1. Homepage

  2. A Festo-ról

  3. Blog

  4. Innováció

  5. Kiberbiztonság

Hogyan lehet minimalizálni az ipari hálózatok biztonságával kapcsolatos kockázatokat, és hogyan lehet megfelelni az Európai Unió kiberbiztonságról szóló törvényének (CRA)?

A kiberbiztonság az ipari automatizálásban már nem opcionális, hanem elengedhetetlen. Az Ipar 4.0 fejlődésével az összekapcsolt rendszerek egyre nagyobb kockázattal szembesülnek a kibertámadások és a fejlődő szabályozások miatt. Ez a cikk azt vizsgálja, hogy a Festo hogyan biztosítja a kiberbiztonság és a termékbiztonság terén a megfelelőséget és a megbízhatóságot - és hogy az Európai Unió kiberbiztonságról szóló törvénye (Cyber Resilience Act - CRA) miért jelentős az ipari hálózatok biztonsága szempontjából.

Mi az OT biztonság és miért fontos a kiberbiztonságban?

Az operatív technológiák (OT) biztonsága az ipari műveleteket irányító rendszereket védi - a gyártás, a robotika, az energiahálózatok és a kritikus infrastruktúra területén. Mivel az OT közvetlenül fizikai folyamatokat irányít, védelme létfontosságú a biztonság, a megbízhatóság és a termelés zavartalansága szempontjából.

A kibertámadások egyre kifinomultabbá válnak, ezért a termékbiztonság ma már kulcsfontosságú az OT biztonságának biztosításához. A támadás leállíthatja a működést, károsíthatja a berendezéseket, jelentős pénzügyi és biztonsági kockázatot jelenthet, és potenciális adatvesztéssel járhat. Ezáltal a régi rendszerek, a valós idejű igények, valamint az IT- és OT-hálózatok konvergenciája szempontjából a személyre szabott stratégiák alapvető fontosságúak.

Az OT biztonságát alakító legfontosabb rendeletek és szabványok közé tartoznak:

  • Kiberbiztonságról szóló törvény (CRA): Magasabb uniós szintű biztonsági követelményeket határoz meg a digitális elemeket tartalmazó termékekre, különösen a csatlakoztatott eszközökre vonatkozóan.
  • Az EU 2023/1230 gépekre vonatkozó rendelete (EU), amelyet 2027. január 20-tól kell alkalmazni, előírja, hogy a termékeket védeni kell a számítógépes vírusok és a manipuláció ellen.
  • Az EU NIS2 irányelv (EU) 2022/2555, amelyet 2024. október 18-tól kell alkalmazni, magasabb szintű kiberbiztonsági követelményeket határoz meg az alapvető és fontos jogalanyok számára.
  • NIST SP 800-82: Amerikai útmutató az OT-architektúrák, a fenyegetéscsökkentés és a válaszadás legjobb gyakorlataival.
  • A szoftvertermék összes könyvtárát és függőségét felsoroló szoftverjegyzék (SBOM) az átláthatóság és a biztonság javítása érdekében.
  • IEC 62443: Az ipari vezérlőrendszerek biztonságának nemzetközi szabványa a tervezéstől a felügyeletig.
  • ISA/IEC 61511: A biztonsági műszerekkel felszerelt rendszerekkel foglalkozik, ahol a biztonság és a kiberbiztonság keresztezi egymást.

Mik azok az ipari vezérlőrendszerek (ICS) és miért kritikusak a kiberbiztonság szempontjából?

Az ipari vezérlőrendszerek (ICS) olyan hardver- és szoftvermegoldások, amelyek a folyamatokat felügyelik, vezérlik és automatizálják az olyan iparágakban, mint a gyártás, az energiaipar, a vízkezelés és a szállítás. A legfontosabb összetevők közé tartoznak a távfelügyeletet biztosító SCADA-rendszerek, az elosztott vezérlőrendszerek (DCS) a központosított üzemirányításhoz, a PLC-k a speciális gyári feladatokhoz, valamint a HMI-k, amelyek lehetővé teszik a dolgozók számára a folyamatok megjelenítését és kezelését. A biztonságos és hatékony működés biztosításán túlmenően az ICS kritikus fontosságú az alapvető infrastruktúrát megzavaró kibertámadások elleni védelem szempontjából. A Cyber Resilience Act (CRA) kiemeli ennek sürgősségét, a Festo pedig garantálja a termékbiztonságot, és az ügyfeleket megfelelő és megbízható automatizálási megoldásokkal támogatja.

Hogyan erősíti az Európai Unió CRA-ja a kiberbiztonságot?

Az EU kiberbiztonságról szóló törvénye egy olyan rendelet, amelynek célja annak biztosítása, hogy minden digitális elemekkel - hardverrel és szoftverrel - rendelkező, összekapcsolt termék tervezése során, alapértelmezésben és teljes életciklusa során biztonságos legyen. A rendelet azokra a gyártókra, importőrökre és forgalmazókra vonatkozik, akik ilyen termékeket hoznak forgalomba az EU piacán.

