חשוב לדרוש מספקים תאימות לתקן 62443 ISA-IEC

משתמשים וספקים של מוצרים למערכות תפעוליות (Industrial Control systems – ICS/Operational Technology-OT) נדרשים לעמוד בתקינה להבטחת הרציפות התפעולית.

בארץ משתמשים למטרה זו במסמך של המשרד להגנת הסביבה, במסמכים שהוכנו על ידי מערך הסייבר הלאומי (מס"ל), במגוון מסמכים מארצות הברית שהוכנו על ידי NIST (ר"ת National Institute of Standards and Technology), במסמכים שהוכנו על ידי NERC (ר"ת North American Electric Reliability Corporation) עבור חברות חשמל, ועוד.

המסמכים של תקן 62443 IEC-ISA לא ניתנים להורדה חינמית, וניתן לרכוש אותם מאתרי אינטרנט שונים, או באמצעות מכון התקנים הישראלי

חשוב לציין כאן כי מרבית המסמכים הללו אינם באמת "תקן בינלאומי", ומשמשים בעיקר להנחיה של ארגונים לגבי תכנון ותפעול של מערכות המחשוב לשליטה ובקרה (שו"ב) שלהם.

סדרת מסמכים היחידה שנחשבת כתקן בינלאומי הוכנה לאורך שני העשורים תוך שיתוף פעולה בין ISA (ר"ת International Electrotechnical Commission ו-IEC (ר"ת ,International Society of Automation) ושמו של התקן הוא 62443 IEC-ISA.

מה מסמן תקן הוא 62443 IEC-ISA?

תקן זה נותן מענה הולם עבור שלוש ישויות הפעילות בבניה, תחזוקה ותפעול של מערכות שו"ב.

• הבעלים והמפעילים של מערכות הייצור (System Owners and Operators).
• ספקים של שירותי אינטגרציה ותחזוקה (Integrators and maintenance Providers).
• ספקים של רכיבים מהם בונים את המערכות (Vendors of components and computers).

במסמכים של התקן 62443 IEC-ISA ישנם 14 פרקים (בקרוב יהיו 16 ויותר), אבל בשלב זה רק חמישה פרקים משמשים כתקן בינלאומי, והפרקים האחרים נועדו לצור למידה של המעורבים. פרקים אלה נכתבו על ידי מומחים ממדינות רבות והפרקים עוברים רענון מיידי כמה שנים. המסמכים של תקן 62443 IEC-ISA לא ניתנים להורדה חינמית, וניתן לרכוש אותם מאתרי אינטרנט שונים, או באמצעות מכון התקנים הישראלי (מת"י).

חשוב לציין כי התקן זה כבר מקובל במדינות רבות בחו"ל וניתן לרכוש רכיבים שעומדים בתקן באמצעות הנציגים שלהם בישראל.

מה ההליך שיש לעבור לאימוץ התקן?

מספר ספקים בישראל כבר החלו בתהליך של הבחינה עבור מוצרים שלהם. תהליך אימוץ התקן וקבלת הסמכה כולל את השלבים הבאים:

שלב א' – למידה יסודית של התקן והיכרות עם הפרקים הרלוונטיים שישימים עבור ספק או משתמש.

שלב ב' – ביצוע בחינה עצמית באמצעות ליווי של מומחה במטרה לבחון את התאימות וטיפול בפערים.

שלב ג' – ביצוע סקר על ידי גורם מוסמך מחו"ל, במטרה לקבל אישור רשמי על פי הפרקים שנבחנו.

הערה: במידה שארגונים מבצעים לאחר כמה שנים שינויים משמעותיים במוצר שלהם, הם נדרשים לדווח על כך ולבצע בחינה חוזרת בתהליך מקוצר.

התקנים הרלוונטיים עבור ישויות שונות הם:

ד' – הבעלים והמפעילים של מערכות: פרק 3-3 לגבי תכנון של המערכות ופרק 3-2 לגבי סקר חולשות.

ה' – ספקים של שירותי אינטגרציה ותחזוקה: פרק 3-2 לגבי סקר חולשות ופרק 2-4 לגבי תהליכי תחזוקה.

ו' – ספקים של רכיבים: פרק 4-1 לגבי תהליכי אבטחת סייבר בפיתוח וייצור, ופרק 4-2 לכל סוג מוצר.

לסיכום, חשוב להדגיש כי עמידה בתקן 62443 IEC-ISA אומנם איננה חובה בשלב זה, אבל ארגונים שהמוצרים או תהליכי תחזוקה שלהם נבחנו על פי תקן זה (Compliance Certificate) יוכלו לספק אותם ללקוחות שמקפידים על רכישה של מוצרים ומערכות שו"ב שקיבלו הסמכה מתאימה.

הכותב הוא הוא מומחה בתחום אבטחת סייבר למערכות תפעוליות ICS-OT-IIOT, חבר בוועדות תקינה בינלאומית 62443 ISA-IEC, מרצה בתחום ומשמש כיו"ר הכנס השנתי ICSCYBERSEC, שמתקיים מדי שנה החל מ-2016 על ידי אנשים ומחשבים. הכנס הקרוב יתקיים ב-7 בינואר 2026 באולמי לאגו בראשון לציון