UL Solutions certificeert cyberveiligheid van EtherCAT

Onafhankelijke tests bevestigen dat EtherCAT zonder aanpassingen voldoet aan de IEC 62443-vereisten voor Security Level 2 — en daarmee ook aan de Europese Cyber Resilience Act.

Het rapport en de certificaten van UL Solutions, opgesteld na uitgebreide tests conform IEC 62443, bevestigen wat de EtherCAT Technology Group (ETG) al langer stelde: EtherCAT-technologie voldoet vandaag de dag reeds aan de eisen voor systemen die blootgesteld worden aan cyberaanvallen op Security Level 2 — zonder dat daarvoor enige aanpassing nodig is.

IEC 62443 is de internationale norm voor cybersecurity van industriële besturingssystemen. In de Europese uitwerking van deze norm vormt zij tevens de basis voor de Europese Cyber Resilience Act (CRA) — de nieuwe EU-wetgeving die fabrikanten verplicht om producten met digitale elementen te voorzien van aantoonbare cyberbeveiliging gedurende hun volledige levenscyclus.

Drie representatieve EtherCAT-systemen

UL Solutions heeft alle 100-plus systeemvereisten (SR) uit IEC 62443-3-3 in kaart gebracht aan de hand van drie representatieve EtherCAT-systemen met uiteenlopende dreigingsprofielen. Uit de beoordeling blijkt dat EtherCAT in hoge mate voldoet aan deze vereisten. Bovendien toont het onderzoek aan dat voor hogere beveiligingsniveaus geen hardwarewijzigingen nodig zijn: met gerichte softwareverbeteringen zijn ook hogere beveiligingsniveaus bereikbaar op basis van het bestaande EtherCAT-platform.

Security by design

“Wij waren verheugd te kunnen werken met een industrieel protocol dat beveiligingsmogelijkheden heeft die by design zijn ingebouwd, aangevuld met in hardware geïmplementeerde beveiliging — ongekend in de categorie van industriële protocollen. EtherCAT is hier een positieve uitzondering”, zegt Alexander W. Koehler, Principal Security Advisor Cybersecurity, UL Solutions.

Koehler wijst daarbij op een hardnekkig knelpunt in de industrie: IT- en OT-beveiliging hebben historisch gezien weinig gemeen gehad. Terwijl IT-beveiliging is geëvolueerd rondom producten met korte levenscycli, kenmerkt industriële apparatuur zich juist door lange operationele periodes. Dat heeft geleid tot een groot aantal verouderde industriële producten met weinig of geen ingebouwde beveiliging — zogenoemde legacy-producten.

Bevestiging

De certificering is mede tot stand gekomen in samenwerking met Beckhoff Automation, een van de leidende leveranciers van EtherCAT-technologie. “De resultaten van het uitgebreide onderzoek bevestigen de eigen beoordeling van de ETG: EtherCAT biedt vandaag al een hoog niveau van cyberbescherming voor industriële toepassingen. De geteste en gedocumenteerde eigenschappen en maatregelen vormen de basis voor de aanbevelingen en specificaties die wij ontwikkelen voor fabrikanten en gebruikers van EtherCAT-apparaten”, aldus Dr. Guido Beckmann, voorzitter Technische Commissie, EtherCAT Technology Group.