Ataki cybernetyczne są poważnym zagrożeniem w produkcji, ponieważ mogą zakłócać procesy, powodować uszkodzenia maszyn, a nawet zagrażać prowadzonej działalności.
Nowe rozporządzenie Unii Europejskiej w sprawie maszyn (2023/1230/UE), które zastąpi dyrektywę maszynową 2006/42/WE w styczniu 2027 r. i będzie obowiązywać we wszystkich krajach unijnych, ma na celu m.in. ochronę maszyn przed tymi zagrożeniami.
Konstruktorzy będą musieli integrować zabezpieczenia w projektowanych maszynach, a użytkownicy końcowi – obsługiwać i konserwować maszyny z zachowaniem najwyższej czujności.
Poniżej przedstawiamy pięć najważniejszych wskazówek, które pomogą konstruktorom i użytkownikom spełnić przyszłe wymagania i chronić się przed zagrożeniami.
1. Zapoznanie się z przepisami
Konstruktorzy maszyn i użytkownicy końcowi muszą przede wszystkim zapoznać się z nowymi wymaganiami.
Nadrzędny cel nowego rozporządzenia pozostaje taki sam jak obowiązującej obecnie dyrektywy maszynowej: zapewnienie bezpieczeństwa na etapie projektowania, budowy i użytkowania maszyn. Jednak w rozporządzeniu znajdują się również nowe wymogi, uwzględniające postęp w rozwoju technologii cyfrowych i wysoki poziom skomplikowania współczesnej produkcji.
Zmiany obejmują także bardziej uporządkowane podejście do oceny zgodności i jasno sprecyzowane wymagania dotyczące technologii cyfrowych i cyberbezpieczeństwa, dlatego ich znajomość jest konieczna.
2. Jak najszybsze wdrożenie nowych standardów
Nie przewidziano okresu przejściowego między tymi dwoma aktami prawnymi. Oznacza to, że przedsiębiorstwa muszą osiągnąć pełną zgodność z nowym rozporządzeniem do 20 stycznia 2027 r.
Od tego dnia wszystkie maszyny na rynku Unii Europejskiej trzeba będzie projektować tak, aby były odporne na ingerencję nieuprawnionych osób w funkcje o kluczowym znaczeniu dla bezpieczeństwa. Obejmuje to ochronę przed dostępem i atakami z użyciem połączenia fizycznego, np. portu USB, lub kanałów cyfrowych, takich jak systemy sieciowe.
Rozporządzenie zawiera również wymóg poddawania systemów sztucznej inteligencji (AI) o krytycznym znaczeniu dla bezpieczeństwa rygorystycznej ocenie ryzyka, a w wielu przypadkach także weryfikowania zgodności przez strony trzecie.
Przygotowanie i przetestowanie procedur zapewniania zgodności z nowym rozporządzeniem może trochę potrwać. Dlatego im wcześniej firmy zaczną wprowadzać zmiany, tym łatwiejsze będzie przejście na nowe standardy.
3. Sprawdzenie istniejących maszyn i systemów
Kolejnym krokiem jest sprawdzenie wszystkich istniejących maszyn i systemów pod kątem nowych standardów. Celem jest ustalenie, które maszyny przesyłają dane lub zawierają systemy sztucznej inteligencji albo systemy adaptacyjne oraz które elementy o znaczeniu krytycznym dla bezpieczeństwa mogą być podatne na ataki cybernetyczne.
Od konstruktorów maszyn może to wymagać przeanalizowania planów projektowych, architektury oprogramowania i punktów integracji sieci, a od użytkowników końcowych – sprawdzenia, w jaki sposób faktycznie używa się maszyn, co obejmuje także ujawnienie wszelkich modyfikacji ad hoc i starszych połączeń. Pozwoli to zidentyfikować luki i systemy wysokiego ryzyka oraz zaplanować prace modernizacyjne lub wprowadzenie dodatkowych zabezpieczeń na długo przed styczniem 2027 r.
4. Opracowanie i wdrożenie szkoleń
Nawet najlepsze zabezpieczenia maszyn nie pomogą, jeśli zawiedzie człowiek. Dlatego konstruktorzy maszyn powinni przygotować jasne wytyczne i dokumentację na temat cyberbezpieczeństwa, natomiast na użytkownikach końcowych spoczywa odpowiedzialność za pełne przeszkolenie operatorów, techników utrzymania ruchu i przełożonych w zakresie bezpiecznego użytkowania i obsługiwania maszyn, jak również reagowania na incydenty.
Warto zauważyć, że nowe rozporządzenie pozwala producentom na dostarczanie instrukcji obsługi online, co może zmniejszyć negatywny wpływ na środowisko i obniżyć koszty operacyjne. Konieczne jest jednak zapewnienie dostępności materiałów cyfrowych przez co najmniej dziesięć lat od daty wprowadzenia produktu na rynek.
5. Współpraca z zaufanymi partnerami
Zrozumienie wymagań w zakresie cyberbezpieczeństwa określonych w nowym rozporządzeniu w sprawie maszyn może nastręczać trudności. Przejście na nowe rozwiązania może ułatwić współpraca z doświadczonymi dostawcami i integratorami.
Organizacje z udokumentowanym doświadczeniem w zakresie bezpieczeństwa projektów i systemów automatyki, jak również zgodności z przepisami, oferują kompletne rozwiązania automatyki przemysłowej opracowywane z użyciem najlepszych praktyk w dziedzinie cyberbezpieczeństwa.
Współpraca z zaufanymi partnerami, takimi jak firma OMRON, pomaga zapewnić bezpieczeństwo maszyn, ich zgodność z przepisami i odporność na zmieniające się zagrożenia cybernetyczne.
