Working Party on”.

Esta é, sem dúvida, uma excelente notícia para todos os profissionais preocupados com o facto de os ambientes industriais e de infraestruturas críticas serem cada vez mais seguros e menos vulneráveis às diferentes ameaças existentes.

A norma IEC 62443 é um conjunto de normas que se baseia nos conceitos definidos pela norma ISA99, na qual, por sua vez, se propõe uma série de documentos que estabelecem melhores práticas e recomendações para aumentar a segurança dos sistemas de controlo industrial face a ameaças cibernéticas (principalmente). Com o propósito de alinhar a nomenclatura da ISA99 à proposta realizada pela IEC, no ano de 2010, a ISA99 passa a ser denominada ANSI/ISA-62443 ou IEC 62443.

Na norma ISA 99 definem-se quatro documentos específicos e dois relatórios técnicos. Como pode observar-se na figura seguinte, esta norma foi dividida em quatro camadas.

• A primeira, denominada General , inclui quatro documentos. Neles, propõem-se os conceitos básicos e o contexto sobre o qual se desenvolvem as seguintes camadas da norma.
• A segunda, denominada Policies & Procedures, inclui também quatro documentos. Como o seu nome indica, centra-se na definição de políticas e procedimentos.
• A terceira camada é a de System e é composta por três documentos. Centra-se em propor melhores práticas para a implementação segura de sistemas em ambientes industriais.
• Por último, a quarta camada, denominada Component , inclui dois documentos e aborda os requisitos que devem cumprir os fabricantes de dispositivos industriais para que sejam considerados Secured by Design.

Todos estes documentos encontram-se em diferentes fases de desenvolvimento. Como pode observar-se na seguinte, o seu estado pode ser: publicados, publicados, mas em revisão, em desenvolvimento e planeados.

Figura. Norma ISA 99 .

Desde a área de consultoria e engenharia de Cibersegurança Industrial da Logitek, baseamo-nos com assiduidade nas melhores práticas que propõe a IEC 62443 para realizar diferentes tipos de intervenções, entre elas, importa destacar a sua utilização para levar a cabo iniciativas de segmentação e fortificação de redes e sistemas.

Dentro do documento IEC 62443-1-1 Models and Concepts (que praticamente replica a especificação ANSI/ISA99.00.01 – Part 1: Terminology, Concepts and Models), introduzem-se os conceitos de zona, conduta e canal. Em ambientes tão complexos e extensos como os industriais, não seria lógico implementar medidas de prevenção, deteção, resposta e recuperação, e, além disso, desenvolver controlos específicos, da mesma forma para todos os sistemas e/ou áreas de processo. É por isso que este documento propõe um método para criar áreas que tenham os mesmos requisitos de segurança e, por outro lado, propõe mecanismos para que a comunicação entre estas diferentes áreas se realize de forma segura.

Deixamos-lhe este link para as atas das Jornadas Nacionais de Cibersegurança (JNIC) celebradas em Granada durante 2016, nas quais publicámos o artigo “Design de zonas, condutas e canais segundo a normativa IEC 62443 (ISA99) numa Indústria 4.0”.

Após a sua leitura, certamente poderá entender muito melhor o que a IEC 62443 nos aporta a este problema em particular.

Se necessitar de esclarecimentos e/ou ampliar informações, não hesite em entrar em contacto connosco.