Moje konto Zaloguj się
Moje konto Zaloguj się
Nowy użytkownik
Nie masz konta w Elmarku? Stwórz nowe konto i czerp korzyści:
    Załóż konto
  • Kupuj z rabatem
  • Sprawdzaj stany magazynowe
  • Zamawiaj szybciej
  • Śledź status zamówień
  • Przeglądaj historię zakupów
  • Jedno konto do innych systemów Elmark
22 773 79 37 elmark@elmark.com.pl
Przełącznik Nav
Szukaj
Wszystko Advantech Anybus Digilent Durabook Elmatic Getac MEAN WELL MOXA Milestone Systems Neousys Technology RTA RealWear UNITRONICS Universal Robots Lenze
Koszyk

Koszyk

Panel konta Dane konta Książka adresowa Moje zamówienia Nierozliczone faktury VAT Oferty Zgody formalne Reklamacje Cennik
Wyloguj się
 
Niższe ceny
 
Informacje o stanach magazynowych
 
Historia zakupów
Załóż konto

Rozporządzenie maszynowe - bezpieczeństwo maszyn

15.04.2025 How to Informacje produktowe
Rozporządzenie maszynowe - bezpieczeństwo maszyn
Wizerunek autora
Arkadiusz Sulenta

Spis treści

Rozporządzenie 2023/1230 skupia się na bezpieczeństwie przemysłowym w odświeżony sposób w stosunku do dyrektywy. Przede wszystkim bezpieczeństwo fizyczne użytkowników jest na równi z bezpieczeństwem elementów cyfrowych. Jest to skutkiem coraz większej ilości ataków na obiekty przemysłowe. Według IBM X-Force Thread Intelligence Index 2024:

  • 25,7% incydentów dotyczyło przemyślu produkcyjnego;
  • o 31% wzrosła ilość cyberataków w Europie w stosunku do poprzedniego roku.

Przemysł produkcyjny jest łakomym kąskiem ze względu na łatwość w wyrządzeniu dużych szkód. Sam przestój w produkcji nierzadko przynosi ogromne straty przedsiębiorstwu. Stąd duże naciski w rozporządzeniu, aby zapewnić minimalny poziom cyberbezpieczeństwa maszyn, które obecnie w coraz większym stopniu są widziane w sieci.

Rozporządzenie 2023/1230

Załącznik III opisuje wymagania w zakresie ochrony zdrowia i bezpieczeństwa. Szczególnie warto zainteresować się punktami 1.1.9 i 1.2.1, które odnoszą się do bezpieczeństwa oprogramowania i uwzględniają cyberbezpieczeństwo w podstawowym zakresie ochrony maszyn.

Pkt 1.1.9 – Zabezpieczenie przed uszkodzeniem nakłada na producentów obowiązek projektowania maszyn w taki sposób, aby zminimalizować ryzyko wypadków oraz zagrożeń związanych z użytkowaniem maszyn już na etapie projektowania. Chodzi o to, aby ryzyko było minimalizowane poprzez odpowiednią konstrukcję i dobór materiałów oraz aby maszyny były projektowane w sposób, który uniemożliwia wystąpienie sytuacji niebezpiecznych.

  • „Część składową sprzętu komputerowego, która nadaje sygnał lub przekazuje dane istotne dla połączenia lub uzyskania dostępu do oprogramowania mającego zasadnicze znaczenie dla zgodności maszyny lub produktu powiązanego z odpowiednimi zasadniczymi wymaganiami w zakresie ochrony zdrowia i bezpieczeństwa, należy zaprojektować tak, aby była odpowiednio zabezpieczona przed przypadkowym lub zamierzonym uszkodzeniem.”

W ramach zasady eliminowania zagrożeń na etapie projektowania producenci powinni również uwzględniać zabezpieczenia przed cyberatakami i zagrożeniami cyfrowymi.

  • „Maszyna lub produkt powiązany rejestrują dowody uprawnionej lub nieuprawnionej interwencji w odniesieniu do tej części składowej sprzętu komputerowego, gdy dotyczy ona połączenia lub uzyskania dostępu do oprogramowania mającego zasadnicze znaczenie dla zgodności maszyny lub produktu powiązanego z wymaganiami.”

Oznacza to, że oprogramowanie kontrolujące maszynę powinno być projektowane z uwzględnieniem zasad bezpieczeństwa, tj. ochrona przed włamaniami, złośliwym oprogramowaniem, czy dostępem nieautoryzowanym. Bezpieczne projektowanie maszyn powinno uwzględniać zabezpieczenia przed manipulacją oprogramowania czy ingerencją w cyfrowe komponenty maszyny, co mogłoby prowadzić do niepożądanych zmian w funkcjonowaniu maszyny lub jej uruchomieniu.

