1. Homepage

  2. Về Festo

  3. Blog

  4. Đổi mới

  5. An ninh mạng

Làm thế nào để giảm thiểu rủi ro trong bảo mật mạng công nghiệp và tuân thủ Đạo luật phục hồi mạng của Liên minh Châu Âu (CRA)

An ninh mạng trong tự động hóa công nghiệp không còn là tùy chọn nữa mà là điều cần thiết. Khi Công nghiệp 4.0 phát triển, các hệ thống kết nối phải đối mặt với rủi ro ngày càng tăng từ các cuộc tấn công mạng và các quy định ngày càng thay đổi. Bài viết này tìm hiểu cách Festo đảm bảo sự tuân thủ và độ tin cậy trong an ninh mạng và bảo mật sản phẩm – và lý do tại sao Đạo luật phục hồi an ninh mạng (CRA) của Liên minh Châu Âu lại quan trọng đối với an ninh mạng công nghiệp.

Bảo mật OT là gì và tại sao nó lại quan trọng trong an ninh mạng?

Bảo mật Công nghệ vận hành (OT) bảo vệ các hệ thống kiểm soát hoạt động công nghiệp – bao gồm sản xuất, robot, lưới điện và cơ sở hạ tầng quan trọng. Vì OT quản lý trực tiếp các quy trình vật lý nên việc bảo vệ OT rất quan trọng đối với sự an toàn, độ tin cậy và sản xuất không bị gián đoạn.

Khi các cuộc tấn công mạng ngày càng tinh vi, bảo mật sản phẩm hiện đóng vai trò quan trọng để đảm bảo an ninh OT. Vi phạm có thể làm dừng hoạt động, làm hỏng thiết bị, gây ra rủi ro lớn về tài chính và an toàn, cũng như có khả năng mất dữ liệu. Điều này khiến các chiến lược phù hợp trở nên cần thiết cho các hệ thống cũ, nhu cầu thời gian thực và sự hội tụ của mạng CNTT và OT.

Các quy định và tiêu chuẩn chính định hình bảo mật OT bao gồm:

  • Đạo luật phục hồi an ninh mạng (CRA): Đặt ra các yêu cầu bảo mật cao hơn trên toàn EU đối với các sản phẩm có thành phần kỹ thuật số, đặc biệt là các thiết bị được kết nối.
  • Quy định về máy móc của EU (EU) 2023/1230, có hiệu lực từ tháng 1202027, yêu cầu các sản phẩm phải được bảo vệ chống lại nạn tham nhũng và thao túng.
  • Chỉ thị NIS2 (EU) 2022/2555 của EU, có hiệu lực từ tháng 10182024, đặt ra các yêu cầu an ninh mạng cao hơn đối với các thực thể thiết yếu và quan trọng.
  • Tiêu chuẩn NIST SP 800-82: Hướng dẫn của Hoa Kỳ về các biện pháp tốt nhất cho kiến trúc OT, giảm thiểu mối đe dọa và ứng phó.
  • Danh sách vật liệu phần mềm (SBOM) liệt kê tất cả các thư viện và phụ thuộc trong sản phẩm phần mềm để cải thiện tính minh bạch và bảo mật.
  • Tiêu chuẩn IEC 62443: Tiêu chuẩn quốc tế về bảo mật hệ thống điều khiển công nghiệp, từ thiết kế đến giám sát.
  • ISA/IEC 61511: Xử lý các hệ thống thiết bị an toàn nơi an toàn và an ninh mạng giao thoa.

Hệ thống điều khiển công nghiệp (ICS) là gì và tại sao chúng lại quan trọng đối với an ninh mạng?

Hệ thống điều khiển công nghiệp (ICS) là các giải pháp phần cứng và phần mềm giám sát, kiểm soát và tự động hóa các quy trình trong nhiều ngành công nghiệp như sản xuất, năng lượng, xử lý nước và vận tải. Các thành phần chính bao gồm hệ thống SCADA để giám sát từ xa, Hệ thống điều khiển phân tán (DCS) để điều khiển nhà máy tập trung, PLC cho các nhiệm vụ cụ thể của nhà máy và HMI cho phép người vận hành hình dung và quản lý quy trình. Ngoài việc đảm bảo hoạt động an toàn và hiệu quả, ICS còn đóng vai trò quan trọng trong việc phòng thủ trước các cuộc tấn công mạng có thể phá vỡ cơ sở hạ tầng thiết yếu. Đạo luật phục hồi an ninh mạng (CRA) nhấn mạnh tính cấp bách này và Festo sẽ đảm bảo an ninh sản phẩm và hỗ trợ khách hàng bằng các giải pháp tự động hóa đáng tin cậy và tuân thủ.

CRA của Liên minh Châu Âu tăng cường an ninh mạng như thế nào

Đạo luật phục hồi an ninh mạng của EU là quy định được thiết kế nhằm đảm bảo rằng tất cả các sản phẩm được kết nối với các thành phần kỹ thuật số—phần cứng và phần mềm—đều an toàn theo thiết kế, an toàn theo mặc định và an toàn trong suốt vòng đời của chúng. Quy định này áp dụng cho các nhà sản xuất, nhà nhập khẩu và nhà phân phối đưa những sản phẩm như vậy vào thị trường EU.

