IEC 62443: Evolución de la ISA 99
La publicación de normas sobre seguridad en los sistemas de control se ha incrementado en los últimos años como se indicó en el artículo “Normativas de seguridad en sistemas de control”. En esta ocasión el análisis se centra en una sola norma para ver cómo ha tenido que cambiar para poder recoger los grandes cambios que han sufrido los sistemas de control industrial.
El conjunto de normas ISA99 comenzó a desarrollarse con la entrada del nuevo siglo, pretendiendo dar un nuevo empuje a la seguridad de los sistemas de control industrial y creando para ello un conjunto de documentos que ayudasen al incremento de la protección de estos sistemas frente a ataques informáticos. Para la generación de esta norma, la International Society of Automation (ISA) configuró diferentes grupos de trabajo, cada uno de ellos encargado de una parte diferente del conjunto de normas. Finalmente, los documentos planteados fueron:
- ANSI/ISA-99.01.01-2007 “Security for Industrial Automation and Control Systems: Concepts, Terminology and Models”. Primer documento de la serie. Se encarga de sentar las bases a usar en el resto de la serie.
- ANSI/ISA-TR99.01.02-2007 “Security Technologies for Manufacturing and Control Systems”. Informe técnico publicado después del primer documento y que nació con la intención de ser revisado periódicamente para recoger las novedades del mercado. Contiene diversas herramientas de seguridad con una descripción de su implantación y configuración en los sistemas de control industrial.
- ANSI/ISA-99.02.01-2009 “Establishing an Industrial Automation and Control Systems Security Program”. Fue el último que se publicó de la serie ISA99. Describe los elementos necesarios para implantar un sistema de gestión de la ciberseguridad y proporciona una guía para conocer los requerimientos de cada uno de los elementos que lo componen.
- ANSI/ISA-99.02.02 “Operating an industrial automation and control system security program”. Llegó a estar en fase de desarrollo pero nunca se publicó ningún borrador del mismo. Su objetivo se fijaba en la operación del programa de seguridad después de su diseño e implementación. La operación incluía aspectos como la definición de métricas para cuantificar la efectividad del programa.
- ANSI/ISA–99.03.xx “Technical security requirements for industrial automation and control systems”. No llegó nunca a comenzar su desarrollo. Los contenidos teóricos de esta parte del estándar incluían la definición de las características de los sistemas de control y automatización industrial que los diferencian de los sistemas de tecnologías de la información desde el punto de vista de la seguridad, definiendo requerimientos de seguridad únicos para estos sistemas.
Dos de los aspectos más importantes de todas las medidas presentes a lo largo de la ISA 99 son los llamados security zones y conduits (zonas de seguridad y conductos):
- Security zone: Grupo de activos físicos o lógicos que comparten requisitos de seguridad comunes. Una zona delimita claramente el conjunto definiendo un borde lógico o físico que separa los componentes internos y los externos.
- Conduit: Un conduit o conducto es un camino de comunicación entre dos zonas de seguridad. Proporciona las funciones de seguridad que permiten a dos zonas comunicarse de forma segura. Toda comunicación entre diferentes zonas ha de realizarse a través de un conducto.
Esto es importante desde la perspectiva de la seguridad porque al agrupar los activos y comunicarlos por caminos conocidos es más fácil, en la mayoría de las ocasiones, poner medidas de seguridad para asegurar los conductos que asegurar cada uno de los activos de manera independiente.
-Publicaciones ISA99 e IEC 62443-
En el año 2010, la numeración de la ISA 99 pasa a ser ANSI/ISA-62443, para alinear sus documentos con la nomenclatura de la IEC. A partir de este momento se paralizan los desarrollos de la ISA99 y se piensa en la nueva estrategia de la IEC62443, dando como resultado el paso de 4 documentos y un informe técnico a 8 documentos y cinco informes técnicos.
El fondo y la temática de la nueva IEC 62443 recoge todos los aspectos planteados por la ISA99, de hecho, los primeros documentos publicados bajo esta nueva numeración fueron los ya publicados por la ISA, eso sí, con las respectivas modificaciones y actualizaciones de acuerdo a un entorno de sistemas de control cambiante.
La norma IEC 62443 se compone de los siguientes documentos.
- IEC 62443-1-1 “Models and Concepts”: Se corresponde con el primero publicado dentro de la ISA99, aunque se ha revisado para que quede alineado con el resto de documentos que forman ahora la serie IEC 62443.
