El IEC 62443-4-2, la necesidad de securizar los componentes
Como ya se comentó en IEC 62443: Evolución de la ISA 99, la Sociedad Internacional de Automática (ISA) redactó la norma ISA-99 que evolucionó en el estándar ISA/IEC 62443. En 2018 se publicó la parte 4-2 de este estándar, con el título de “Requisitos técnicos de seguridad para componentes de control y automatización industrial”.
La sección IEC 62443-4-2 describe los requisitos, previamente establecidos, que los componentes de un sistema de control necesitan implementar para poder alcanzar un nivel de seguridad determinado. Además, los fabricantes pueden certificar sus productos en este estándar para acreditar que un componente tiene todas las medidas necesarias en cada uno de los niveles de seguridad.
Este documento está dirigido a:
- Propietarios de los activos: permitiéndoles asegurarse de que los dispositivos que instalen en sus sistemas tienen unas características mínimas de seguridad.
- Proveedores del producto: pueden acudir a la norma para consultar qué conjunto de medidas de seguridad tienen que añadir para poder adecuarse a cualquiera de los niveles de seguridad definidos.
- Integradores del sistema: pueden conocer las capacidades que tienen los activos, para configurarlos de acuerdo con el nivel de seguridad definido por el responsable de los activos.
- Autoridades de cumplimiento, como reguladores o agencias de seguridad: pueden hacer uso de esta normativa en caso de realizar auditorías de cumplimiento.
El estándar IEC 62443-4-2 diferencia entre cuatro tipos de componentes que se encuentran dentro de un sistema de control industrial:
- Aplicaciones software (AS), como por ejemplo SCADA o antivirus.
- Dispositivos embebidos (DE), como PLC, DCS e IED (Intelligent Electronic Devices).
- Dispositivos host (DH), donde destacan las estaciones de ingeniería, el historiador de datos y el ordenador de operaciones.
- Dispositivos de red (DR), como firewalls, switches y routers.
El documento IEC 62443-4-2 hereda las especificaciones de requisitos de otro documento de la serie, IEC 62443-3-3, tratado en el artículo Nivel de seguridad según el IEC 62443-3-3 en Sistemas de Control Industrial. Además de los requisitos, este documento también hereda los niveles de seguridad, aunque matizándolos y adaptándolos a cada uno de los tipos de dispositivos definidos.
Los requisitos fundamentales (RF) siguen siendo los siete definidos en la sección 3-3, pero en éste los Requisitos de Sistemas (RS) se transforman en Requisitos de Componentes (RC). De la misma manera que los RS, los RC contienen Requisitos de Mejora (RM), que, dependiendo del nivel de seguridad que se quiera conseguir, habrá que cumplir. La mayoría de los RC y RM son iguales para cada uno de los cuatro tipos de componentes y se combinan en un grupo de RC genérico. Sin embargo, existen requerimientos específicos para cada uno de los cuatro componentes: Requisitos de aplicaciones software (RAS), Requisitos de dispositivos embebidos (RDE), Requisitos de dispositivos host (RDH) y Requisitos de dispositivos de red (RDR) que, a su vez, también podrán contener RM y complementan los RF.
Dentro del propio documento, en los apartados de los requisitos solamente aparecerán los genéricos, los RC. Los requisitos específicos de cada tipo de componente se recogen en apartados individuales. Para conocer cuáles son los requisitos específicos que aplican en cada dispositivo hay que añadir a los RF los específicos del dispositivo.
Extracto de RC y RM necesarios con el nivel de seguridad para dispositivos embebidos.
En caso de que el propietario de la planta haya asignado a una zona el nivel dos de seguridad, con el ejemplo de la tabla, se deberán de cumplir los controles RC 2.12 y RDE 2.13 pero no será necesario cumplir con los dos RM mostrados.
Certificación
La parte IEC 62443-4-2 es certificable dentro de la norma IEC 62443. Esto se obtiene a través de la certificación ISASecure CSA (Component Security Assurance) por parte de los fabricantes. Para conseguirla, el fabricante debe, en primer lugar, aprobar una evaluación del proceso de desarrollo de seguridad del ciclo de vida del componente (Security Development Lifecycle Process Assessment for Component Development, SDLPA-C) basado en IEC 62443-4-1 “Requisitos de desarrollo de productos seguros”. En base a esta evaluación, se otorga una certificación de proceso ISASecure SDLA. La certificación ISASecure sobre componentes tiene tres elementos adicionales:
- Seguridad en el Desarrollo de artefactos para componentes (Security Development Artifacts for Components, SDA-C): junto con el SDLPA-C, evalúan el proceso de desarrollo del componente. El SDA-C examina los artefactos que son los resultados de los procesos del ciclo de vida de desarrollo del proveedor, según se aplican al componente que se va a certificar.
- Evaluación de seguridad funcional para componentes (Functional Security Assessment for Components, FSA-C): examina las capacidades de seguridad de cada componente a la vez que reconoce, de acuerdo con la norma IEC 62443-4-2, que los requisitos de funcionalidad de seguridad difieren según el tipo de componente.
- Pruebas de identificación de vulnerabilidades para componentes (Vulnerability Identification Testing for Components, VIT-C): se escanea el componente en búsqueda de vulnerabilidades.
La CSA define cuatro niveles de certificación para un componente, que se corresponde con los niveles de seguridad según capacidad. Un componente que alcance el nivel de seguridad SL-4 quiere decir que cumple con los niveles de seguridad anteriores (SL-1, SL-2 y SL-3) y que además incluye el cumplimiento de IEC 62443-4-1. A la hora de la certificación, se especifica el nivel de seguridad según capacidad y el tipo de componente. Por ejemplo: ISASecure CSA nivel de seguridad según capacidad 2 (Aplicación de software).
En la actualidad, solo existen en el mundo tres laboratorios (Exida, Control System Security Center Certification Laboratory y TÜV Rheinland) capacitados para certificar componentes en el estándar ISASecure CSA. Desde el 2011, que se empezó a certificar componentes, solo se han certificado dispositivos en los niveles 1 o 2, ninguno en los niveles de seguridad máximos. Todos los dispositivos certificados son públicos dentro de la web de ISASecure.
Conclusión
Con la tendencia actual hacia una mejora de la ciberseguridad en las organizaciones industriales, el cumplimiento del estándar IEC 62443 será una práctica cada vez más habitual. Por otro lado, las grandes compañías están exigiendo que sus dispositivos cuenten con certificaciones que aseguren que se cumplen con unos niveles de seguridad. El estándar IEC 62443-4-2, de ISASecure, ofrece un marco de cumplimiento en materia de seguridad para los componentes de un sistema, que proporciona un alto nivel de confianza para los propietarios de los activos.
Es importante destacar que la certificación solo puede ser llevada a cabo por los propios fabricantes, pero que la solicitud por parte de los clientes de esta certificación hará que el listado de productos certificados crezca y las opciones de dispositivos serán cada vez mayores.