Zdalny pulpit maszyny – czy to jest jeszcze bezpieczne?
Zdalny pulpit maszyny coraz częściej pojawia się w wymaganiach użytkowników maszyn. Coraz więcej użytkowników wymaga i żąda, aby nowe maszyny były wyposażone w możliwość zdalnej obsługi przez Internet. Czy jednak takie rozwiązanie jest jeszcze bezpieczne? Postaram się odpowiedzieć na te pytanie.
Jesteśmy zewsząd atakowani hasłem Industry 4.0 i siłą rzeczy ulegamy trendom. Jeszcze klika lat temu sieci przemysłowe wykonane w standardzie Ethernet nie były tak popularne jak dziś, więc nikt nie myślał o połączeniu maszyn w sieć, chociaż potrzeby takie zauważono już na początku rozpowszechniania się Inernetu. Taka funkcjonalność jak zdalny pulpit maszyny nie była tak łatwa do wykonania jak dziś. Normy również nie nadążają za postępem, przez co ciężko odnieść przestarzałe wymagania do nowych technologii, zachowując ich wzajemną zgodność. W obecnym stanie spotykamy się wręcz z „inwazją” zastosowań technologii sieciowej w przemyśle, przez co pojawiły się nowe możliwości i niestety – nowe zagrożenia.
Poprzez tak inwazyjne rozpowszechnienie się standardu sieci Ethernet rzeczą naturalną jest dziś zatem fakt, że urządzenia pracujące w sieci przemysłowej wykonanej w tym standardzie są wyposażone w web serwer, za który nie musimy nic dopłacać. Funkcjonalność tą mamy „w cenie”. Taka funkcjonalność daje dodatkowe możliwości, które mogą być wykorzystane w nieodpowiedni sposób, znacząco obniżający poziom bezpieczeństwa użytkowania maszyny.
Jednym z takich sposobów nieprawidłowego wykorzystania funkcjonalności sieciowej jest zdalny pulpit maszyny uruchomiony za pomocą VNC. Technologia jest możliwa i bardzo łatwa w implementacji z dwóch powodów:
- Większość systemów HMI to komputery przemysłowe z zainstalowanym systemem operacyjnym Windows, na którym bezproblemowo można zainstalować klienta VNC.
- Większość systemów HMI jest wyposażona w port sieciowy Ethernet, dzięki czemu podłączenie systemu HMI do sieci jest banalnie prosta.
Taka funkcjonalność daje nam możliwość zdublowania panelu operatorskiego w dowolnym miejscu i przez każdego użytkownika, który będzie miał do tego dostęp. Nie trudno sobie wyobrazić, jak bardzo niebezpieczne może stać się nadużywanie funkcjonalności pulpitu zdalnego.
Sprawdźmy teraz, co o tym mówi dyrektywa maszynowa.
Doskonale sprawdza się w tym przypadku zasada ogólności wymagań zasadniczych. Tzn. nie wgłębiając się w szczegóły techniczne, dyrektywa ma za zadanie podanie wymagań zasadniczych, które należy spełnić. Techniczne szczegóły są zawarte w normach zharmonizowanych z dyrektywą i jeśli brak jest takich norm, to można sięgnąć do publikacji technicznych, opracowań i skorzystać z dobrej praktyki inżynierskiej z aktualną wiedzą na dany temat, aby wybrać odpowiedni sposób spełnienia wymagań zasadniczych. Jednym z takich wymagań zasadniczych w formie ogólnej, a którego ciężko szukać w normach zharmonizowanych w zestawieniu do tematu dotyczącego wykorzystania pulpitu zdalnego jest p. 1.2.2 dyrektywy maszynowej. Można w nim przeczytać, że „jeżeli istnieje kilka stanowisk sterowania, układ sterowania musi być zaprojektowany w taki sposób, aby używanie jednego stanowiska wykluczało używanie pozostałych, z wyjątkiem elementów sterowniczych zatrzymujących i urządzeń do zatrzymywania awaryjnego.”
