Är ISA 62443 bättre än ISO 27000?

Rätt verktyg till rätt jobb!

Det är ju en ganska uppenbar sanning men det är något som vi lätt kan glömma i vardagen. Vi kanske är en mästare på de verktyg vi har i vår egen verktygslåda och vill använda dem till precis allting. Men... Vi vill ju inte bli den där personen som bara har en hammare och får för sig att allting är spikar!

Vad är skillnaden?

ISA 62443 är en standard för säkerhetsarbete och säkerhetsåtgärder precis som ISO 27000. Skillnaden mellan de två är att de har helt olika användningsområden. ISO 27000 är avsedd att användas inom informationssäkerhetsarbete där det vi främst fokuserar på är skydd av information och de system som hanterar informationen. ISA 62243 är däremot tänkt att användas inom det som vi nu för tiden kallar OT-säkerhet där skyddet av information är sekundärt jämfört med skyddet av människoliv, miljö och fysiska processer.

Du kan läsa mer i ett tidigare blogginlägg som förklarar mer kring vad OT-säkerhet är.

Historik?

Båda två har de ett långt och krokigt förflutet där ISO 27000 bygger på en gammal brittisk standard BS 7799 medan ISA 62443 uppstod ur något som hette ISA 99. Standarden kallas ofta ISA/IEC 62443 eftersom det fortfarande är organisationen ISA som bedriver utvecklingsarbetet medan standarden publiceras via IEC.

Arbetet började 2002 när en grupp kallad ISA99 inom International Society of Automation började ta fram standarden som först publicerades via ANSI och senare via IEC. Det är ett pågående arbete med flera olika delar, så det finns både hål i listan över dokument och en del motsägelser mellan dokument som är olika gamla.

Vad är så speciellt med 62443 då?

Det kanske viktigaste skälet är att den skapades uteslutande för att hantera de speciella förutsättningar som ofta gäller inom OT. Förutsättningar som gör att man inte oftast kan resonera kring risker och kring säkerhetsåtgärder på samma sätt som man gör inom informationssäkerhet. De här skillnaderna har jag skrivit om flera gånger förut.

Inom informationssäkerhet är vi vana vid att resonera utifrån CIA-triaden, "Confidentiality, Integrity, Availability", dvs hemlighet, riktighet och tillgänglighet. Dessa begrepp passar bra för information och de system som hanterar information. Inom OT-världen passar det här synsättet inte så bra eftersom verksamheterna har andra typer av risker som man vill beskriva.

I ett försök att ersätta "C-I-A" med andra begrepp som passar bättre för OT har det uppstått en del nya kombinationer. Tanken är att man ska kunna beskriva vad som är viktigt i den egna verksamheten och vilka risker man ser. En populär variant är "C-O-O" som står för Controllability (processen är under kontroll), Observability (vi kan se vad som händer i processen) och Operability (vi kan påverka processen). En annan är "S-R-P" vilket uttyds som Safety (ingen ska bli skadad), Resilience (processen tål störningar) och Performance (processen är effektiv). Det här är ingenting som standarden tar ställning i. I praktiken tycker jag att man ofta behöver använda en kombination av alla nio begrepp för att kunna bli riktigt säker på att man talar om samma sak.

Hur ser standarden ut?

Standarden har fyra delar, även om de flesta bara kommer i kontakt med del 1, 2 och 3.

1. Del 1 beskriver definitioner och en del allmänna koncept på dryga 90 sidor.
2. Den viktigaste biten i del 2 är 170 sidor som handlar om hur man sätter upp ett säkerhetsprogram i en OT-verksamhet för att säkerställa att man har koll på sina säkerhetsåtgärder. Del 2 lånar CMMIs mognadsmodell för att ge lite mätbarhet på säkerhetsarbetet. I del 2 finns också två tekniska rapporter, en om patchningsrutiner och en som beskriver krav på tjänsteleverantörer inom OT.
3. Del 3 är förmodligen den mest välkända. Där spenderas drygt 120 sidor för att definieras konceptet "SL" - "Security Level" där säkerhetsåtgärder graderas från 0 till 4 baserat på ett 50-tal åtgärder med undervarianter. På sätt och vis kan man jämföra det med ISO 27002 inom 27000-serien. Utöver åtgärderna beskrivs också en metod för att bedöma risker och i vilken säkerhetsåtgärder behövs för att uppnå önskad säkerhet.
4. Del 4 riktar sig till dem som tillverkar OT-utrustning. Den beskriver hur en säker utvecklingsprocess ska se ut och vilka krav som ställs på produkterna.

Hur kan jag lära mig mer?

Som så ofta är inte standard-texterna gratis men genom att bli medlem i ISA för en överkomlig penning får man tillgång till alla deras standarder. De ger också ut intressanta böcker och har också en mängd utbildningar, bland annat de fyra utbildningar med tillhörande certifieringar som jag själv tagit för att stolt få kalla mig "ISA/IEC 62443 Cybersecurity Expert". Den inledande Fundamentals-kursen är ett perfekt sätt att komma underfund med standarden. En stark sida med både böcker och kurser från ISA är att de anstränger sig för att de ska fungera oavsett om din bakgrund är från automationsvärlden eller från IT-världen. En klurig balans att hantera... Som medlem i ISA blir man också insläppt i deras diskussionsforum där det emellanåt går hett till... Vill man, som jag, engagera sig i arbetet med att utveckla standarden eller ta del av nya texter innan de publiceras kan man gå med i arbetsgrupperna utan extra kostnad.

Vad är svaret på frågan?

Svaret på frågan i den lite provocerande rubriken är: "Nej, de är båda bäst på det som de är avsedda att användas till!" Personligen tycker jag verkligen att ISA 62443 är värd att ta till sig för alla organisationer som på något vis lutar sig mot OT-system. Det är en standard som kräver lite arbete innan man blir kompisar men grundtänket i texterna är ett perfekt stöd för allt OT-säkerhetsarbete. Den går utmärkt att kombinera med ISO 27001 och 27002 om man har information som behöver skyddas i OT-systemen. Jag kan personligen tycka att standardens tänk kring riskbedömningar kan behöva utvecklas och då kan ju exempelvis SPR-metoden vara en alldeles utmärkt metod.

För den som har OT-verksamhet som omfattas av det uppdaterade NIS-direktivet kan ISA 62443 vara ett sätt att uppfylla kraven på strukturerat risk- och säkerhetsarbete. Det är en rad nya branscher som omfattas, inte minst tillverkande industri.