Endüstriyel ağ güvenliğinde riskler nasıl en aza indirilir ve Avrupa Birliği Siber Dayanıklılık Yasası'na (CRA) nasıl uyum sağlanır?

Endüstriyel otomasyonda siber güvenlik artık isteğe bağlı değil, elzemdir. Endüstri 4.0 ilerledikçe, bağlı sistemler siber saldırılar ve gelişen düzenlemeler nedeniyle artan risklerle karşı karşıya kalmaktadır. Bu makale Festo'nun siber güvenlik ve ürün güvenliğinde uyumluluğu ve güvenilirliği nasıl sağladığını ve Avrupa Birliği'nin Siber Dayanıklılık Yasası'nın (CRA) endüstriyel ağ güvenliği için neden önemli olduğunu araştırıyor.

OT Güvenliği Nedir ve Siber Güvenlikte Neden Önemlidir?

Operasyonel Teknoloji (OT) güvenliği, üretim, robotik, enerji şebekeleri ve kritik altyapıyı kapsayan endüstriyel operasyonları kontrol eden sistemleri korur. OT doğrudan fiziksel süreçleri yönettiğinden, korunması güvenlik, güvenilirlik ve kesintisiz üretim için hayati önem taşır.

Siber saldırılar giderek daha karmaşık hale geldikçe, OT güvenliğini sağlamak için ürün güvenliği artık çok önemlidir. Bir ihlal operasyonları durdurabilir, ekipmana zarar verebilir, büyük mali ve güvenlik risklerine neden olabilir ve potansiyel veri kaybına yol açabilir. Bu durum, eski sistemler, gerçek zamanlı talepler ve BT ile OT ağlarının yakınsaması için özel stratejileri gerekli kılmaktadır.

OT Güvenliğini Şekillendiren Temel Düzenlemeler ve Standartlar Şunlardır:

• Siber Dayanıklılık Yasası (CRA): Dijital unsurlar içeren ürünler, özellikle de bağlı cihazlar için AB çapında daha yüksek güvenlik gereksinimleri belirler.
• Ocak ayından itibaren geçerli olan AB Makine Yönetmeliği (AB) 2023/1230 20, 2027, ürünlerin yolsuzluk ve manipülasyona karşı korunmasını gerektirmektedir.
• Ekim ayından itibaren geçerli olan AB NIS2 Direktifi (AB) 2022/2555 18, 2024, temel ve önemli kuruluşlar için daha yüksek siber güvenlik gereklilikleri belirlemektedir.
• NIST SP 800-82: OT mimarileri, tehdit azaltma ve müdahale için en iyi uygulamaları içeren ABD kılavuzu.
• Şeffaflığı ve güvenliği artırmak için bir yazılım ürünündeki tüm kütüphaneleri ve bağımlılıkları listeleyen bir Yazılım Malzeme Listesi (SBOM).
• IEC 62443: Tasarımdan izlemeye kadar endüstriyel kontrol sistemi güvenliği için uluslararası standart.
• ISA/IEC 61511: Güvenlik ve siber güvenliğin kesiştiği güvenlik enstrümanlı sistemleri ele alır.

Endüstriyel Kontrol Sistemleri (ICS) Nedir ve Siber Güvenlik Açısından Neden Kritiktir?

Endüstriyel Kontrol Sistemleri (ICS) imalat, enerji, su arıtma ve ulaşım gibi sektörlerdeki süreçleri izleyen, kontrol eden ve otomatikleştiren donanım ve yazılım çözümleridir. Temel bileşenler arasında uzaktan gözetim için SCADA sistemleri, merkezi tesis kontrolü için Dağıtılmış Kontrol Sistemleri (DCS), belirli fabrika görevleri için PLC'ler ve operatörlerin süreçleri görselleştirmesini ve yönetmesini sağlayan HMI'lar bulunur. ICS, güvenli ve verimli operasyonlar sağlamanın ötesinde, temel altyapıyı bozabilecek siber saldırılara karşı savunma için kritik öneme sahiptir. Siber Dayanıklılık Yasası (CRA) bu aciliyeti vurgulamaktadır ve Festo ürün güvenliğini sağlayacak ve müşterileri uyumlu ve güvenilir otomasyon çözümleriyle destekleyecektir.

Avrupa Birliği'nin CRA'sı Siber Güvenliği Nasıl Güçlendiriyor?

