Hiper bağlantılı (hipernet) dünyamızda, BT güvenliği yalnızca verilerimizi değil, makineler dahil hareket eden neredeyse her şeyi kapsamaktadır. Bilgisayar teknolojilerine dayanan üretimdeki siber saldırılar veya BT arızaları, yürürlükteki güvenlik önlemleri için risk oluşturmakta, dolayısıyla üretim ve insanları etkilemektedir. Bu ihtiyacı dikkate alan standardizasyon kuruluşları bu tür riskleri belirleme ve ele almaya yönelik yeni uluslararası rehberler oluşturmak için çalışmalar başlatmışlar ve bu amaca yönelik olarak ISO/TR 2210-4 rehberini kaleme almışlardır.
“Akıllı” üretim veya İnternet ve dijital teknolojiden yararlanan üretim, tüm değer zincirinde sorunsuz üretim ve entegrasyona olanak tanır. Ayrıca hız, kuvvet ve sıcaklık gibi parametrelerin uzaktan kontrol edilmesini sağlar. Performansı ve kullanımı izleyebilmek ve verimliliği artırmak gibi pek çok faydası vardır, ancak aynı zamanda BT güvenlik tehditleri riskini de artırır.
Bir makinenin hızının veya gücünün tehlikeli seviyelere çıkarılması veya pişirme sıcaklıklarının gıda kontaminasyonuna neden olacak şekilde düşürülmesi, siber saldırıların yalnızca üretimi kesintiye uğratmakla kalmayıp insanlar için ciddi riskler oluşturabileceği örneklerden sadece birkaçıdır. Neyse ki, üreticilerin bu risklere hazırlanmalarına ve bu riskleri azaltmalarına yardımcı olmak için yeni bir ISO teknik raporu (TR) yayınlandı.
ISO/TR 22100-4 , Makine Güvenliği – Bölüm 4: İlgili BT güvenliği (siber güvenlik) hususlarının değerlendirilmesi için makine üreticilerine rehberlik, makine üreticilerinin BT güvenlik tehditlerini tanımlamasına ve ele almasına yardımcı olmak için tasarlanmıştır. ISO’nun makine güvenliği için amiral gemisi standardı olan ISO 12100, Makine güvenliği – Tasarım için genel ilkeler – Risk değerlendirmesi , tehlike analizi ve dokümantasyon gereklilikleri için temelleri ortaya koyan risk değerlendirmesi ve risk azaltmayı tanımlayan kapsamlı bir standart olmasına rağmen, internet, dijital hizmetler ve teknoloji, nesnelerin internetinin (IoT) bir parçası olan akıllı üretimi mümkün kılan önemli unsurlara yanıt verememektedir.
Yeni tarz üretim ortamı için temeller, tüm değer zinciri boyunca dikey ağ oluşturma ve yatay entegrasyon, tasarım yakınsama, sipariş, teslimat ve üretim yeteneklerinden oluşmaktadır. Bu, geleneksel değer zincirlerinin dönüşümüne ve yeni iş modellerinin ortaya çıkmasına neden olmaktadır. Akıllı üretime dayalı akıllı ürünler, nasıl yapıldıklarına, performanslarına ve nasıl kullanıldıklarına dair birçok detayı içerir. Fiziksel ürün, dijital temsiliyle bağlantılıdır ve dijital içerik, yaşam döngüsü aşamasına bağlıdır. Akıllı üretimi uygulamak, mevcut üretim sistemlerinin yanı sıra teknolojik ve ekonomik potansiyelden yararlanarak verimli ve yüksek düzeyde yanıt veren bir paket oluşturmaktadır. Akıllı üretim, makinelerin BT güvenlik tehditlerine karşı güvenlik açıklarını da artırmaktadır.