Pkt 1.2.1 – Bezpieczeństwo i niezawodność układów sterowania opisuje projektowanie i wytwarzanie układów sterowania w taki sposób, aby zapobiec powstawaniu sytuacji zagrożenia. Rozporządzenie w jasny sposób podkreśla, że układy sterowania muszą być w taki sposób projektowane i wytwarzane, aby: 

  • „mogły wytrzymać, stosownie do okoliczności i ryzyka, przewidywane obciążenia podczas pracy oraz zamierzone i niezamierzone oddziaływanie czynników zewnętrznych, w tym racjonalnie przewidywalne próby doprowadzenia do sytuacji zagrożenia podejmowane w złym zamiarze przez strony trzecie;”

Widać tutaj, że mówiąc o maszynie nie możemy myśleć tylko o bezpieczeństwie użytkownika w kontakcie z fizycznymi elementami, ale musimy też dbać o bezpieczeństwo danych w elementach cyfrowych, aby nie było sytuacji że stracimy kontrolę nad maszyną w efekcie cyberataków.

Akt dotyczący cyberodporności (Cyber Resilence Act)

Uzupełnieniem kwestii cyberbezpieczeństwa, które w rozporządzeniu są przedstawione dosyć ogólnie będzie Akt dotyczący cyberodporności. Ustawę zapowiedziano w strategii UE w zakresie cyberbezpieczeństwa w 2020 r. przy czym głównym impulsem były straty generowane przez udane cyberataki – do 2021 r. możemy mówić o rocznym kosztach rzędu 5.5 bln EUR.

Akt dotyczący cyberodporności ma wejść w życie w drugiej połowie 2024 r., a producenci będą musieli wprowadzić do obrotu w Unii produkty zgodne z wymogami do 2027 r. Komisja będzie następnie okresowo dokonywać przeglądu ustawy i składać sprawozdania z jej funkcjonowania.

Główne założenia ustawy to:

  • stworzenie warunków dla rozwoju bezpiecznych produktów z elementami cyfrowymi poprzez zapewnienie, aby sprzęt komputerowy i oprogramowanie były wprowadzane do obrotu przy mniejszej podatności, oraz zapewnienie, aby producenci poważnie traktowali bezpieczeństwo w całym cyklu życia produktu;
  • stworzenie warunków umożliwiających użytkownikom uwzględnianie cyberbezpieczeństwa przy wyborze i wykorzystywaniu produktów z elementami cyfrowymi.

Dokument wprowadza podział na 2 klasy urządzeń krytycznych, które różnią się stopniem ryzyka.

  • Klasa I - element cyfrowy realizujący kluczowe funkcje z zakresu cyberbezpieczeństwa dla innych produktów, sieci i usług lub może bezpośrednio wpływać na zdrowie i bezpieczeństwo wielu innych produktów lub użytkowników oraz stwarzać dla nich poważne ryzyko.
  • Klasa II - stwarzają większe ryzyko, a ich naruszenie ma poważniejsze konsekwencje ze względu na ich funkcje w porównaniu z produktami klasy I.

W artykule 6 pkt 5 pojawia się też dodatkowy podział na kategorię produktów wysoce krytycznych z elementami cyfrowymi. W przypadku przemysłu maszynowego głównie mówimy tu o produktach, które są wykorzystywane w sektorach krytycznych określonych zgodnie z załącznikiem I w NIS 2. W takim przypadku producent ma obowiązek uzyskać europejski certyfikat cyberbezpieczeństwa w ramach europejskiego programu certyfikacji cyberbezpieczeństwa zgodnie z rozporządzeniem (UE) 2019/881. Produkty nieklasyfikowane (ok. 90% produktów), są to urządzenia w których luki bezpieczeństwa nie stwarzają krytycznych zagrożeń i podlegają samoocenie.

Dla producentów maszyn warto zaznaczyć że zarówno w klasie I i II mamy wymienione systemy sterowania i automatyki przemysłowej – PLC, DCS, SCADA (w klasie II kiedy pracują w sektorach wymienionych w NIS 2).

Jakie wymagania są stawiane wobec producentów maszyn?

