IT-säkerhet är mer än kryptering och lösenordshantering. Hur långt en angripare kan komma beror också på hur systemet är uppbyggt. I datanät i industrin är riskerna – och kraven på skydd – lite andra än i rent administrativa system. I industrisystem kan det vara viktigare att skydda produktionen och miljön, än att omedelbart hindra personuppgifter och andra data från att komma i orätta händer.

För att ge riktlinjer för hur man bygger upp och hanterar IT-säkerheten i ett system för industriell processtyrning eller teknisk infrastruktur – eller, om man så vill, ett SCADA-system – har den internationella standardiseringsorganisationen IEC gett ut en serie standarder och rapporter i serien IEC 62443. Den bygger vidare på ett amerikanskt arbete, kallat ISA 99. Detta berättar SEK, Svensk Elstandard, om i ett pressmeddelande.

Standarden bygger på en uppdelning av systemet i avgränsade zoner och kanaler med olika säkerhetsnivåer och därmed med olika strikta krav. Riskbedömningen är central i sammanhanget.

IEC 62443-serien fokuserar på industriella automationssystem, alltså det som ibland kallas OT – operational techology – till skillnad från IT (information technology). För andra sektorer kan det finnas särskilda IT-säkerhetsstandarder, som till exempel serien IEC 62351 för elkraftsystem.

Det hela förklaras och beskrivs i den första grundläggande delen, som finns tillgänglig som SEK TS 62443-1-1, se preview på de inledande avsnitten.

Klart för certifiering

IEC är sedan 1906 den internationella organisationen för standardisering inom el och elektronik. IEC driver också i IECEE en omfattande internationell verksamhet, som gör det möjligt att få produkter certifierade mot internationella standarder från IEC.

SEK Svensk Elstandard hjälper svenska företag, myndigheter, högskolor och andra att bidra i arbetet med de här standarderna. De färdiga resultaten fastställs sedan som svensk standard, också av SEK Svensk Elstandard, som är utsett som svensk standardiseringsorganisation av regeringen.