21 листопада 2022
Серпень 2022 року увійде в історію як знакова дата для галузі виробництва ліфтів та ескалаторів. Саме у серпні виробники по всьому світу змогли завантажити стандарт ISO 8102-20 і дізнатися, що кібербезпека їхньої продукції буде ретельно продумана від самого початку, якщо вони створюватимуть вироби відповідно до специфікацій, викладених у цьому документі.
Стандарт ISO 8102-20 — це результат трирічної роботи численних галузевих організацій, експертів та окремих виробників, який містить 34 сторінки та змінює правила гри у галузі. Компанія KONE не просто долучилася до цього процесу — три старші співробітники компанії увійшли до складу робочої групи. Сформував цю групу провідний експерт компанії Арі Каттайнен.
«Я спеціалізуюсь на функціональній безпеці нашої продукції, та не є експертом з кібербезпеки, — каже Каттайнен, — тому участь у створенні цього нового стандарту кібербезпеки була неймовірно цікавою. Моєю головною метою було ефективне об’єднання різних експертів у робочій групі для забезпечення дійсно хорошої атмосфери та діалогу».
Переваги для замовників, кінцевих споживачів і навколишнього середовища
Дотримання нового стандарту кібербезпеки ISO зараз є пріоритетом в компанії KONE. Це не лише спосіб продемонструвати клієнтам, що рівень кібербезпеки їхніх систем стане найвищім у своєму класі на довгі роки, це також означає, що кінцеві користувачі зможуть насолоджуватися ефективною та безперебійною експлуатацією обладнання.
«Кібербезпека — це наче фундамент, — каже Каттайнен. — Вона означає можливість спокійно використовувати продукти, під’єднані до зовнішнього світу. А без сучасного зв’язку із зовнішнім світом керування потоком людей не таке ефективне».
Інформаційний захист, який забезпечується новим стандартом, гарантує, що під час встановлення з’єднання з метою віддаленого оновлення систем, ризик зовнішнього втручання буде зведений до мінімуму. «Ви відкриваєте портал не для того, щоб хтось міг зайти, зламати систему і спробувати якимось чином порушити її роботу», — говорить Кевін Брінкман, старший директор з дотримання норм американської асоціації National Elevator Industry, Inc (NEII).
Стандарт також матиме позитивні екологічні наслідки. Захищені системи, які можна оновлювати дистанційно, означають, що компанія KONE може зменшити кількість візитів, коли інженеру потрібно відвідувати ліфт або ескалатор для його обслуговування.
Що особливо цікавило Каттайнена та його колег по робочій групі з KONE - Юссі Валкіяйнена, керівника відділу безпеки продуктів і додатків, та Міку Катару, менеджера з безпеки технологій IoT, — так це не лише те що потрібно для нового стандарту, але більше навіщо потрібен цей стандарт. «Він дозволяє перейти на якісно новий рівень», — каже Каттайнен.
Розуміння ролі стандартів у кібербезпеці
За словами Валкіяйнена, саме розвиток «розумних» міст і підвищення рівня взаємопов’язаності зумовили потребу в новому міжнародному стандарті кібербезпеки ліфтів, ескалаторів і рухомих пасажирських доріжок.
«Близько п’яти-шести років тому, — пояснює він, — у нашому секторі почалися цифровізація і поширення технологій підключення пристроїв до мережі, і багато виробників усвідомили, що, запроваджуючи все це, ми також створюємо ризики, пов’язані із кібербезпекою. Нам потрібен був спосіб захиститися від них».
Але які саме ризики? Каттайнен, наприклад, може перерахувати кілька найгірших сценаріїв і загроз, які робоча група повинна була передбачити під час моделювання різноманітних ситуацій і від яких система має бути захищена.
Ці загрози варіювалися від хакерських атак на телефонну сигналізацію ліфтів до атак типу «відмова в обслуговуванні», коли кіберзлочинець міг вивести з ладу кабіни ліфтів і вимагати викуп.
Новий стандарт допомагає виробникам захиститися від таких ризиків, а також уникнути репутаційної шкоди, яка може мати місце, якщо порушення безпеки призведе до негативного розголосу, зазначає Каттайнен.
Зробити кібербезпеку продукції пріоритетом галузі
Поява нового стандарту чітко вказує на те, що галузь надзвичайно серйозно ставиться до питання кібербезпеки.
«Раніше існували стандарти кібербезпеки для інших галузей, але стандартів, специфічних для галузі виробництва ліфтів та ескалаторів, не було, — говорить Кевін Брінкман з NEII. — Ми подумали, що потрібен власний стандарт, тому NEII спочатку склала набір керівних принципів як відправну точку, а потім ми звернулися до низки організацій, зокрема Міжнародної організації зі стандартизації, Європейської асоціації виробників ліфтів і CEA — Китайської асоціації виробників ліфтів».
Міжнародна організація зі стандартизації підтримала ідею нового міжнародного стандарту, і для вивчення цього питання була створена робоча група. «Арі виконав чудову роботу як організатор, — зазначає Брінкман, — він потурбувався, щоб коментарі та думки всіх зацікавлених сторін були враховані».
«У нас була чудова група експертів, і ми змогли просуватися вперед без затримок, — каже Брінкман. — Новий стандарт був готовий менш ніж за три роки, що досить незвично. Хоча учасники і були конкурентами, але коли йдеться про безпеку та впевненість у тому, що продукція, яку вони випускають, буде надійною та безпечною для споживача та оператора, який має на ній працювати, вони виступили єдиним фронтом».
Існуючий стандарт IEC 62443 забезпечив основу для розробки
Для створення нового стандарту робочій групі не довелося починати з нуля — існуючий стандарт IEC забезпечив міцну основу, від якої можна було відштовхуватися.
«Ми не збиралися винаходити велосипед, — говорить Валкіяйнен. — Ще на ранніх етапах ми вирішили, що звертатимемося до стандарту з кібербезпеки для промислових систем управління IEC 62443 і, по суті, виводитимемо вимоги до систем управління ліфтами та ескалаторами з нього».
Компанія KONE вже була добре знайома зі стандартом IEC 62443, оскільки ліфти класу DX були розроблені відповідно до його вимог. Власне, нещодавно компанія KONE підвищила рівень сертифікації за стандартом IEC 62443-4-1, перейшовши з «рівня зрілості» ML2 на ML3.
«Це означає, — каже Валкіяйнен, — що компанія KONE тепер має документальне підтвердження того, що вона виконала всі етапи процесу розробки, передбачені стандартом IEC 62443-4-1». Це ще один приклад прагнення компанії KONE до впровадження кібербезпеки світового рівня.