  • uwzględnienie cyberbezpieczeństwa na każdym etapie życia produktu – planowanie, projektowanie, rozwijanie, produkcja, dostawa, serwisowanie
  • dokumentowanie wszystkich zagrożeń cyberbezpieczeństwa
  • natychmiastowe zgłaszanie wszystkich luk i incydentów bezpieczeństwa
  • odpowiednie zarządzanie lukami bezpieczeństwa przez cały okres życia produktu lub przez okres 5 lat
  • zapewnienie jasnych i zrozumiałych instrukcji korzystania z produktu z elementami cyfrowymi
  • udostępnienie aktualizacji bezpieczeństwa przez okres minimum 5 lat.

Wymagania rozwiązują problemy, które były motywacją UE do stworzenia regulacji, m.in. nie każdy użytkownik czy przedsiębiorstwo posiadało wystarczające informację czy wiedzę do prawidłowej implementacji bezpieczeństwa w produktach z elementami cyfrowymi, chociaż równie dobrze zdarzały się przypadki że to producent nie zapewnił odpowiednich aktualizacji czy nie monitorował sytuacji z naruszeniem bezpieczeństwa. W momencie rozpoczęcia działania aktu, większa część odpowiedzialności za cyberbezpieczeństwo produktu spadnie na producenta.

Podobnie jak w przypadku rozporządzenia maszynowego, tak i w przypadku aktu o cyberodporności możemy napotkać kary związane z naruszeniami:

  • do 15 mln EUR lub do 2,5 % całkowitego rocznego światowego obrotu za niezgodność z zasadniczymi wymogami cyberbezpieczeństwa określonymi w załączniku I oraz z obowiązkami określonymi w art. 10 i 11.
  • do 10 mln EUR lub do 2 % całkowitego rocznego światowego obrotu za niezgodność z wszelkimi innymi obowiązkami wynikającymi z niniejszego rozporządzenia.
  • do 5 mln EUR lub do 1 % całkowitego rocznego światowego obrotu za przekazywanie informacji nieprawidłowych, niekompletnych lub wprowadzających w błąd jednostkom notyfikowanym i organom nadzoru rynku.

Wymogi bezpieczeństwa

W załączniku I aktu znajdziemy wymagania bezpieczeństwa wobec produktów z elementami cyfrowymi. Jako przykład takiego produktu użyjemy sterowników PLC UniStream żeby wskazać bezpośrednie powiązanie wymagań do funkcjonalności urządzenia.

Dostęp do sterownika

  • „należy dostarczać wraz z bezpieczną konfiguracją domyślną, w tym z możliwością zresetowania produktu, tak aby przywrócić go do stanu pierwotnego;” (Załącznik I, a).
  • „należy projektować, opracowywać i produkować w taki sposób, aby ograniczyć powierzchnię ataku, w tym interfejsów zewnętrznych;” (Załącznik I, h).

Mnogość obsługiwanych protokołów przemysłowych i rodzajów dostępu to bardzo cenna funkcjonalność, szczególnie gdy musimy integrować PLC z innymi rozwiązaniami. Jednak nie można zapominać, że każdy punkt dostępu to bramka dla osób trzecich. Dlatego ważne jest, aby odpowiednio zabezpieczyć dostęp.

UniStream w domyślnej konfiguracji ma jedynie odblokowany dostęp do połączenia PC – PLC (przez port Ethernet lub USB). Co ważne zaraz po połączeniu będzie wymagane ustawienie nowego i bezpiecznego hasła dostępowego do sterownika. W ten sposób blokujemy możliwość podłączenia i odczytu jakichkolwiek danych osobom trzecim, zarówno w przypadku fizycznego jak i zdalnego podłączenia do PLC.

Dodatkowo każdy inny punkt dostępowy również wymaga hasła do rozpoczęcia pracy narzucając dodatkowe warstwy bezpieczeństwa, są to m.in.:

  • Serwer VNC,
  • Dostęp do konfiguracji sterownika przez UniApps,
  • WebServer,
  • Serwer FTP.

Oczywiście w przypadku braku hasła jest możliwość powrotu do konfiguracji domyślnej jednak jest to związane z usunięciem wszelkich danych które były przechowywane na sterowniku.

Uwierzytelnianie użytkowników

  • „muszą zapewniać ochronę przed nieuprawnionym dostępem za pomocą odpowiednich mechanizmów kontroli, w tym między innymi systemów uwierzytelniania, identyfikacji lub zarządzania dostępem;” (Załącznik I, pkt 1.3, b).
  • „muszą zapewniać ochronę integralności przechowywanych, przekazywanych lub w inny sposób przetwarzanych danych, w tym danych osobowych lub innych, komend, programów i konfiguracji przed wszelką manipulacją lub modyfikacją nieautoryzowaną przez użytkownika, a także powiadamiać o uszkodzeniach;”, (Załącznik I, pkt 1.3, d).

