ความมั่นคงปลอดภัยไซเบอร์ในระบบอัตโนมัติอุตสาหกรรมและ CRA

วิธีลดความเสี่ยงในความมั่นคงปลอดภัยเครือข่ายอุตสาหกรรมและปฏิบัติตามพระราชบัญญัติความยืดหยุ่นทางไซเบอร์ของสหภาพยุโรป (EU Cyber Resilience Act – CRA)

ความมั่นคงปลอดภัยไซเบอร์ในระบบอัตโนมัติอุตสาหกรรมไม่ใช่เรื่องเลือกทำอีกต่อไป แต่เป็นสิ่งจำเป็น เมื่ออุตสาหกรรม 4.0 ก้าวหน้า ระบบที่เชื่อมต่อกันเผชิญกับความเสี่ยงที่เพิ่มขึ้นจากการโจมตีทางไซเบอร์และข้อกำหนดทางกฎหมายที่พัฒนาขึ้น บทความนี้สำรวจว่าบริษัท Festo รับประกันการปฏิบัติตามกฎหมายและความน่าเชื่อถือด้านความมั่นคงปลอดภัยไซเบอร์และความปลอดภัยของผลิตภัณฑ์ได้อย่างไร – และเหตุใดพระราชบัญญัติความยืดหยุ่นทางไซเบอร์ของสหภาพยุโรป (EU Cyber Resilience Act – CRA) จึงมีความสำคัญต่อความมั่นคงปลอดภัยเครือข่ายอุตสาหกรรม

OT Security คืออะไร และทำไมจึงมีความสำคัญในด้านความมั่นคงปลอดภัยไซเบอร์

ความมั่นคงปลอดภัยด้านเทคโนโลยีเชิงปฏิบัติการ (OT Security) ปกป้องระบบที่ควบคุมการดำเนินงานอุตสาหกรรม ครอบคลุมการผลิต หุ่นยนต์ ระบบโครงข่ายพลังงาน และโครงสร้างพื้นฐานที่สำคัญ เนื่องจาก OT จัดการกระบวนการทางกายภาพโดยตรง การปกป้องจึงมีความสำคัญต่อความปลอดภัย ความน่าเชื่อถือ และการผลิตที่ไม่หยุดชะงัก

เมื่อการโจมตีทางไซเบอร์มีความซับซ้อนมากขึ้น ความปลอดภัยของผลิตภัณฑ์จึงกลายเป็นสิ่งสำคัญต่อการรับประกันความมั่นคงปลอดภัยของ OT การละเมิดความปลอดภัยอาจทำให้การดำเนินงานหยุดชะงัก อุปกรณ์เสียหาย เกิดความเสี่ยงด้านการเงินและความปลอดภัยอย่างรุนแรง และอาจทำให้สูญเสียข้อมูลได้ สิ่งนี้ทำให้กลยุทธ์ที่ปรับเฉพาะเป็นสิ่งจำเป็นสำหรับระบบเดิม ความต้องการแบบเรียลไทม์ และการรวมตัวของเครือข่าย IT และ OT

ข้อบังคับและมาตรฐานสำคัญที่กำหนดแนวทางความมั่นคงปลอดภัย OT ได้แก่:

