Iš pirmo žvilgsnio gali pasirodyti, kad tai tėra dar vienas Mašinų direktyvos (2006/42/EB) tęsinys. Tačiau skirtingai nei ankstesnis teisės aktas, šis reglamentas bus taikomas jau nuo pirmos dienos visose ES valstybėse narėse ir sukurs vieningą bei aiškų teisinį pagrindą mašinų gamintojams.
Vis dėlto, už techninių šio reglamento nuostatų slypi kur kas svarbesnė žinutė ir rimtas perspėjimas dėl kibernetinio saugumo. Reglamentas primena, kad pramoninių elektros mašinų sauga ateityje priklausys ne tik nuo patikimos konstrukcijos, bet ir nuo atsparumo skaitmeninėms grėsmėms.
Sąmoningumo spragos mažinimas
Kai kalbama apie pramonės reguliavimą, dažnai atrodo, jog būsimi pokyčiai visiems suprantami ir aiškūs. Visgi realybėje Mašinų reglamento detalės ir jo poveikis tik dabar pradeda ryškėti. Net ir didelės, rinkoje įsitvirtinusios įmonės gali klaidingai manyti, kad atitikties užtikrinimas bus tik smulkus administracinis formalumas. Mažesnės įmonės neretai būna dar prasčiau pasirengusios. Joms gali trūkti tiek vidinių kompetencijų, tiek resursų, reikalingų naujiems reikalavimams įgyvendinti.
Būsimojo Mašinų reglamento bus privaloma laikytis visiems gamintojams be išimčių. Norėdami gauti CE ženklinimą, mašinų gamintojai privalės atitikti nustatytus reikalavimus, o neatitinkančios pramoninės elektros mašinos tiesiog negalės būti pateikiamos rinkai.
Norint sėkmingai prisitaikyti prie naujojo Mašinų reglamento, būtina pradėti ruoštis kuo anksčiau. Gamintojai, kurie kibernetinį saugumą integruos į projektavimą ir eksploatavimą iš anksto, pereinamąjį laikotarpį įveiks palyginti lengvai. Kitiems dabar pats metas pradėti formuoti aiškią strategiją. Nors nebus reikalaujama visos mašinų bazės kurti iš naujo, tačiau visi gamintojai turės pagrįsti, kad atsparumas kibernetinėms atakoms buvo įvertintas ir tinkamai dokumentuotas.
Kas iš tikrųjų keičiasi
Vienas reikšmingiausių Mašinų reglamento pokyčių yra kibernetinio saugumo traktavimas kaip esminės bendros saugos dalies. Pramoninių elektros mašinų gamintojai turės atlikti kibernetinio saugumo rizikos vertinimus ir identifikuoti galimus kibernetinių atakų scenarijus.
Tam numatytas naujas darnusis standartas EN 50742 „Protection Against Corruption“, kuris apibrėš, kaip tokie vertinimai turi būti atliekami ir kokios kibernetinio saugumo funkcijos turi būti integruotos į mašinas. Šio standarto laikymasis bus paprasčiausias būdas užtikrinti atitiktį Mašinų reglamento reikalavimams.
Šių vertinimų rezultatai gali parodyti, kad esamų procesų visiškai pakanka, tačiau taip pat gali atskleisti papildomų priemonių poreikį. Pavyzdžiui, autonomiškai veikianti ir prie tinklo neprijungta pramoninė elektros mašina gali apsiriboti izoliaciją patvirtinančiu įrodymu. Tačiau bet kuri mašina, turinti nuotolinę prieigą ar funkcionalumą prisijungti prie duomenų ar „Cloud“, privalės turėti pagrindimą, kad jos skaitmeninė apsauga yra patikima ir tinkama.
Nors reglamentas tiesiogiai nereikalauja pasitelkti trečiosios šalies vertinimui atlikti, įmonėms, neturinčioms vidinės kibernetinio saugumo kompetencijos, tai gali būti saugiausias pasirinkimas. Bet kokiu atveju, galutinė atsakomybė už saugumo įrodymus ir priemones tenka gamintojui.
Subtilus, bet itin svarbus pokytis
Atitiktis reikalavimams yra svarbi, tačiau Mašinų reglamento kontekste ne mažiau reikšminga ir išsami dokumentacija. Gamintojai turės pateikti aiškius, atsekamus įrašus, įrodančius, kad kibernetinės rizikos buvo įvertintos, o sprendimai – pagrįsti ir argumentuoti.