Podstawową funkcją uwierzytelniania użytkowników jest UAC (User Access Control). Pozwala nadawać poziomy uprawnień czy też poziomy dostępu dla użytkowników, przykładowo administrator ma pełen dostęp do urządzenia, operator jedynie może obsługiwać panel HMI. Możemy również wymusić automatyczne wylogowanie po okresie bezczynności, dodawanie/usuwanie kont tymczasowych np. dla serwisu.

W przypadku integralności danych sterownik obsługuje tworzenie sygnatur dla plików generowanych przez sterownik. Mechanizm ten pozwala upewnić się że plik, który odczytujemy na pewno został wygenerowany przez sterownik jak również czy nie uległ jakiejkolwiek modyfikacji.

Tak samo jest w przypadku wgrywanego oprogramowania. Oprócz podstawowych mechanizmów jak blokada pobrania programu możemy ograniczyć wgrywanie poprzez zabezpieczenie hasłem a nawet wymagać podania numeru seryjnego urządzenia do którego będzie wgrany program.

Bezpieczne połączenie

  • „muszą zapewniać ochronę poufności przechowywanych, przekazywanych lub w inny sposób przetwarzanych danych, w tym danych osobowych lub innych, np. przez szyfrowanie odpowiednich danych odłożonych lub danych przesyłanych z wykorzystaniem najnowocześniejszych mechanizmów;”, (Załącznik I, pkt 1.3, c).
  • „muszą zapewniać ochronę dostępności podstawowych funkcji, w tym odporność na ataki typu „odmowa usługi” i łagodzenie ich skutków;”, (Załącznik I, pkt 1.3, f).

Szczególnie mówiąc o dostępie zdalnym warto odpowiednio zabezpieczyć połączenie. W przypadku gdy nasz sterownik jest wystawiony na świat najlepiej dodatkowo rozszerzyć nasz PLC w router UCR, który posiada wbudowany Firewall i zapewnia bezpieczne połączenie VPN.

Jeśli potrzebujemy udostępniać dane z sterownika warto zastanowić się nad rozwiązaniem chmurowym UniCloud. Również zapewnia dostęp zdalny do sterownika, a dodatkowo w serii UniStream nie wymaga routera. Rozwiązanie spełnia najwyższe normy cyberbezpieczeństwa określone przez ISO/IEC 27001:2005 i ISO/IEC 27017:2005.

Sam sterownik wyposażony jest w funkcje monitorowania sieci, dzięki czemu za pomocą opcji Storm Detect jesteśmy odporni na ataki DDoS.

Logi systemowe

  • „muszą dostarczać informacji związanych z bezpieczeństwem przez rejestrowanie lub monitorowanie odpowiedniej aktywności wewnętrznej, w tym dostępu do danych, usług lub funkcji lub ich modyfikacji;”, (Załącznik I, pkt 1.3, j).

UniStream posiada wbudowany system rejestrowania zdarzeń na sterowniku (aktywność wewnętrzna) dzięki czemu w przypadku problemów mamy możliwość monitorowania działań PLC. Oczywiście poziom dostępowy do informacji jest ograniczony, w przypadku użytkownika możemy podejrzeć podstawową pracę sterownika (bez danych poufnych), tylko producent poprzez pobranie zaszyfrowanych danych z PLC ma pełny przegląd informacji, dzięki czemu łatwo znajdzie przyczynę problemu zachowując przy tym pełną poufność i bezpieczeństwo danych gromadzonych na sterowniku.

Aktualizacje

  • „muszą zapewniać możliwość eliminowania podatności przez aktualizacje zabezpieczeń, w tym, w stosownych przypadkach, dzięki aktualizacjom automatycznym i powiadamianiu użytkowników o dostępnych aktualizacjach.”, (Załącznik I, pkt 1.3, k).

Oprogramowanie do PLC – UniLogic jest w pełni darmowe i ciągle rozwijane. Dlatego każdy użytkownik, który zarejestrował oprogramowanie ma dostęp do najnowszych aktualizacji otrzymując nową funkcjonalność i ulepszone bezpieczeństwo.

Wymagania przy wykryciu podatności

Hakerzy stale wymyślają nowe metody na obejście zabezpieczeń i podatności w sprzęcie będą dalej występować. Na obecnym etapie szybka reakcja na wystąpienie podatności staje się równie istotna co pierwotne zabezpieczenie przed wystąpieniem.