A legfontosabb kötelezettségek a következők:

  • Kockázatfelmérések és kiberbiztonsági értékelések a termékek forgalomba hozatala előtt
  • Folyamatos biztonsági frissítések és sebezhetőségkezelés
  • CE (Conformité Européenne) jelölés a megfelelőség igazolására
  • A kihasznált sebezhetőségek jelentése az ENISA-nak 2026. szeptember 11-től

A teljes körű megfelelés 2027. december 11-től válik kötelezővé, és ennek elmulasztása esetén akár 15 millió euróig vagy a globális forgalom 2,5%-áig terjedő büntetés is kiszabható.

További információk az EU CRA-ról
Eberhard Klotz

"Az új rendelet folyamatos biztonsági frissítéseket ír elő. Emellett ösztönzi a kiberbiztonsági kockázatok átláthatóságát. Ez segít a szervezeteknek abban, hogy a termék teljes életciklusa alatt erős védelmet biztosítsanak."

Eberhard Klotz, Sales Director Industry 4.0, and Digitalization

Hogyan támogatja a Festo az ügyfeleket a Cyber Resilience Act szerint?

A digitális interfésszel rendelkező Festo hardverek és szoftverek - például PLC-k, edge számítógépek, szelepszigetek, mozgásvezérlők, mérnöki eszközök, és MI-alapú analitikai alkalmazások - a CRA hatálya alá tartoznak. A CRA-nak való megfelelés támogatása érdekében a Festo nyílt forráskódú eszközt kínál a CycloneDX SBOM-ok létrehozásához, szerkesztéséhez és érvényesítéséhez, amely segíti a felhasználókat a használt szoftverkomponensek dokumentálásában és a sebezhetőségek felderítésében. Segítünk a gépgyártóknak, forgalmazóknak és importőröknek a CRA-nak való megfelelés kezelésében a határidők, a dokumentáció és a biztonság tekintetében.

Bár még egyetlen termék sem CRA-kompatibilis, a Festo rendelkezik a TÜV Süd által auditált IEC 62443-4-1 tanúsítvánnyal a biztonságos fejlesztésre vonatkozóan, és a termékeink használata során a lehetséges kockázatok azonosítására és csökkentésére a fenyegetés- és kockázatelemzés (TARA) módszereit alkalmazza. Biztosítjuk, hogy 2027 decemberére az ügyfelek magabiztosan használhassák a Festo megoldásait az uniós előírásoknak megfelelően.

Lásd Festo a GitHubon

CRA és biztonsági kapcsolattartó szerepek a Festo-nál

A CRA az automatizálásban betöltött valamennyi szerepkörre hatással van: Az OEM-gyártóknak bizonyítaniuk kell, hogy a gépek megfelelnek a követelményeknek, az integrátorok felelősek a biztonságos alkatrészekért, az üzemeltetőknek biztosítaniuk kell a folyamatosságot, a beszerzési tisztviselőknek pedig értékelniük kell a beszállítók felkészültségét. A legnagyobb kihívást a tanúsítással, a termék életciklusával és a beszerzéssel kapcsolatos bizonytalanság jelenti, amelyet átláthatósággal és dokumentált intézkedésekkel kezelünk. A Festo igazodik az ISO/IEC 29147 és az ISO/IEC 30111 szabványokhoz.

A sebezhetőségeket a Product Security Incident Response Team (PSIRT) számára lehet jelenteni a kapcsolatfelvételi űrlapon vagy a psirt@festo.com e-mail címen, weboldalunkon pedig átlátható módon közzétesszük az ismert és javított sebezhetőségeket tartalmazó, közzétett tanácsokat.

Tovább a PSIRT portálra

A lépésről lépésre történő kiberbiztonsági megfelelési ellenőrző lista a CRA-hoz

☑ Ismerje meg, hogy a CRA hogyan befolyásolja a gépeket, a műveleteket és a beszerzést.

☑ Erősítse meg beszállítói CRA-felkészültségét most - ne várjon 2027-ig.

☑ A tervezéshez használja a Festo ajánlásait, nyilatkozatait és biztonsági dokumentációját.

☑ A megfelelőségi kockázatok elkerülése érdekében tartsa be az IEC 62443 és a CRA követelményeit.

☑ Bízzon a Festo-ban, mint megbízható partnerében a termékbiztonság terén.

A kiberbiztonság találkozik az egész életen át tartó tanulással

Kíváncsi a kiberbiztonságról szóló törvényre és annak az automatizálásra gyakorolt hatására? Nézze meg a "Cyber Resilience Act - Explained in 5 Minutes" és a "Enabling Technologies - Big Data, Cloud & Cybersecurity" című videókat online oktatási portálunkon, a Festo LX-en, hogy gyorsan megértse a CRA lényegét, és hogy gyártóként hogyan készüljön fel a betartására.

A Festo LX videókhoz