Các nghĩa vụ chính bao gồm:

  • Đánh giá rủi ro và đánh giá an ninh mạng trước khi đưa sản phẩm ra thị trường
  • Cập nhật bảo mật liên tục và quản lý lỗ hổng
  • Dấu CE (Conformité Européenne) để chứng minh sự tuân thủ
  • Báo cáo các lỗ hổng đã khai thác cho ENISA bắt đầu từ tháng 9112026

Việc tuân thủ đầy đủ sẽ trở thành bắt buộc vào tháng 12112027, với mức phạt lên tới € 15 triệu hoặc 2,5 % doanh thu toàn cầu nếu không tuân thủ.

Tìm hiểu thêm về CRA của EU
Eberhard Klotz

“Quy định mới yêu cầu cập nhật bảo mật liên tục. Nó cũng khuyến khích tính minh bạch về rủi ro an ninh mạng. Điều này giúp các tổ chức duy trì khả năng bảo vệ mạnh mẽ trong suốt vòng đời của sản phẩm.

Eberhard Klotz, Giám đốc bán hàng Công nghiệp 4.0 và Số hóa

Festo hỗ trợ khách hàng như thế nào theo Đạo luật phục hồi an ninh mạng?

Phần cứng và phần mềm Festo có giao diện kỹ thuật số – chẳng hạn như PLC, máy tính biên, đầu cuối van, bộ điều khiển chuyển động, công cụ kỹ thuật và ứng dụng phân tích dựa trên AI – đều phải tuân theo CRA. Để hỗ trợ tuân thủ CRA, Festo cung cấp một công cụ nguồn mở để tạo, chỉnh sửa và xác thực SBOM CycloneDX, giúp người dùng ghi lại các thành phần phần mềm đã sử dụng và phát hiện lỗ hổng. Chúng tôi giúp các nhà sản xuất máy móc, nhà phân phối và nhà nhập khẩu quản lý việc tuân thủ CRA về thời gian, tài liệu và bảo mật.

Mặc dù chưa có sản phẩm nào tuân thủ CRA, Festo vẫn có chứng nhận IEC 62443-4-1 về phát triển an toàn, được TÜV Süd kiểm toán và áp dụng các phương pháp Phân tích rủi ro và mối đe dọa (TARA) để xác định các rủi ro có thể xảy ra khi sử dụng sản phẩm của chúng tôi và giảm thiểu chúng. Chúng tôi đảm bảo rằng đến tháng 122027, khách hàng có thể tự tin sử dụng các giải pháp Festo tuân thủ các quy định của EU.

Xem Festo trên GitHub

Các vai trò trong CRA và Liên hệ bảo mật tại Festo

CRA tác động đến tất cả các vai trò trong tự động hóa: Các OEM phải chứng minh máy móc tuân thủ, các nhà tích hợp chịu trách nhiệm về các thành phần an toàn, các nhà điều hành yêu cầu đảm bảo tính liên tục và các nhân viên mua sắm phải đánh giá mức độ sẵn sàng của các nhà cung cấp. Thách thức lớn nhất là sự không chắc chắn về chứng nhận, vòng đời sản phẩm và nguồn cung ứng, mà chúng tôi giải quyết bằng sự minh bạch và các biện pháp được ghi chép lại. Festo tuân thủ ISO/IEC 29147 và ISO/IEC 30111.

Bạn có thể báo cáo các lỗ hổng bảo mật cho Nhóm ứng phó sự cố bảo mật sản phẩm (PSIRT) của chúng tôi thông qua biểu mẫu hoặc email đến psirt@festo.com và trên trang web, chúng tôi công khai công bố các khuyến cáo đã phát hành với các lỗ hổng đã biết và đã được khắc phục.

Đi đến Cổng thông tin PSIRT

Danh sách kiểm tra tuân thủ an ninh mạng từng bước của CRA

☑ Hiểu cách CRA ảnh hưởng đến máy móc, hoạt động và mua sắm.

☑ Xác nhận ngay sự sẵn sàng của CRA của nhà cung cấp – đừng đợi đến khi 2027.

☑ Sử dụng các khuyến cáo, tuyên bố và tài liệu bảo mật của Festo để lập kế hoạch.

☑ Tuân thủ các yêu cầu của IEC 62443 và CRA để tránh rủi ro tuân thủ.

☑ Hãy tin tưởng Festo là đối tác đáng tin cậy của bạn về bảo mật sản phẩm.

An ninh mạng đáp ứng Học tập suốt đời

Bạn có tò mò về Đạo luật phục hồi an ninh mạng và tác động của nó đến tự động hóa không? Xem video ‘Đạo luật phục hồi mạng – Giải thích trong 5 phút’ và ‘Công nghệ hỗ trợ - Dữ liệu lớn, Đám mây và An ninh mạng’ trên cổng thông tin học tập trực tuyến Festo LX của chúng tôi để nhanh chóng hiểu được những điều cần thiết của CRA và cách chuẩn bị tuân thủ với tư cách là nhà sản xuất.

Đến video Festo LX