พระราชบัญญัติความยืดหยุ่นทางไซเบอร์ (Cyber Resilience Act – CRA): กำหนดข้อกำหนดความมั่นคงปลอดภัยในระดับสูงทั่วสหภาพยุโรปสำหรับผลิตภัณฑ์ที่มีองค์ประกอบดิจิทัล โดยเฉพาะอุปกรณ์ที่เชื่อมต่อกัน
ระเบียบข้อบังคับเครื่องจักรของสหภาพยุโรป (EU Machinery Regulation) (EU) 2023/1230 ที่มีผลบังคับใช้ตั้งแต่เดือนมกราคม 20, 2027กำหนดให้ผลิตภัณฑ์ต้องได้รับการปกป้องจากการเสียหายและการถูกดัดแปลง
คำสั่ง NIS2 ของสหภาพยุโรป (EU NIS2 Directive) (EU) 2022/2555 ที่มีผลบังคับใช้ตั้งแต่เดือนตุลาคม 18, 2024กำหนดข้อกำหนดความมั่นคงปลอดภัยไซเบอร์ที่เข้มงวดขึ้นสำหรับหน่วยงานที่สำคัญและจำเป็น
NIST SP 800-82: คู่มือของสหรัฐอเมริกาที่มีแนวทางปฏิบัติที่ดีที่สุดสำหรับสถาปัตยกรรม OT การลดความเสี่ยงจากภัยคุกคาม และการตอบสนอง
บัญชีวัสดุซอฟต์แวร์ (SBOM) แสดงรายการไลบรารีและส่วนประกอบทั้งหมดในผลิตภัณฑ์ซอฟต์แวร์เพื่อเพิ่มความโปร่งใสและความมั่นคงปลอดภัย
IEC 62443: มาตรฐานสากลด้านความมั่นคงปลอดภัยของระบบควบคุมอุตสาหกรรม ครอบคลุมตั้งแต่การออกแบบไปจนถึงการตรวจสอบ
ISA/IEC 61511: ครอบคลุมระบบเครื่องมือความปลอดภัยที่ความปลอดภัยและความมั่นคงปลอดภัยไซเบอร์มีจุดเชื่อมต่อกัน

ระบบควบคุมอุตสาหกรรม (ICS) คืออะไร และทำไมจึงมีความสำคัญต่อความมั่นคงปลอดภัยไซเบอร์

ระบบควบคุมอุตสาหกรรม (ICS) คือโซลูชันฮาร์ดแวร์และซอฟต์แวร์ที่ใช้ตรวจสอบ ควบคุม และทำให้กระบวนการต่าง ๆ ในอุตสาหกรรม เช่น การผลิต พลังงาน การบำบัดน้ำ และการขนส่ง เป็นไปโดยอัตโนมัติ องค์ประกอบสำคัญประกอบด้วยระบบ SCADA สำหรับการดูแลระยะไกล ระบบควบคุมแบบกระจาย (DCS) สำหรับการควบคุมโรงงานแบบรวมศูนย์ PLC สำหรับงานเฉพาะในโรงงาน และ HMI ที่ช่วยให้ผู้ปฏิบัติงานมองเห็นและจัดการกระบวนการต่าง ๆ นอกเหนือจากการรับประกันการดำเนินงานที่ปลอดภัยและมีประสิทธิภาพแล้ว ICS ยังมีความสำคัญต่อการป้องกันการโจมตีทางไซเบอร์ที่อาจทำให้โครงสร้างพื้นฐานสำคัญเกิดความขัดข้อง พระราชบัญญัติความยืดหยุ่นทางไซเบอร์ (CRA) เน้นย้ำถึงความเร่งด่วนนี้ และ Festo จะรับประกันความปลอดภัยของผลิตภัณฑ์และสนับสนุนลูกค้าด้วยโซลูชันอัตโนมัติที่ปฏิบัติตามข้อกำหนดและน่าเชื่อถือ

วิธีที่พระราชบัญญัติความยืดหยุ่นทางไซเบอร์ของสหภาพยุโรป (CRA) เสริมความมั่นคงปลอดภัยไซเบอร์

พระราชบัญญัติความยืดหยุ่นทางไซเบอร์ของสหภาพยุโรป (CRA) เป็นข้อบังคับที่ออกแบบมาเพื่อรับประกันว่าผลิตภัณฑ์ที่เชื่อมต่อกันทั้งหมดที่มีองค์ประกอบดิจิทัล ทั้งฮาร์ดแวร์และซอฟต์แวร์มีความปลอดภัยตั้งแต่การออกแบบ มีความปลอดภัยเป็นค่าเริ่มต้น และมีความปลอดภัยตลอดวงจรชีวิตของผลิตภัณฑ์ ข้อบังคับนี้มีผลบังคับใช้กับผู้ผลิต ผู้นำเข้า และผู้จัดจำหน่ายที่นำผลิตภัณฑ์ดังกล่าวเข้าสู่ตลาดสหภาพยุโรป

