*του Γιάννη Βασιάδη,
Λειτουργού Τυποποίησης
Στο σημερινό «υπέρ-συνδεδεμένο» σύγχρονο κόσμο μας, η ασφάλεια της Τεχνολογίας των Πληροφοριών δεν αφορά μόνο τα δεδομένα μας, αλλά στην ουσία οτιδήποτε «κινείται» - συμπεριλαμβανομένων των μηχανημάτων. Στον τομέα της μεταποίησης, ενδεχόμενες κακόβουλες επιθέσεις στον κυβερνοχώρο ή δυσλειτουργίες της Τεχνολογίας των Πληροφοριών, ενδέχεται να ενέχουν κινδύνους για τα μέτρα ασφάλειας που εφαρμόζονται, με αποτέλεσμα να έχουν αντίκτυπο τόσο στην παραγωγή και όσο και στους ανθρώπους.
Οι διαδικασίες παραγωγής στην έξυπνη μεταποίηση (smart manufacturing), βασίζονται στη χρήση δικτυωμένων μηχανών οι οποίες αξιοποιούν το διαδίκτυο και τη ψηφιακή τεχνολογία, επιτρέποντας έτσι την αδιάλειπτη ολοκλήρωση της παραγωγής. Αυτό διευκολύνει επίσης τον εξ αποστάσεως έλεγχο παραμέτρων, όπως η ταχύτητα, η ισχύς και η θερμοκρασία. Τα επακόλουθα οφέλη είναι πολλά, συμπεριλαμβανομένης της δυνατότητας παρακολούθησης της χρήσης, των επιδόσεων και της βελτίωσης της απόδοσης. Από την άλλη όμως επαυξάνεται ο κίνδυνος απειλών για την ασφάλεια της Τεχνολογίας των Πληροφοριών.
Η αύξηση της ταχύτητας ή της ισχύος μιας μηχανής σε επικίνδυνα επίπεδα, ή η μείωση των θερμοκρασιών μαγειρέματος για την αποφυγή της μόλυνσης των τροφίμων, είναι μερικά μόνο παραδείγματα όπου οι επιθέσεις στον κυβερνοχώρο όχι μόνο είναι ικανές να διαταράξουν ή ακόμα και να διακόψουν τη διαδικασία παραγωγής, αλλά ενέχουν σοβαρούς κινδύνους για τον άνθρωπο.
Προκειμένου να αποσαφηνιστεί αυτό το πολυσύνθετο ζήτημα για στους κατασκευαστές μηχανημάτων και να τους βοηθήσει να προετοιμαστούν και να μετριάσουν τους κινδύνους αυτούς, η Διεθνής Τεχνική Επιτροπή Τυποποίησης ISO/TC 199 «Safety of Machinery» σε πλήρη συνεργασία με την αντίστοιχη Ευρωπαϊκή Τεχνική Επιτροπή Τυποποίησης CEN/TC 114 , έχουν εκπονήσει τη νέα Τεχνική Έκθεση (Technical Report) CEN ISO/TR 22100-4 «Safety of machinery – Relationship with ISO 12100 – Part 4: Guidance to machinery manufacturers for consideration of related IT-security (cyber security) aspects». Αποτελεί συμπληρωματικό έγγραφο του θεμελιώδους προτύπου για την ασφάλεια των μηχανών, ΕΝ ISO 12100:2010 «Safety of machinery – General principles for design – Risk assessment and risk reduction» το οποίο καθορίζει τα θεμελιώδη στοιχεία για την εκτίμηση επικινδυνότητας, την ανάλυση των κινδύνων και τις απαιτήσεις τεκμηρίωσης.
Με επίκεντρο την πρώτη στιγμή που ένα μηχάνημα διατίθεται στην αγορά – όπως ακριβώς απαιτεί και η Ευρωπαϊκή Οδηγία 2006/42/ΕΚ για τα Μηχανήματα – η Τεχνική Έκθεση παρέχει ουσιαστική και πρακτική βοήθεια στους κατασκευαστές για τον εντοπισμό και την αντιμετώπιση των κινδύνων από πιθανές κυβερνο-επιθέσεις.
