IEC 62443 & RTLS — OT cybersecurity.
RTLS is operationele technologie. Het werkt naast je PLC's, SCADA, MES en historian, en het compromis ervan kan zich uitbreiden tot productie.
IEC 62443 is het raamwerk dat de meeste enterprise OT-teams gebruiken om het te scopen en te beveiligen. Dit is de samenvatting op operatorniveau.
Het Purdue-model en waar RTLS woont
IEC 62443 erft de Purdue Enterprise Reference Architecture: een gelaagd model waarbij niveau 0 sensoren / actuatoren is, niveau 1 basisbesturing, niveau 2 toezicht (HMI), niveau 3 productieactiviteiten (MES) en niveau 4–5 enterprise IT.
RTLS-componenten bestaan over meerdere lagen: ankers en gateways op L1-L2, locatie-intelligentieplatform op L3, analytics en rapportage op L4. De architectuur moet de leidingen tussen deze zones respecteren.
Beveiligingsniveaus — SL 1 tot en met SL 4
IEC 62443 definieert vier beveiligingsniveaus per aanvallercapaciteit: SL 1 tegen toevallig misbruik, SL 2 tegen opzettelijke ongeavanceerde aanvallen, SL 3 tegen geavanceerde specifiek gerichte aanvallen, SL 4 tegen geavanceerde aanvallen met uitgebreide hulpbronnen.
De meeste industriële RTLS-implementaties richten zich op SL 2 over het hele platform, met SL 3 voor de management- en integratielagen. Om dit te bereiken zijn zowel leverancierscapaciteit als implementatie-ontwerpkeuzes nodig.
Zones, leidingen en wat ze overstekt
Elke IEC 62443-architectuur definieert zones (logische groeperingen van apparatuur met gemeenschappelijke beveiligingseisen) en leidingen (de gecontroleerde communicatieroutes tussen hen).
Voor RTLS betekent dit doorgaans: een speciale RTLS-ankerzone op L1-L2, een analytics-zone op L3, en expliciete, gemonitorde kanalen naar de MES, WMS en historian.
Cross-zone verkeer gebruikt geauthenticeerde, versleutelde protocollen met strikte toestemmingslijst — geen vlakke netwerken.
Patchbeheer, veilige implementatie en de levenscyclus
IEC 62443 vereist voortdurende beveiliging gedurende de hele implementatielevenscyclus, niet alleen bij overdracht.
Dit betekent gedocumenteerde patchbeheerprocessen, standaard veilige leveranciersinstellingen, periodieke kwetsbaarheidsbeoordeling en incidentrespons-playbooks specifiek voor OT (waarbij 'de stekker eruit trekken' zelden een acceptabele reactie is).
Deze zijn ontworpen als onderdeel van fase 1 en 3 van de TRACIO Programmamethode.
Veelgestelde vragen
Hebben we IEC 62443-certificering nodig, of alleen uitlijning?
De meeste ondernemingen streven naar IEC 62443-afstemming met gedocumenteerde ontwerp- en operationele praktijken — niet formele certificering.
Formele certificering (meestal 62443-4-1 voor producten of 62443-2-1 voor processen) is alleen vereist in specifieke gereguleerde contexten (sommige kritieke infrastructuur, sommige verdediging).
Uitlijning is voldoende voor de overgrote meerderheid van industriële implementaties.
Op welk beveiligingsniveau moeten we ons richten?
SL 2 voor de meeste industriële RTLS, SL 3 voor de beheer- en integratielagen en voor implementaties in kritieke infrastructuur of met verhoogde dreigingsprofielen. We helpen u samen met uw CISO het juiste niveau per zone bij gate 1 te bepalen.
Hoe beïnvloedt dit de keuze van leveranciers?
Belangrijk. Leveranciers die hun Security Development Lifecycle niet kunnen verwoorden (meestal 62443-4-1-capabel) vallen uit de shortlist. De meeste enterprise RTLS-leveranciers zijn er nu wel, maar verificatie is niet triviaal — we voeren het uit tijdens leveranciersevaluatie.
Kunnen we IEC 62443-uitlijning aanpassen aan een bestaande implementatie?
Ja, maar duurder dan het ontwerpen erin. Retrofit betekent meestal het hersegmenteren van het netwerk, het opnieuw sleutelen van apparaatcertificaten, het versterken van platformconfiguraties en het herbouwen van incidentresponsprocedures.
We doen dit werk als onderdeel van Programma Redding verlovingen.
Laatst bijgewerkt: