NCS3 Studie - Standardserie ISA/IEC 62443: Användning och erfarenheter bland svenska ICS-aktörer

Författare:

  • Vidar Hedtjärn Swaling
  • Christoffer Wedebrand
  • Ann-Sofie Stenerus

Publiceringsdatum: 2018-06-21

Rapportnummer: FOI-R--4601--SE

Sidor: 41

Skriven på: Svenska

Nyckelord:

  • 62443
  • IACS/ICS
  • standarder
  • cybersäkerhet
  • kritisk infrastruktur.

Sammanfattning

ISA/IEC 62443 är en standard med fokus på industriella informations- och styrsystem (ICS). Standarden har på senare tid fått ökad uppmärksamhet och används i Sverige såväl som internationellt trots att den i stora delar fortfarande är under utveckling. Syftet med denna rapport är att ge Myndigheten för samhällsskydd och beredskap (MSB) en ökad förståelse för standardens omfattning och användning i Sverige för att på så vis bidra till ökad kunskap om de förutsättningar som råder inom ICS-området. Standardens användning kartläggs genom intervjuer med aktörer med bred erfarenhet från många olika domäner. Därtill ges en övergripande beskrivning av innehållet i ISA/IEC 62443. Standardens fördelar anses vara att den är komplett över hela livscykeln, att den är skräddarsydd för ICS samt att den definierar en uppsättning säkerhetsnivåer som kan underkastas olika krav. Andra skäl till att ISA/IEC 62443 används och uppmärksammas anses vara en förändrad kravbild från kunderna som är kopplad till industrins ökade utsatthet för cyberincidenter, samt förväntade åtgärder i och med NIS-direktivet. Bland utmaningarna nämns att standarden inte är ISO-klassad samt att många delar är under utveckling och att flera av dem riskerar att bli föråldrade. En generell utmaning är att verksamheterna inte alltid ser den ekonomiska nyttan i relation till kostnaderna och därmed är obenägna att implementera standarder inom cybersäkerhet. Slutligen uppger en majoritet av studiedeltagarna att ISA/IEC 62443 kan och bör kompletteras med andra standarder. Exempelvis kan ISA/IEC 62443 användas på den fysiska detaljnivån med fokus på ICS, och kompletteras med ISO 27000 för den övergripande projektmetodiken.