Как да сведем до минимум рисковете в сигурността на индустриалните мрежи и да спазим изискванията на Закона за киберустойчивостта (CRA) на Европейския съюз

Киберсигурността в индустриалната автоматизация вече не е опция – тя е от съществено значение. С напредването на Индустрия 4.0 свързаните системи са изправени пред нарастващи рискове от кибератаки и променящи се регулации. В тази статия се разглежда как Festo осигурява съответствие и надеждност в областта на киберсигурността и сигурността на продуктите – и защо Законът за киберустойчивостта (CRA) на Европейския съюз е от значение за сигурността на индустриалните мрежи.

Какво е OT сигурност и защо е важна за киберсигурността?

Сигурността на оперативните технологии (ОТ) защитава системите, които контролират промишлените операции – в областта на производството, роботиката, енергийните мрежи и критичната инфраструктура. Тъй като оперативните технологии пряко управляват физическите процеси, защитата им е от жизненоважно значение за безопасността, надеждността и непрекъснатото производство.

Тъй като кибератаките стават все по-усъвършенствани, сигурността на продуктите вече е от решаващо значение за гарантиране на сигурността на оперативните технологии. Един пробив в системата може да спре работата, да повреди оборудването, да причини сериозни финансови рискове и рискове за безопасността, както и до потенциална загуба на данни. Това прави персонализираните стратегии от съществено значение за по-старите системи, запитванията в реално време и взаимодействието между ИТ мрежите и мрежите на оперативните технологии.

Ключовите регулации и стандарти, които определят сигурността на оперативните технологии, включват:

• Закон за киберустойчивостта (CRA): Определя по-високи изисквания за сигурност в целия ЕС за продукти с цифрови елементи, особено за свързани устройства.
• Регламент (ЕС) № 2023/1230 относно машините, приложим от 20 януари 2027 г., изисква продуктите да бъдат защитени срещу изменения и манипулации.
• В Директива (ЕС) 2022/2555 относно мерки за високо общо ниво на киберсигурност (NIS2) на ЕС, която се прилага от 18 октомври 2024 г., се определят по-високи изисквания за киберсигурността за съществени и важни субекти.
• NIST SP 800-82: Ръководство на САЩ с най-добри практики за архитектури на оперативни технологии, намаляване на заплахите и реагиране.
• Спецификация на софтуера (SBOM), в която са посочени всички библиотеки и зависимости в даден софтуерен продукт, за да се подобри прозрачността и сигурността.
• IEC 62443: Международен стандарт за сигурност на промишлени системи за автоматизация и контрол – от проектирането до наблюдението.
• ISA/IEC 61511: Разглеждат се системи за технически безопасност, при които безопасността и киберсигурността се пресичат.

Какво представляват системите за управление на производствените процеси (ICS) и защо са от решаващо значение за киберсигурността?

Системите за управление на производствените процеси (ICS) са хардуерни и софтуерни решения, които наблюдават, контролират и автоматизират процеси в отрасли, като производство, енергетика, пречистване на води и транспорт. Ключовите компоненти включват SCADA системи за отдалечено наблюдение и управление, автоматизирани системи за управление (DCS) за централизиран контрол на съоръженията, PLC за специфични заводски задачи и HMI, които позволяват на операторите да визуализират и управляват процесите. Освен че осигуряват безопасни и ефективни операции, ICS са от решаващо значение за защитата от кибератаки, които могат да нарушат функционирането на основната инфраструктура. Законът за кибеустойчивостта (CRA) подчертава тази неотложност, а Festo ще гарантира сигурността на продуктите и ще подкрепя клиентите си със съвместими и надеждни решения за автоматизация.

Как CRA на Европейския съюз укрепва киберсигурността

Законът за киберустойчивостта на ЕС е регулация, която има за цел да гарантира, че всички свързани продукти с цифрови елементи – хардуерни и софтуерни – са сигурни още при проектирането, сигурни по подразбиране и сигурни през целия си жизнен цикъл. В неговия обхват са включени производители, вносители и дистрибутори, които продават такива продукти на пазара на ЕС.

Основните задължения са:

• Оценки на риска и киберсигурността преди пускането на продукти на пазара
• Текущи актуализации за сигурност и управление на уязвимостите
• Маркировка CE (Conformité Européenne) за доказване на съответствие
• Съобщаване на използвани уязвимости на ENISA след 11 септември 2026 г.

Пълното спазване на изискванията става задължително от 11 декември 2027 г., като санкциите за неизпълнение са в размер до 15 милиона евро или 2,5 % от световния оборот.

Как Festo подкрепя клиентите си съгласно Закона за киберустойчивост?

Хардуерът и софтуерът на Festo с цифрови интерфейси – като PLC, устройства за периферни изчисления (edge computing), клапанни терминали, контролери за движение, инженерни инструменти, както и аналитични приложения, базирани на ИИ – са обект на CRA. За да подпомогне спазването на CRA, Festo предлага инструмент с отворен код за създаване, редактиране и валидиране на CycloneDX SBOM, които помагат на потребителите да документират използваните софтуерни компоненти и да откриват уязвимости. Помагаме на машиностроителите, дистрибуторите и вносителите да управляват спазването на изискванията на CRA по отношение на сроковете, документацията и сигурността.

Въпреки че все още няма продукти, съвместими с CRA, Festo притежава сертификат IEC 62443-4-1 за сигурна разработка, одитиран от TÜV Süd, и прилага методи за анализ на заплахите и риска (TARA), за да идентифицира възможните рискове при използването на нашите продукти и да ги намали. Гарантираме, че до декември 2027 г. клиентите ще могат уверено да използват решенията на Festo в съответствие с разпоредбите на ЕС.

Роли съгласно CRA и контакт по сигурността във Festo

CRA засяга всички роли в автоматизацията: Производителите на оригинално оборудване трябва да докажат, че машините отговарят на изискванията, интеграторите носят отговорност за сигурни компоненти, операторите изискват гаранции за непрекъснатост, а служителите, отговарящи за снабдяването, трябва да оценят готовността на доставчиците. Най-голямото предизвикателство е несигурността по отношение на сертифицирането, жизнения цикъл на продуктите и снабдяването с тях, на което ние отговаряме с прозрачност и документирани мерки. Festo е в съответствие с ISO/IEC 29147 и ISO/IEC 30111.

Уязвимостите могат да бъдат докладвани на нашия екип за реагиране при инциденти със сигурността на продуктите (PSIRT) чрез формуляр за контакт или имейл на адрес psirt@festo.com, а на нашия уебсайт прозрачно публикуваме информационни съобщения за известни и отстранени уязвимости.

Вашият Списък с последователни действия за съответствие с изискванията за киберсигурност съгласно CRA

☑ Установете как CRA влияе върху машините, операциите и снабдяването.

☑ Потвърдете готовността на доставчиците си за CRA сега – не чакайте до 2027 г.

☑ Използвайте препоръките, декларациите и документацията за сигурност на Festo за планиране.

☑ Съобразете се с изискванията на IEC 62443 и CRA, за да избегнете рискове, свързани със съответствието.

☑ Разчитайте на Festo като на свой доверен партньор в областта на сигурността на продуктите.