AB Siber Dayanıklılık Yasası, dijital unsurlara (donanım ve yazılım) sahip tüm bağlantılı ürünlerin tasarım itibariyle güvenli, varsayılan olarak güvenli ve yaşam döngüleri boyunca güvenli olmalarını sağlamak üzere tasarlanmış bir düzenlemedir. Bu tür ürünleri AB pazarına sunan üreticiler, ithalatçılar ve distribütörler için geçerlidir.

Temel yükümlülükler şunlardır

• Ürünler piyasaya sürülmeden önce risk değerlendirmeleri ve siber güvenlik değerlendirmeleri
• Sürekli güvenlik güncellemeleri ve güvenlik açığı yönetimi
• Uyumluluğu kanıtlamak için CE (Conformité Européenne) işareti
• Eylül ayından itibaren istismar edilen güvenlik açıklarının ENISA'ya bildirilmesi 11, 2026

Tam uyum Aralık ayında zorunlu hale geliyor 11, 2027, uyumsuzluk için 15 milyon Avro'ya veya küresel cironun %2,5'ine varan cezalar uygulanacak.

Festo Siber Dayanıklılık Yasası Kapsamında Müşterilerini Nasıl Destekliyor?

PLC'ler, uç bilgisayarlar, valf terminalleri, hareket kontrolörleri, mühendislik araçları ve yapay zeka tabanlı analitik uygulamalar gibi dijital arayüzlere sahip Festo donanım ve yazılımları CRA'ya tabidir. CRA ile uyumluluğu desteklemek için Festo, CycloneDX SBOM'ları oluşturmak, düzenlemek ve doğrulamak için açık kaynaklı bir araç sunarak kullanıcıların kullanılan yazılım bileşenlerini belgelemesine ve güvenlik açıklarını tespit etmesine yardımcı oluyor. Makine üreticilerinin, distribütörlerin ve ithalatçıların zaman çizelgeleri, dokümantasyon ve güvenlik konularında CRA uyumluluğunu yönetmelerine yardımcı oluyoruz.

Henüz hiçbir ürün CRA uyumlu olmasa da Festo, TÜV Süd tarafından denetlenen güvenli geliştirme için IEC 62443-4-1 sertifikasına sahiptir ve ürünlerimizi kullanırken olası riskleri belirlemek ve bunları azaltmak için Tehdit ve Risk Analizi (TARA) yöntemlerini uygular. Aralık ayına kadar 2027, müşterilerin Festo çözümlerini AB yönetmeliklerine uygun olarak güvenle kullanabilmelerini sağlıyoruz.

Festo'da CRA ve Güvenlik İrtibatı Altındaki Roller

CRA, otomasyondaki tüm rolleri etkiler: OEM'ler makinelerin uygunluğunu kanıtlamalı, entegratörler güvenli bileşenlerden sorumlu olmalı, operatörler süreklilik güvencesine ihtiyaç duymalı ve satın alma görevlileri tedarikçileri hazır olup olmadıkları konusunda değerlendirmelidir. En büyük zorluk, şeffaflık ve belgelendirilmiş önlemlerle ele aldığımız sertifikasyon, ürün yaşam döngüleri ve kaynak kullanımı konusundaki belirsizliktir. Festo, ISO/IEC 29147 ve ISO/IEC 30111 ile uyumludur.

Güvenlik açıkları, iletişim formu veya e-posta yoluyla Ürün Güvenliği Olay Müdahale Ekibimize (PSIRT) bildirilebilir psirt@festo.com ve web sitemizde, bilinen ve düzeltilen güvenlik açıklarını içeren yayınlanmış tavsiyeleri şeffaf bir şekilde yayınlıyoruz.

CRA için Adım Adım Siber Güvenlik Uyum Kontrol Listeniz

cRA'nın makineleri, operasyonları ve tedariki nasıl etkilediğini anlayın.

tedarikçilerinizin CRA hazırlığını şimdi teyit edin - 2027 adresine kadar beklemeyin.

planlama için Festo'nun tavsiyelerini, beyanlarını ve güvenlik belgelerini kullanın.

uyumluluk risklerinden kaçınmak için IEC 62443 ve CRA gereklilikleri ile uyumlu kalın.

ürün güvenliğinde güvenilir ortağınız olarak Festo'ya güvenin.