Reikalavimų nesilaikymas turės ne tik techninių, bet ir teisinių pasekmių. Vis dėlto reglamentas pripažįsta, kad kai kuriais atvejais tinkamiausias sprendimas gali būti ir papildomų veiksmų nesiėmimas, jei tik toks sprendimas yra aiškiai pagrįstas ir tinkamai dokumentuotas. Tikslas – skatinti apgalvotus sprendimus, o ne apsiriboti vien formaliu reikalavimų vykdymu.
Ne mažiau svarbu ir tai, kad šis reglamentas modernizuoja pačią dokumentavimo praktiką. Leidžiama naudoti visiškai skaitmeninę dokumentaciją, todėl nebereikės spausdintų instrukcijų ir popierinių sertifikatų.
Priemonės, padedančios mašinų gamintojams
Naujieji reikalavimai įsigalios greičiau, nei gali atrodyti, todėl ABB siekia padėti gamintojams šiuos pokyčius įveikti sklandžiai. Stengiamės užtikrinti, kad visi ABB komponentai – nuo programuojamų loginių valdiklių (PLC) iki pavarų, variklių ir kitos įrangos – atitiktų naujuosius reglamentus ir būtų pagrįsti skaidria, saugumo lygį patvirtinančia dokumentacija.
Naudodami komponentus, kurie jau atitinka kibernetinio saugumo reikalavimus, gamintojai gali gerokai supaprastinti savo atitikties užtikrinimo procesus. Kur kas lengviau nuo pradžių projektuoti saugią elektros mašiną iš saugių komponentų, nei bandyti padaryti ją saugią vėliau. Vienas iš pavyzdžių - ABB ACS380‑E pavaros mašinoms, sukurtos vadovaujantis „secure‑by‑design“ principu, kai kibernetinis saugumas integruojamas nuo pat pradžių. Tokia praktika leidžia lengviau pagrįsti atitiktį pagal Mašinų reglamentą. Ateityje planuojama, kad ABB pavaros bus sertifikuojamos nepriklausomų trečiųjų šalių pagal Mašinų reglamento kibernetinio saugumo reikalavimus.
Šiame kontekste PLC atlieka taip pat svarbų vaidmenį – jie yra automatikos sistemų „smegenys“, todėl jiems būtinas toks pats integruotos apsaugos lygis. Pavyzdžiui, ABB AC500 PLC platformoje įdiegtos kibernetinio saugumo funkcijos, tokios kaip atsparumo ir pažeidžiamumo testavimas, kurios užtikrina visos sistemos patikimumą.
Mes ne tik rūpinamės, kad mūsų sprendimai atitiktų naujus reikalavimus, bet ir dirbame su klientais, kad padėtume jiems praktiškai suprasti, ką šis reglamentas reiškia: kaip teisingai atlikti kibernetinio saugumo vertinimą ir kaip tinkamai dokumentuoti jo rezultatus. Mūsų tikslas padėti pasirengti naujiems reglamento reikalavimams palaipsniui, o ne palikti tai pabaigai, dėl ko galėtų kilti reglamento neatitikimų.
Kibernetinis saugumas – pažangos variklis
Gali kilti klausimų, ar naujieji kibernetinio saugumo reikalavimai netaps kliūtimi inovacijoms ar skaitmeninei transformacijai. Realybė kiek kitokia. Be saugumo neįmanomas pasitikėjimas susietosiomis technologijomis (angl. connected technologies), tokiomis kaip pramoninis daiktų internetas (angl. Industrial Internet of Things). Skaitmeninė transformacija prasideda tuomet, kai organizacijos jaučiasi gebančios kontroliuoti riziką. Prieiga prie duomenų gali turėti savo kainą, tačiau ši kaina iš tiesų yra investicija į ilgalaikį atsparumą ir augimą.
Pasirengimas ateičiai
Pirmas ir pats svarbiausias žingsnis gamintojams ruošiantis Mašinų reglamentui yra kibernetinio saugumo rizikos vertinimas. Net jei vertinimo metu nustatoma, jog skubūs pokyčiai nėra būtini, pats procesas parodo atsakomybę ir tampa atspirties tašku ilgalaikei strategijai bei atitikties užtikrinimui.
Gairės, kaip atlikti šį vertinimą, bus pateiktos būsimame EN 50742 „Protection Against Corruption“ standarte, kuriame bus apibrėžtas procesas, techniniai reikalavimai kibernetinio saugumo integravimui į mašinų projektavimą.
Pasitelkdama reikalavimus atitinkančius komponentus ir ekspertines žinias, ABB padeda klientams sklandžiai pereiti į naują reguliacinį etapą. Mūsų tikslas – ne tik atitikti šiandienos reikalavimus, bet ir užtikrinti, kad pramoninės elektros mašinos būtų pasirengusios iššūkiams ateityje.