Uruchomienie klienta VNC w odniesieniu do tego wymagania, to nic innego, jak wyposażenie maszyny w jeszcze jedno stanowisko pracy. W takiej sytuacji należałoby zapewnić, że włączenie pulpitu zdalnego spowoduje dezaktywowanie innego stanowiska (pulpitu) maszyny. Jeśli to w pewnych warunkach będzie możliwe, to mimo tego trudno ocenić takie rozwiązanie na pozytywne z tego względu, że ustawodawcy mieli na myśli szczególnie zainstalowane na stałe stanowiska pracy i raczej nikomu nie przychodziło w tamtych czasach do głowy, że stanowiskiem pracy może być biuro, dom lub tramwaj.
Zatem podsumowując: Jeśli użytkownik wymaga, aby skopiować mu funkcjonalność pulpitu sterowniczego na zdalny pulpit maszyny, to
- po pierwsze – musi się to odbywać wg wymagania p. 1.2.2 dyrektywy maszynowej 2006/42/WE,
- po drugie – dyrektywa opisuje przypadek stanowiska sterowania zlokalizowanego przy maszynie, a nie pulpitu zdalnego zainstalowanego w laptopie, tablecie lub smartfonie podłączonych do Internetu.
Drugi warunek wyklucza możliwość zdublowania stanowiska pracy w taki sposób.
Coś takiego jak VNC z pełną funkcjonalnością pulpitu sterowniczego maszyny jest niezgodne z wymaganiem zasadniczym i odbiorcy maszyn nie mogą tego wymagać od producenta.
Z drugiej strony – użytkownicy muszą być świadomi tego, że jeśli sami instalują usługę VNC, której nie zapewnił producent, to jest to istotna zmiana funkcjonalności maszyny. W dodatku, jest to zmiana, która powoduje powstanie nowego ryzyka o wysokim stopniu zagrożenia. Należy pamiętać o tym, że producent deklaruje zgodność maszyny z wymaganiami zasadniczymi takiej, jak w momencie jej pierwszego udostępnienia. Nieautoryzowane zmiany obniżające bezpieczeństwo maszyny powodują, że maszyna przestaje spełniać wymagania zasadnicze, przez co deklarowana zgodność producenta przestaje obowiązywać. Użytkownik wykonał daleko idącą modyfikację maszyny i staje się w tym momencie jej producentem. Więcej na ten temat pisałem w cyklu artykułów dotyczącym modernizacji.
Ale jeśli stanowisko takie miałoby na celu obserwację stanu pracy maszyny i podglądu statystyk, bez możliwości ingerowania w układ sterowania maszyny, to taka funkcjonalność jest jak najbardziej dopuszczalna.
Do tego jednak nie trzeba instalować VNC. Sterowniki PLC są wyposażone w web serwer, na którym jest dostępna diagnostyka. Można także rozbudować web serwer sterownika, dopasowując go do własnych celów.
Nieakceptowalna natomiast powinna być funkcjonalność, która dubluje funkcje związane ze sterowaniem. Może to doprowadzić do nieodpowiedniego użycia maszyny.
W przypadku budowy nowych maszyn, trudno obejść się bez możliwości podłączenia maszyny do sieci Ethernet. Choćby z tego względu, że większość urządzeń, z których zbudowana jest maszyna, taką funkcjonalność już posiada, o czym pisałem na wstępie. Nie da się zatrzymać inwazji rozwiązań sieciowych w przemyśle, ale musi przynajmniej wzrastać poziom świadomości przede wszystkim wśród użytkowników maszyn. To oni głównie skupiają się na wykorzystaniu nowych rozwiązań w sposób, który ma ułatwić im pracę, ale muszą mieć świadomość istnienia dodatkowego ryzyka, które może doprowadzić do tragicznych konsekwencji. Dlatego starajcie się wykorzystywać nowe możliwości „z głową”, bo postęp techniczny w ostatnich latach tak szybko rośnie, że bez analizy zagrożeń trudno oczekiwać, że nowa technologia jest jednocześnie przydatna i bezpieczna.