Kybernetická bezpečnost je jednou z nejdůležitějších oblastí, na kterou by se firmy měly zaměřovat. A v průmyslu to platí obzvláště, protože s postupným pronikáním IoT do výroby výrazně vzrůstá i riziko útoků, zejména v podobě ovládnutí a paralýzy strojů či úniku klíčových dat z firemních serverů.
„Určité subjekty jsou vázány kybernetickým zákonem, avšak zejména pro zabezpečení řídicích systémů je vhodnější aplikovat mezinárodní standard IEC 62443, který dokáže pokrýt celý dodavatelský řetězec,“ míní Michal Hager, vedoucí laboratoře kybernetické bezpečnosti EZÚ.
Kybernetický zákon vychází ze standardu ISO/IEC 27001, v čem je tedy rozdíl mezi ním a mezinárodní normou IEC 62443?
Rozdílů je několik a jako jeden z větších bych určitě zmínil působnost. Kybernetický zákon totiž působí šířeji než jen na průmysl, míří primárně do státní správy a na kritickou infrastrukturu. Další rozdíl je v tom, že zákon je zaměřen lokálně na Českou republiku, kdežto standardy jsou celosvětově uznávané a dostávají se do popředí i v oblasti průmyslu. Rozdílné je také zacílení, protože zákon míří pouze na organizace, a to i když se mluví o systémech, kdežto u norem jsou požadavky vztaženy k procesům, produktům a službám, které organizace poskytuje. Takovou službou může být integrace řídicího systému u koncového zákazníka a také jeho údržba. Se standardem IEC 62443 se však zákon sám i Vyhláška o kybernetické bezpečnosti č. 82/2018 Sb. v určitých oblastech naopak protíná, jsou v něm o zmínky o průmyslových řídicích a obdobných systémech.
Znamená to, že standard IEC 62443 je pro potřeby průmyslu vhodnější?
Z určitého pohledu by se to tak dalo říci. Pod tímto označením se totiž neskrývá jen jedna norma, jsou jich tam desítky. Jde vlastně o celou rodinu norem. Část z nich se zabývá definicemi pojmů a popisem toho, jak celá rodina norem a jednotlivé části fungují. Další skupina je zaměřena na procedury, tedy popisy procesů, které je třeba aplikovat ve společnostech, aby bylo dosaženo kybernetické bezpečnosti. Následuje část, která míří na produkty — velké řídicí systémy —, a poslední balík se zaměřuje na komponenty, ze kterých se ty systémy skládají. A definuje bezpečnostní požadavky jak z pohledu procesu bezpečného vývoje, tak i z pohledu produktu, tedy jeho technických specifikací.
Pokud by výrobní firma uvažovala o certifikaci, kterou částí by měla začít?
Koncový zákazník z oblasti průmyslu by měl začít s částí IEC 62443-2-1, Requirements for an IACS security management system. Tato část se v současnosti nachází v aktualizačním procesu. Předpokládané datum publikace verze 2.0 je 24. 10. 2021. Právě ona vlastně klade požadavky na dříve zmiňovaný dodavatelský řetězec. IEC 62443 tedy opravdu dokáže pokrýt celý dodavatelský řetězec od systému (IACS) přes jeho komponenty po služby.
Důležitým specifikem certifikačního schématu k IEC 62443 je, že lze selektovat ze standardu relevantní (aplikovatelné) požadavky, není nutné jej aplikovat v celé šíři. Je to z důvodu toho, že portfolio produktů je velmi různorodé. Výběr aplikovatelných požadavků je právě jedním z prvních kroků realizovaných při certifikačním řízení.
V certifikačním schématu, což je dokument, který určuje, jakým způsobem se přistupuje k certifikaci, jsou také pro procesně zaměřené části IEC 62443 stanoveny takzvané úrovně vyspělosti, tedy stupně toho, jak jsou požadavky plněny.
Například druhá úroveň vyspělosti počítá s tím, že má firma dokumentované teoretické postupy, jak požadavky naplňovat. Třetí úroveň znamená, že se tyto postupy už použily v praxi, a tomu musí odpovídat i předávané podklady v rámci certifikačního řízení.
Jak dlouho může certifikační proces trvat?
To je různé. Většina firem už má určité standardy nastavené. Sice třeba nenaplňují vše, ale rozhodně nezačínají od nuly. Dosáhnout certifikace na úrovni vyspělosti tři by v těchto případech trvalo řádově měsíce, maximálně půl roku. U firem, které se zatím plněním standardů kybernetické bezpečnosti příliš nezabývaly, se bude jednat zhruba o dvojnásobek.
(Celý rozhovor si můžete přečíst v aktuální vydání Technického týdeníku.)