Програмне забезпечення та кібербезпека машин і механізмів, Регламент 2023/1230.

Регламент щодо машин і механізмів визначає, що виробники повинні забезпечити захист машин і систем управління від кіберзагроз. Кібербезпека не була прямо згадана в директиві, оскільки в 2006 році вона ще не була пріоритетною проблемою.

Регламент 2023/1230 визначає обов'язки виробників щодо простежуваності та контролю безпеки машин протягом усього їх життєвого циклу, більш суворі вимоги до маркування машин та надання інформації з безпеки (наприклад, інструкцій), у тому числі в цифрових форматах.

Інтелектуальні машини та системи тісно пов'язані з інформаційними технологіями. Зловмисникам стало простіше проникати в системи автоматизації та управління, маніпулювати ними та порушувати безпеку обладнання. Якщо зловмисникам вдасться скористатися вразливістю, це може мати руйнівні наслідки для компанії - від простою виробництва до загрози для людей у разі навмисного маніпулювання заходами безпеки. Положення про кібербезпеку викладені в Додатку III до Регламенту.

Машина повинна бути спроектована таким чином, щоб виключити можливість її подальшого несанкціонованого доступу. У зв'язку з цим регламент зобов'язує виробника документувати, яке програмне забезпечення і дані важливі для безпечної експлуатації, а також які заходи були вжиті для їх захисту. Машина також повинна реєструвати зміни програмного забезпечення та даних. Це правило діє незалежно від того, чи були ці зміни внесені авторизовано чи неавторизовано.

Виробник також зобов'язаний забезпечити відмовостійкість програмного забезпечення та його системи управління, гарантуючи, що функції безпеки машини завжди будуть працювати в межах заданих параметрів. Це стосується не тільки атак, але й навмисних або ненавмисних змін, внесених користувачами або адміністраторами, а також самонавчальних систем на основі штучного інтелекту. Журнал відстеження повинен зберігатися і бути доступним протягом п'яти років.

Машини навчаються і стають все більш автономними. Обробка інформації в реальному часі, вирішення проблем, гнучкість, сенсорні системи, навчання, адаптивність і здатність працювати в неструктурованих середовищах (наприклад, на будівельних майданчиках) — нові цифрові функції, які також несуть з собою нові ризики безпеки. І ці ризики зростають у міру поширення цих технологій. Зростає ймовірність зловживань і з'являються нові поверхні для атак.

Ризики, що виникають у зв'язку з новими цифровими технологіями, знаходяться в центрі уваги Регламенту про машинобудування. Він вводить нові зобов'язання в області кібербезпеки, які стосуються виробників машин та інших суб'єктів економічної діяльності . Новий регламент більшою мірою враховує цифрові та мережеві аспекти сучасного машинобудування.

Виробники повинні забезпечити проведення ретельного аналізу ризиків, включаючи потенційні ризики кібербезпеки. Цей аналіз повинен виявляти потенційні загрози, пов'язані з несанкціонованим доступом, зломом або іншими кібератаками.

На основі аналізу ризиків необхідно реалізувати відповідні технічні та організаційні заходи для мінімізації цих ризиків. До них відносяться, наприклад, безпечні протоколи зв'язку, шифрування даних і контроль доступу.

Виробники зобов'язані забезпечувати безпеку обладнання протягом усього терміну служби. Це включає в себе випуск оновлень програмного забезпечення для усунення вразливостей безпеки та усунення нових загроз.

Необхідно гарантувати, що оновлення є справжніми і не були підроблені третіми особами.

Машини повинні бути оснащені засобами запобігання несанкціонованого доступу, особливо до функцій і даних, пов'язаних з безпекою. Це включає, наприклад, захист паролем, аутентифікацію користувачів і управління доступом на основі ролей.

Конфіденційні дані, що збираються або обробляються під час роботи обладнання, повинні бути захищені від несанкціонованого доступу. Це стосується і персональних даних.

Виробники повинні надати детальну інформацію про заходи кібербезпеки, реалізовані в технічній документації машини.

Оператори обладнання повинні бути поінформовані про потенційні ризики кібербезпеки та необхідні заходи захисту. Це включає в себе надання інструкцій з безпечного використання та управління оновленнями.

Заходи кібербезпеки повинні враховувати весь термін служби пристрою. Виробники також повинні розробляти плани на випадок припинення підтримки пристрою (випускати оновлення безпеки на певний період після закінчення продажів).

В рамках оцінки відповідності виробники повинні продемонструвати відповідність вимогам регламенту щодо кібербезпеки. Це може бути зроблено за допомогою оцінки третьої сторони (наприклад, уповноваженими органами) або за допомогою внутрішньої оцінки відповідності, залежно від категорії обладнання.

Ці вимоги спрямовані на підвищення стійкості обладнання до кібератак та забезпечення безпеки операторів та інших осіб, які постраждали від кібератак. Виробникам слід розпочати інтеграцію цих вимог у процеси розробки та виробництва якомога раніше, щоб бути готовими до набрання чинності регламентом.