Программное обеспечение и кибербезопасность машин и механизмов, Регламент 2023/1230.

Регламент по машинам и механизмам определяет, что производители должны обеспечить машины и системы управления от киберугроз. Кибербезопасность не была прямо затронута в директиве, поскольку в 2006 году она еще не являлась приоритетной проблемой.

Регламент 2023/1230 определяет обязанности производителей в отношении прослеживаемости и контроля безопасности машин на протяжении всего их жизненного цикла, более строгие требования к маркировке машин и предоставлению информации по безопасности (например, инструкций), в том числе в цифровых форматах.

Интеллектуальные машины и системы тесно взаимосвязаны с информационными технологиями. Злоумышленникам стало проще проникать в системы автоматизации и управления, манипулировать ими и нарушать безопасность оборудования. Если злоумышленникам удастся воспользоваться уязвимостью, это может иметь разрушительные последствия для компании - от простоя производства до угрозы для людей в случае преднамеренного манипулирования мерами безопасности. Положения о кибербезопасности изложены в Приложении III к Регламенту.

Машина должна быть спроектирована таким образом, чтобы исключить возможность её последующего несанкционированного доступа. В связи с этим регламент обязывает производителя документировать, какое программное обеспечение и данные важны для безопасной эксплуатации, а также какие меры были приняты для их защиты. Машина также должна регистрировать изменения программного обеспечения и данных. Это правило действует независимо от того, были ли эти изменения внесены авторизованно или неавторизованно.

Производитель также обязан обеспечить отказоустойчивость программного обеспечения и его системы управления, гарантируя, что функции безопасности машины всегда будут работать в пределах заданных параметров. Это относится не только к атакам, но и к преднамеренным или непреднамеренным изменениям, внесённым пользователями или администраторами, а также к самообучающимся системам на основе искусственного интеллекта. Журнал отслеживания должен храниться и быть доступным в течение пяти лет.

Машины обучаются и становятся всё более автономными. Обработка информации в реальном времени, решение проблем, гибкость, сенсорные системы, обучение, адаптивность и способность работать в неструктурированных средах (например, на строительных площадках) — новые цифровые функции, которые также несут с собой новые риски безопасности. И эти риски возрастают по мере распространения этих технологий. Растёт вероятность злоупотреблений и появляются новые поверхности для атак.

Риски, возникающие в связи с новыми цифровыми технологиями, находятся в центре внимания Регламента о машиностроении. Он вводит новые обязательства в области кибербезопасности, которые касаются производителей машин и других субъектов экономической деятельности . Новый регламент в большей степени учитывает цифровые и сетевые аспекты современного машиностроения.

Производители должны обеспечить проведение тщательного анализа рисков, включая потенциальные риски кибербезопасности. Этот анализ должен выявлять потенциальные угрозы, связанные с несанкционированным доступом, взломом или другими кибератаками.

На основе анализа рисков необходимо реализовать соответствующие технические и организационные меры для минимизации этих рисков. К ним относятся, например, безопасные протоколы связи, шифрование данных и контроль доступа.

Производители обязаны обеспечивать безопасность оборудования на протяжении всего срока службы. Это включает в себя выпуск обновлений программного обеспечения для устранения уязвимостей безопасности и устранения новых угроз.

Необходимо гарантировать, что обновления являются подлинными и не были подделаны третьими лицами.

Машины должны быть оснащены средствами предотвращения несанкционированного доступа, особенно к функциям и данным, связанным с безопасностью. Это включает, например, защиту паролем, аутентификацию пользователей и управление доступом на основе ролей.

Конфиденциальные данные, собираемые или обрабатываемые во время работы оборудования, должны быть защищены от несанкционированного доступа. Это касается и персональных данных.

Производители должны предоставить подробную информацию о мерах кибербезопасности, реализованных в технической документации машины.

Операторы оборудования должны быть проинформированы о потенциальных рисках кибербезопасности и необходимых мерах защиты. Это включает в себя предоставление инструкций по безопасному использованию и управлению обновлениями.

Меры кибербезопасности должны учитывать весь срок службы устройства. Производители также должны разрабатывать планы на случай прекращения поддержки устройства (выпускать обновления безопасности на определенный период после окончания продаж).

В рамках оценки соответствия производители должны продемонстрировать соответствие требованиям регламента к кибербезопасности. Это может быть сделано посредством оценки третьей стороной (например, уполномоченными органами) или посредством внутренней оценки соответствия, в зависимости от категории оборудования.

Эти требования направлены на повышение устойчивости оборудования к кибератакам и обеспечение безопасности операторов и других лиц, пострадавших от кибератак. Производителям следует начать интеграцию этих требований в процессы разработки и производства как можно раньше, чтобы быть готовыми к вступлению регламента в силу.