Η ασφάλεια των μηχανών και η ασφάλεια στον κυβερνοχώρο παρ’ όλον ότι διαφέρουν σε μεγάλο βαθμό όσον αφορά τους στόχους, τις μεθόδους και τα μέτρα που πρέπει να λαμβάνονται, εν τούτοις κατά τις διαδικασίες μεταποίησης είναι άρρηκτα συνδεδεμένες. Έτσι όπως υποδεικνύει και η Τεχνική Έκθεση, οι επιθέσεις στον κυβερνοχώρο δεν αντιπροσωπεύουν πρόσθετο κίνδυνο σε σχέση με την ασφάλεια των μηχανημάτων και, ως εκ τούτου, ούτε και για την Ευρωπαϊκή Οδηγία για τα Μηχανήματα. Αυτές οι επιθέσεις μπορούν είτε απλώς να αλλοιώσουν τα μέτρα ασφαλείας που λαμβάνονται είτε να τα απενεργοποιήσουν εντελώς. Για το λόγο αυτό, πριν από την εξέταση της ασφάλειας στον κυβερνοχώρο, συνιστάται στους κατασκευαστές μηχανημάτων να διενεργούν εκτίμηση κινδύνου για την ασφάλεια των μηχανημάτων σύμφωνα με το πρότυπο EN ISO 12100.
Ως δεύτερο βήμα, οι κατασκευαστές θα πρέπει να ελέγχουν και, εάν είναι αναγκαίο, να προσαρμόζουν τις εγγενείς λύσεις ασφάλειας και τα συμπληρωματικά τεχνικά μέτρα προστασίας (όπως εφαρμόζονται σύμφωνα με τις πρόνοιες του προτύπου EN ISO 12100), λαμβάνοντας υπόψη τις πιθανές επιθέσεις στον κυβερνοχώρο προκειμένου να μειωθεί ο κίνδυνος πρόκλησης οποιασδήποτε βλάβης που σχετίζεται με την ασφάλεια.
Οι επιθέσεις στον κυβερνοχώρο αποτελούν μια μεταβαλλόμενη δυναμική απειλή καθ’ όλη τη διάρκεια του κύκλου ζωής μιας μηχανής ή ενός συστήματος. Ως εκ τούτου, τα κατάλληλα ή απαιτούμενα μέτρα πρέπει επίσης να προσαρμόζονται συνεχώς. Ωστόσο, η επιρροή των κατασκευαστών μηχανημάτων περιορίζεται στη φάση της ανάπτυξης και του σχεδιασμού, έως τη στιγμή κατά την οποία το μηχάνημα διατίθεται για πρώτη φορά στην αγορά. Γι’ αυτό, η Τεχνική Έκθεση περιέχει πρακτικές συστάσεις προς τους κατασκευαστές για τα ακόλουθα επίπεδα δράσης:
- Επιλογή κατάλληλων κατασκευαστικών στοιχείων (υλισμικό, λογισμικό): Τα μέρη της μηχανής που σχετίζονται με την ασφάλεια, τα οποία θα μπορούσαν να είναι πιθανοί στόχοι για επιθέσεις στον κυβερνοχώρο, θα πρέπει να διαθέτουν ένα σύγχρονο επίπεδο ασφάλειας στην Τεχνολογία των Πληροφοριών, έτσι ώστε να ελαχιστοποιείται η ευπάθεια τους σε κυβερνο-επιθέσεις.
- Ανάπτυξη και σχεδιασμός του συνόλου της μηχανής: Ο κατασκευαστής θα πρέπει να τηρεί τις θεμελιώδεις αρχές που μειώνουν τα τρωτά σημεία έναντι των επιθέσεων στον κυβερνοχώρο. Θα πρέπει επίσης να υπάρχει κατάσταση έκτακτης ανάγκης που θα θέτει τη μηχανή σε ασφαλή κατάσταση λειτουργίας μόλις οι κρίσιμες λειτουργίες ασφάλειας επηρεαστούν ή κινδυνεύουν να καταστούν αναποτελεσματικές λόγω της επίθεσης.
- Σχετικές πληροφορίες στις οδηγίες λειτουργίας: Ο κατασκευαστής θα πρέπει να παρέχει στους χρήστες των μηχανών πληροφορίες σχετικά με τους δυνητικούς κινδύνους για την ασφάλεια των μηχανημάτων σε περίπτωση επίθεσης στον κυβερνοχώρο.
Η Τεχνική Έκθεση CEN ISO/TR 22100-4 διατίθεται από το Κέντρο Εξυπηρέτησης και Πληροφόρησης του Κυπριακού Οργανισμού Τυποποίησης (CYS).
* Ο Γιάννης Βασιάδης είναι Μηχανολόγος Μηχανικός και εργάζεται ως Λειτουργός Τυποποίησης στον Κυπριακό Οργανισμό Τυποποίησης (CYS)
