KANBrief 2/17

Przemysł 4.0: aspekty bezpieczeństwa i zabezpieczeń

Koncepcja Przemysł 4.0 to połączenie w sieci ludzi, maszyn oraz instalacji. Ze względu na interakcje między tymi partnerami komunikacyjnymi nie tylko bezpieczeństwo funkcjonalne (np. zatrzymanie maszyny, gdy strumień światła w fotokomórce zostanie przerwany) powinno być uwzględnianie w ochronie człowieka. Bezpieczeństwo informacyjne (np. zabezpieczenie oprogramowania robota przed wprowadzeniem nieautoryzowanych zmian w sieci) jest równie ważne.

Związek między bezpieczeństwem funkcjonalnym a bezpieczeństwem informacyjnym przedstawiono w zasadach stosowania VDE-AR-E 2802-10-1:2017-041. Ważne jest rozróżnienie tych dwóch rodzajów bezpieczeństwa, aby podczas oceny ryzyka można było zidentyfikować rozbieżne cele.

Eksperci biorący udział w seminarium CEN pn. „Bezpieczeństwo funkcjonalne i informacyjne”2 uznali, że wystąpienie szkody dla ludzi i środowiska z powodu ingerencji osób trzecich, na przykład w formie cyberataku, są nieprawdopodobne. Ostatnie wydarzenia pokazały, że hakerzy atakują głównie cele, dzięki którym mogą odnieść korzyść finansową. Nie wyklucza to jednak faktu, że człowiek lub środowisko mogą odnieść szkodę niezamierzoną. Nie można również wykluczyć, biorąc pod uwagę zagrożenia terrorystyczne, ze to właśnie ludzie i środowisko są głównym celem.

Kwestie prawne
Wdrożenie koncepcji Przemysł 4.0 zależy przede wszystkim od jej akceptacji przez użytkowników. A użytkownicy oczekują, że wyroby, które wykorzystują i połączone siecią procesy realizowane z udziałem tych wyrobów będą bezpieczne. W przypadku ingerencji osób trzecich użytkownik powinien wiedzieć, kto ponosi odpowiedzialność. Nieautoryzowane działania rodzą kwestie odpowiedzialności karnej i cywilnej3,4. Normy techniczne, które pozwalają na domniemanie zgodności i mają opisywać aktualne dobre praktyki technologiczne, mogą być więc szczególnie ważne w tym kontekście. Dlatego też Komisja Ochrony Pracy i Normalizacji uważa za istotne następujące kwestie dotyczące prawa administracyjnego:

  • Jak daleko sięga odpowiedzialność dystrybutora, zgodnie z przepisami niemieckiej ustawy o bezpieczeństwie wyrobów (ProdSG) oraz przepisami o jednolitym rynku europejskim? Przepisy te uwzględniają tylko zamierzone używanie i możliwe do przewidzenia w uzasadniony sposób niewłaściwe użycie, a nie nadużycie w formie czynu zabronionego.
  • Czy w związku z tym potrzebne są dodatkowe rozwiązania regulacyjne? Czy potencjalne indywidualne ataki przestępcze z zewnątrz można połączyć z innymi formami „zanieczyszczenia sieci” i traktować je jako nieprzewidywalne warunki, podobnie jak wpływy klimatyczne czy awarie sieci energetycznej? Jeśli tak, to podlegałyby one przepisom o jednolitym rynku europejskim.
  • Kiedy te kwestie zostaną już rozwiązane, można znaleźć odpowiedzi na następujące pytania: czy norma zharmonizowana, na przykład objęta dyrektywą maszynową, nadal będą uznawane za kompletne, jeśli nie uwzględnią (odpowiednio) możliwych ataków ze strony osób trzecich na wyrób znajdujący się w sieci? Czy instytucje nadzoru rynku mogą podjąć działania przeciwko wyrobom, które nie zostały właściwie zabezpieczone przeciwko atakom z zewnątrz?

Przewodnik CENELEC nr 325, opublikowany w lipcu 2014 roku, jest obecnie aktualizowany. Celem aktualizacji jest uwzględnienie zagadnień bezpieczeństwa informacyjnego w normach podlegających dyrektywie dotyczącej urządzeń niskiego napięcia. W lutym 2017 komitet techniczny ISO/TC 199 “Bezpieczeństwo maszyn” przyjął wstępnie nowy temat prac – “Wytyczne i uwzględnianie aspektów droczących bezpieczeństwa informacyjnego”. Zostanie opracowany przewodnik w formie raportu technicznego ISO/TR 22100-4, w którym opisany będzie związek między normą ISO 12100 „Bezpieczeństwo maszyn” a elementami bezpieczeństwa informacyjnego i zabezpieczeń związanych z maszynami.

Bliższa współpraca między inżynierami a informatykami
Szereg działań normalizacyjnych w obszarze bezpieczeństwa funkcjonalnego oraz informacyjnego prowadzonych jest w CEN/CENELEC oraz ISO/ IEC – dotychczas jednak działania te były prowadzone osobno. Nie tylko specjaliści zajmujący się bezpieczeństwem wyrobów muszą uwzględniać bezpieczeństwo informacyjne – informatycy również powinni być świadomi aspektów bezpieczeństwa funkcjonalnego. Organizacje normalizacyjne powinny współpracować, aby połączyć zagadnienia bezpieczeństwa i zabezpieczeń, które dotychczas postrzegane były jako osobne kwestie. Jest to kluczowe, aby na jak najwcześniejszym etapie i skutecznie uwzględniać wszystkie kwestie związane z bezpieczeństwem i higieną pracy. Należy również niezwłocznie i w przejrzysty sposób uregulować kwestie prawne, aby koncepcja Przemysł 4.0 mogła odnieść sukces. 

Sebastian Korfmacher korfmacher@kan.de     Corrado Mattiuzzo mattiuzzo@kan.de

1 Związek między bezpieczeństwem funkcjonalnym a bezpieczeństwem informacji na przykładzie automatyki przemysłowej – Część 1: Podstawowe zasady
2 www.kan.de/service/wir-berichten-fuer-sie/detailansicht/workshop-functional-safety-cybersecurity-bei-cen-am-1632017 (w języku niemieckim)
3 Rockstroh/Kunkel, IT-Sicherheit in Produktionsumgebungen, MMR 2/2017
4 Bräutigam/Klindt: Industrie 4.0, das Internet der Dinge und das Recht, NJW 2015, 1137
5 Przewodnik CENELEC nr 32:2014-07: Wytyczne dotyczące oceny ryzyka i redukcji zagrożeń dla urządzeń niskonapięciowych