- IEC TR 62443-1-2 “Master Glossary of Terms and Abbreviations”: Recoge el glosario de términos y las abreviaturas usadas en la serie. El listado de conceptos puede verse en la wiki de la norma, e incluso proponer modificaciones a las definiciones propuestas.
- IEC 62443-1-3 “System Security Compliance Metrics”: Define las métricas de cumplimiento para la seguridad en los sistemas de control y automatización industrial. Se encuentra en fase de borrador abierto para comentarios.
- IEC TR 62443-1-4 “Security Life Cycle and Use Cases”: Se centra en el ciclo de vida y en dar ejemplos de uso para aplicaciones típicas dentro de los sistemas de control. Se ha propuesto para aprobación, pero aún no se encuentra aprobado definitivamente.
- IEC 62443-2-1 “Requirements for an IACS Security Management System”: Recoge la información ya publicada por la ISA99 en el segundo documento (ANSI/ISA 99.02.01-2009). Actualmente se está procediendo a una revisión de los contenidos de los requerimientos para alinearlos con la ISO 27000.
- IEC TR62443-2-2 “Operating a Control Systems Security Program”: Aborda la operación eficiente de un programa de ciberseguridad en sistemas de control industrial. Este documento se encuentra aún en desarrollo.
- IEC TR 62443-2-3 “Patch Management in the IACS Environment”: Guía práctica para llevar a cabo un programa de gestión de actualizaciones, desde el punto de vista tanto del propietario como del proveedor de soluciones. Aún se encuentra en fase de desarrollo.
- IEC 62443-2-4 “Certification of IACS supplier security policies and practices”: Se centra en la certificación de proveedores de productos de seguridad para los sistemas de control y automatización industrial. Ha sido adaptado de los requerimientos propuestos por el WIB en su documento “Process control domain - Security requirements for vendors”. Esta parte de la serie está en desarrollo.
- IEC TR62443-3-1 “Security Technologies for IACS”: Es una actualización del publicado dentro de la ISA 99 “ANSI/ISA-TR99.01.02-2007” y ofrece una descripción de tecnologías existentes para la protección de redes y sistemas industriales, exponiendo sus ventajas y limitaciones. Se encuentra en fase de revisión.
- IEC 62443-3-2 “Security Risk Assessment and System Design”: Describe los conceptos de security zone y conduit introducidos en la ISA99. Además, indica cómo se debe llevar a cabo la segmentación siguiendo estos principios. Únicamente plantea una segmentación teórica, la segmentación real se trata en el documento IEC 62443-4-2.
- IEC 62443-3-3 “System Security Requirements and Security Levels”: Describe los requisitos técnicos del sistema para definir el nivel de seguridad del activo analizado. Para ello, establece una relación con los siete requisitos fundamentales expuestos en IEC 62443-1-1. . Así mismo, remarca que el rendimiento y la disponibilidad no deben verse afectados en el intento de dar cabida a estos requisitos.
- IEC 62443-4-1 “Product Development Requirements”: Define el proceso de desarrollo que tienen que llevar a cabo los nuevos dispositivos que se creen para los sistemas de control, aunque también puede ser aplicado a los dispositivos ya existentes. Para ello hace referencia a procesos de desarrollo tanto para el software como para el hardware.
- IEC 62443-4-2 “Technical Security Requirements for IACS Components”: Esta parte de la serie IEC 62443 se corresponde con el documento ANSI/ISA-99.03.03 que no llegó a publicarse, agrupando los requisitos técnicos para mejorar la seguridad de los componentes, de forma individual, dentro de la red industrial. También se aborda la segmentación de la red para restringir los flujos de datos dentro de la red y entre redes.
Uno de los principales objetivos de seguridad de la IEC 62443 es la defensa en profundidad, profundizando en los conceptos planteados por ISA99 y extendiendo la seguridad a otros ámbitos desde los fabricantes hasta los operadores.
Como se ve en el resumen de las diferentes partes que componen cada norma, la mayoría aún están en fase de desarrollo y en fase borrador en revisión, por lo que cabe esperar que queden recogidos en ellos todos los cambios que han sufrido los sistemas de control. Contemplar todos estos cambios y aglutinar todas las medidas de seguridad puede hacer de IEC 62443 el más relevante estándar de seguridad para este sector.