ข้อผูกพันสำคัญประกอบด้วย:

การประเมินความเสี่ยงและการประเมินความมั่นคงปลอดภัยไซเบอร์ก่อนนำผลิตภัณฑ์ออกสู่ตลาด
การอัปเดตความปลอดภัยอย่างต่อเนื่องและการจัดการช่องโหว่
เครื่องหมาย CE (Conformité Européenne) เพื่อยืนยันการปฏิบัติตามข้อกำหนด
การรายงานช่องโหว่ที่ถูกใช้ประโยชน์ต่อ ENISA ตั้งแต่เดือนกันยายน 11, 2026

การปฏิบัติตามข้อกำหนดอย่างครบถ้วนจะบังคับใช้ตั้งแต่เดือนธันวาคม 11, 2027 โดยมีโทษปรับสูงถึง 15 ล้านยูโรหรือ 2.5% ของยอดขายทั่วโลกหากไม่ปฏิบัติตาม

ข้อมูลเพิ่มเติมเกี่ยวกับ EU CRA

“ข้อบังคับใหม่กำหนดให้อัปเดตความปลอดภัยอย่างต่อเนื่อง นอกจากนี้ยังสนับสนุนความโปร่งใสเกี่ยวกับความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์ ซึ่งช่วยให้องค์กรรักษาความคุ้มครองที่แข็งแกร่งตลอดวงจรชีวิตของผลิตภัณฑ์”

Eberhard Klotz, ผู้อำนวยการฝ่ายขาย อุตสาหกรรม 4.0 และการดิจิทัลไลเซชัน

Festo สนับสนุนลูกค้าอย่างไรภายใต้พระราชบัญญัติความยืดหยุ่นทางไซเบอร์ (Cyber Resilience Act – CRA)

ฮาร์ดแวร์และซอฟต์แวร์ของ Festo ที่มีอินเทอร์เฟซดิจิทัล เช่น PLC คอมพิวเตอร์เอดจ์ ขั้ววาล์ว ตัวควบคุมการเคลื่อนที่ เครื่องมือวิศวกรรม และแอปพลิเคชันวิเคราะห์ที่ใช้ AI อยู่ภายใต้ขอบเขตของ CRA เพื่อสนับสนุนการปฏิบัติตาม CRA Festo มีเครื่องมือโอเพนซอร์สสำหรับสร้าง แก้ไข และตรวจสอบ CycloneDX SBOM ช่วยให้ผู้ใช้งานสามารถบันทึกรายการซอฟต์แวร์ที่ใช้และตรวจหาช่องโหว่ได้ เราช่วยผู้สร้างเครื่องจักร ผู้จัดจำหน่าย และผู้นำเข้าจัดการการปฏิบัติตาม CRA ตามกรอบเวลา เอกสาร และความมั่นคงปลอดภัย

แม้ว่าจะยังไม่มีผลิตภัณฑ์ใดที่ปฏิบัติตาม CRA แต่ Festo ได้รับการรับรอง IEC 62443-4-1 สำหรับการพัฒนาอย่างปลอดภัย ซึ่งผ่านการตรวจสอบโดย TÜV Süd และนำวิธีการวิเคราะห์ภัยคุกคามและความเสี่ยง (TARA) มาใช้เพื่อตรวจหาความเสี่ยงที่อาจเกิดขึ้นจากการใช้ผลิตภัณฑ์ของเราและบรรเทาความเสี่ยงเหล่านั้น เรามั่นใจว่าภายในเดือนธันวาคม 2027 ลูกค้าจะสามารถใช้โซลูชันของ Festo ได้อย่างมั่นใจและปฏิบัติตามข้อกำหนดของสหภาพยุโรป