Akıllı üretim, dinamik, gerçek zamanlı optimize edilmiş, kendi kendini organize eden değer zincirlerinin ortaya çıkmasına yol açar. Bu nedenle, standartlaştırılmış arayüzler ve uyumlaştırılmış iş süreçlerinin yanı sıra uygun bir düzenleyici çerçeve gerektirmektedir. Çok temel olarak akıllı üretim aşağıdakilerle karakterize edilmektedir:
a) artan ürün esnekliği;
b) yeni içsel yerleşik ürün özellikleri;
c) esnek çalışma organizasyonu;
d) esnek parti büyüklüğü ve üretim yeri.
Akıllı üretim için, gizlilik, kendi kendine yapılandırma ve kullanım kolaylığı sağlamak için ağ altyapısının tanımının daha da genişletilmesi gerekir. Bu nedenle, hızlı erişilebilir, sağlam ve güvenli iletişim ağlarına ihtiyaç vardır.
ISO/TR 22100-4 dokümanının birincil amacı, güvenlikle ilgili kontrol sistem(ler)ine kişilerin kasıtlı olarak suistimal amacıyla doğrudan veya uzaktan erişmesi ve manipüle etmesiyle ilgili BT güvenliği saldırılarından etkilenebilecek makine güvenliği hususlarını ele almaktır. Gelişen teknoloji ile birlikte BT güvenliği saldırıları, makinelerin güvenliği için giderek daha fazla potansiyel bir tehdit haline gelmektedir. Kasıtlı suistimal, ISO 12100 ve (güvenlikle ilgili) risk değerlendirme sürecinin kapsamı dışında kalsa da makine üreticilerinin bu tür tehditleri dikkate alması bir gereklilik haline gelmektedir.
Mevcut teknolojiler, makine başında bulunmaya gerek kalmadan, parametreleri ayarlayarak makinelerin performanslarının uzaktan izlenmesini ve/veya iyileştirilmesini sağlayacak düzeye gelmiş durumdadır. Bu yetenek, servis çağrısı yapan bir saha servis görevlisinin kesinti süresi ve ilgili maliyetleri olmadan makine çalışır durumda tutulabileceği için önemli faydalar sağlar.
Bununla birlikte, performansı iyileştirmek için makine parametrelerini ayarlamaya yönelik bu aynı yetenek, kötü niyetli veya suç işleme niyeti olan kişilerin işçileri ve diğerlerini zarar görme riskine sokabilecek ayarlamalar yapmasına olanak tanımaktadır. Örneğin, makine hızı veya makine kuvvetleri tehlikeli seviyelere ayarlanabilir, sıcaklıklar bir öldürme adımı seviyesinin altına düşürülerek gıda kontaminasyonuna neden olabilir veya hata kodları veya mesajlar silinebilir veya tahrif edilebilir.
İnsan hatasının, tam anlamıyla BT güvenliği ile çok az ilişkisi olabilir. Bu kasıtsız etkiler (makinenin veya kontrol sisteminin parametrelerini ayarlarken makul ölçüde öngörülebilir insan hatası), halihazırda normal (güvenlikle ilgili) risk değerlendirmesi ve sonuçta ortaya çıkan, kontrol sisteminin doğası gereği güvenli tasarımı kapsamındadır (bkz. ISO 12100:2010, 6.2).
ISO/TR 22100-4 dokümanı, makine imalatçılarına, bir makineyi hizmete alırken veya piyasaya ilk kez sürerken makinenin güvenliği ile ilgili potansiyel güvenlik hususları hakkında rehberlik sağlamayı amaçlamaktadır. Ayrıca makinelerin güvenliğini etkileyebilecek BT güvenliği tehditlerini belirlemek ve ele almak için gerekli bilgileri de sağlamaktadır.
ISO/TR 22100-4 rehber dokümanı, makinelerin güvenliğini etkileyebilecek BT güvenliği hususlarının nasıl ele alınacağına ilişkin ayrıntılı spesifikasyonları sağladığı anlamına gelmez.
ISO/TR 22100-4 rehber dokümanı, fiziksel manipülasyon yoluyla risk azaltma önlemlerinin baypas edilmesini veya devre dışı bırakılması gibi durumları ele almamaktadır.