Dokumentowanie podatności

  • „identyfikowania i dokumentowania podatności i komponentów zawartych w produkcie, w tym przez sporządzenie zestawienia podstawowych materiałów do produkcji oprogramowania w powszechnie używanym formacie nadającym się do odczytu maszynowego, obejmującego co najmniej zależności najwyższego poziomu produktu;”, (Załącznik I, pkt 2.1).
  • „wprowadzania i egzekwowania polityki skoordynowanego ujawniania podatności;”, (Załącznik I, pkt 2.5).

Unitronics podobnie jak inni producenci otwarcie informują o wszelkich podatnościach wykrytych w urządzeniach (https://www.unitronicsplc.com/cybersecurity/).

Aktualizacje bezpieczeństwa

  • „w odniesieniu do ryzyka, jakie stwarzają produkty z elementami cyfrowymi – bezzwłocznego odpowiadania na podatności i ich eliminowania, w tym przez udostępnianie aktualizacji zabezpieczeń;”, (Załącznik I, pkt 2.2).
  • „po udostępnieniu aktualizacji zabezpieczeń – publicznego ujawniania informacji o naprawionych podatnościach, w tym opisu podatności, informacji pozwalających użytkownikom zidentyfikować produkt z elementami cyfrowymi, którego te podatności dotyczą, skutków podatności, ich dotkliwości oraz informacji pomagających użytkownikom wyeliminować podatności”, (Załącznik I, pkt 2.4).
  • „zapewniania mechanizmów bezpiecznej dystrybucji aktualizacji produktów z elementami cyfrowymi w celu zapewnienia, aby możliwe do wykorzystania podatności zostały naprawione lub ograniczone w odpowiednim czasie;”, (Załącznik I, pkt 2.7).

Każda wykryta podatność to natychmiastowa reakcja Unitronics. Tak jak wspominaliśmy w poprzednich punktach aktualizacje są darmowe i dostępne dla każdego użytkownika. Każda zmiana dostarczana w aktualizacji (zarówno funkcjonalność jak i podatności) są opisywane w odpowiednim dokumencie.

Informowanie o podatnościach

  • „przyjmowania środków ułatwiających wymianę informacji o potencjalnych podatnościach w ich produkcie z elementami cyfrowymi, a także w komponentach strony trzeciej zawartych w tym produkcie, w tym przez udostępnienie adresu do kontaktu służącego do zgłaszania podatności wykrytych w produkcie z elementami cyfrowymi;”, (Załącznik I, pkt 2.6).
  • „zapewniania, aby w przypadku gdy dostępne są poprawki lub aktualizacje zabezpieczeń służące rozwiązaniu zidentyfikowanych problemów bezpieczeństwa, były one rozpowszechniane bezzwłocznie i bezpłatnie, wraz z komunikatami doradczymi dostarczającymi użytkownikom odpowiednich informacji, w tym na temat potencjalnych działań, które należy podjąć.”, (Załącznik I, pkt 2.8).

Zarówno producent i Elmark Automatyka jako dystrybutor sprzętu Unitronics dokłada wszelkich starań aby aplikacje naszych klientów były odpowiednio zabezpieczone przed osobami trzecimi. Informacje o wykrytych podatnościach są dostępne dla każdego na stronie Unitronics (LINK). Dzięki stałemu kontaktowi z producentem natychmiastowo informujemy klientów jak zapobiegać wykrytym podatnościom oraz mamy możliwość testowania wszelkich podejrzeń o nowe podatności i informować dział R&D producenta.

 

Źródła:

Rozporządzenie 2023/1230 - Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2023/1230 z dnia 14 czerwca 2023 r. w sprawie maszyn oraz w sprawie uchylenia dyrektywy 2006/42/WE Parlamentu Europejskiego i Rady i dyrektywy Rady 73/361/EWG

Akt dotyczący cyberodporności - Rozporządzenie Parlamentu Europejskiego i Rady w sprawie horyzontalnych wymogów cyberbezpieczeństwa w odniesieniu do produktów z elementami cyfrowymi i zmieniające rozporządzenie (UE) 2019/1020

Więcej na temat

Skontaktuj się ze specjalistą Elmark

Masz pytania? Potrzebujesz porady? Zadzwoń lub napisz do nas!

Skontaktuj się z nami

elmark@elmark.com.pl +48 22 541 84 60
Formularz kontaktowy