ดู Festo บน GitHub

บทสรุปสำหรับผู้บริหาร

CRA กำหนดกฎความปลอดภัยของผลิตภัณฑ์ใหม่ที่เข้มงวดสำหรับผลิตภัณฑ์ที่เชื่อมต่อกันทั้งหมดที่มีองค์ประกอบดิจิทัลในสหภาพยุโรป
การปฏิบัติตามบางส่วนภายในเดือนกันยายน 2026 และการปฏิบัติตามครบถ้วนบังคับใช้ภายในเดือนธันวาคม 2027
Festo ได้รับการรับรองจาก TÜV สำหรับการพัฒนาอย่างปลอดภัยตั้งแต่ 2022
ลูกค้าสามารถเชื่อมั่นในพอร์ทัล PSIRT ของ Festo และการเตรียมความพร้อมเชิงรุกสำหรับ CRA

บทบาทภายใต้ CRA และผู้ติดต่อด้านความมั่นคงปลอดภัยที่ Festo

CRA มีผลต่อบทบาททั้งหมดในงานด้านอัตโนมัติ: ผู้ผลิตอุปกรณ์ต้นแบบ (OEM) ต้องพิสูจน์ว่าเครื่องจักรเป็นไปตามข้อกำหนด ผู้รวมระบบ (Integrators) มีความรับผิดชอบต่อความปลอดภัยของส่วนประกอบ ผู้ปฏิบัติงานต้องได้รับความมั่นใจในความต่อเนื่อง และเจ้าหน้าที่จัดซื้อสินค้าต้องประเมินซัพพลายเออร์เกี่ยวกับความพร้อม ความท้าทายที่ใหญ่ที่สุดคือความไม่แน่นอนเกี่ยวกับการรับรอง วงจรชีวิตของผลิตภัณฑ์ และการจัดหา ซึ่งเราแก้ไขด้วยความโปร่งใสและมาตรการที่มีเอกสารรองรับ Festo สอดคล้องกับ ISO/IEC 29147 และ ISO/IEC 30111

สามารถรายงานช่องโหว่ไปยังทีมตอบสนองเหตุการณ์ความปลอดภัยของผลิตภัณฑ์ (PSIRT) ของเราได้ผ่านแบบฟอร์มติดต่อหรืออีเมล psirt@festo.com และบนเว็บไซต์ของเรา เราจะเผยแพร่คำแนะนำที่ออกแล้วอย่างโปร่งใส พร้อมระบุช่องโหว่ที่ทราบและที่แก้ไขแล้ว

ไปยังพอร์ทัล PSIRT

รายการตรวจสอบการปฏิบัติตามความมั่นคงปลอดภัยไซเบอร์สำหรับ CRA แบบทีละขั้นตอน

☑ ทำความเข้าใจว่า CRA มีผลกระทบต่อเครื่องจักร การดำเนินงาน และการจัดซื้ออย่างไร

☑ ยืนยันความพร้อมของซัพพลายเออร์ในการปฏิบัติตาม CRA ตอนนี้ – อย่ารอจนถึง 2027

☑ ใช้คำแนะนำ แถลงการณ์ และเอกสารความมั่นคงปลอดภัยของ Festo สำหรับการวางแผน

☑ รักษาความสอดคล้องกับข้อกำหนด IEC 62443 และ CRA เพื่อลดความเสี่ยงด้านการปฏิบัติตามข้อกำหนด

☑ เชื่อมั่นใน Festo ในฐานะพันธมิตรที่เชื่อถือได้ด้านความปลอดภัยของผลิตภัณฑ์

ความมั่นคงปลอดภัยไซเบอร์พบกับการเรียนรู้ตลอดชีวิต

สนใจเกี่ยวกับพระราชบัญญัติความยืดหยุ่นทางไซเบอร์ (Cyber Resilience Act) และผลกระทบต่อระบบอัตโนมัติหรือไม่ ชมวิดีโอของเราเรื่อง ‘Cyber Resilience Act – Explained in5 Minutes’ และ ‘Enabling Technologies - Big Data, Cloud & Cybersecurity’ บนพอร์ทัลการเรียนรู้ออนไลน์ Festo LX เพื่อทำความเข้าใจสาระสำคัญของ CRA อย่างรวดเร็ว และวิธีเตรียมความพร้อมในฐานะผู้ผลิตเพื่อให้สอดคล้องกับข้อกำหนดกำหนด

ไปยังวิดีโอ Festo LX