Mobil makineler için çözümler
Siber güvenlik: OEM'lerin neden şimdi harekete geçmesi gerekiyor?
Siber Dayanıklılık Yasası (CRA), mobil makineler için uyumluluk gerekliliklerini temelden değiştiriyor. "Güvenlik, Emniyet ve Yapay Zeka" blog dizimizin üçüncü bölümünde, üreticilerin mobil makinelerini nasıl güvence altına alabileceklerini ve maliyetleri nasıl kontrol altında tutabilecekleri ele alınmaktadır.
Bu gerçek bir zorluk: 11 Aralık 2027 tarihinden itibaren Siber Dayanıklılık Yasası (CRA), AB'de pazara yeni sunulan, dijital unsurlar içeren tüm ürünler için tamamen zorunlu hale gelecektir. 11 Haziran 2026 tarihinden itibaren uygunluk değerlendirmesine ilişkin süreler kısalacak; 11 Eylül 2026 tarihinden itibaren ise güvenlik olaylarına ilişkin raporlama yükümlülükleri devreye girecektir. Arazi araçları (off-highway) üreticileri, bir ürünün geliştirme, işletme ve hizmetten çıkarma aşamalarını kapsayan tüm yaşam döngüsü boyunca siber güvenliği sağlamakla yükümlüdür. Bu doğrultuda OEM’ler, siber güvenlik ile işlevsel güvenliği bir araya getirirken, seri üretimde hâlen kullanılan tüm eski sistemleri de dönüştürmek zorundadır. Blog serimizin üçüncü bölümü olan “Güvenlik, Emniyet ve Yapay Zeka” siber güvenliğe ve OEM'lerin uyumluluk gerekliliklerini nasıl rekabet avantajı haline getirebileceklerine odaklanıyor.
CRA mobil makineler için ne anlama geliyor?
CRA'nın gerekliliklerine göre siber güvenlik, geliştirmenin en başından itibaren tüm ürün yaşam döngüsü boyunca Tasarımda Güvenlik (Security-by-Design) yaklaşımıyla ele alınmalıdır. Bu kapsamda şunlar yer almaktadır:
- Risk analizleri ve tehdit değerlendirmeleri (TARA)
- Güvenlik önlemlerinin kanıtlanması / Güvenlik önlemlerine ilişkin belgeler
- Çalışma sırasında güvenlik izleme ve olay yönetimi
Mobil makineler için bu, karmaşık bir süreçtir; çünkü bu makineler yüksek düzeyde ağ bağlantısına sahiptir, zorlu çalışma ortamlarında faaliyet gösterir ve bazı durumlarda açık mimarilere sahiptir. – ve tüm bu faktörler saldırı riskini artırır. CRA uyumluluğunu ihmal edenler, yüksek para cezaları (küresel yıllık cirosunun %2'sine kadar), önemli sigorta, sorumluluk ve itibar kaybı riskinin yanı sıra pazar erişiminin kaybı (örn. eksik CE sertifikası nedeniyle) ile karşı karşıya kalabilirler. Basitçe ifade etmek gerekirse: Sadece CRA uyumlu makineler, AB iç pazarında piyasaya sürülebilecektir. Bu nedenle asıl soru şudur: Sınırlı kaynaklara sahip OEM'ler, maliyetleri uçurmadan veya makinelerini AB'de satmaları engellenmeden güvenlik uyumluluğunu nasıl sağlayabilirler?
Garantili güvenlik uyumluluğunu birlikte sağlamak
BODAS ile Bosch Rexroth, OEM’lerin karmaşık düzenleyici gereklilikleri uygulamalarına destek olan bütünsel bir ekosistem sunmaktadırr. Temel dayanak, Bosch’un otomotiv sektöründeki kanıtlanmış güvenlik süreçleri ve teknolojileri olup, Bosch Rexroth bunu kapsamlı arazi (off-highway) deneyimi ile mobil makinelere uyarlamıştır. Çok önemli bir nokta: BODAS'ın modüler çözümler, ürünler ve destek hizmetlerinden oluşan eksiksiz ürün yelpazesi, ISO 21434 standardına dayanmaktadır ve – güvenlik tasarımından uygulamaya, hizmetten çıkarma aşamasına kadar, ayrıca güvenlik açığı ve olay yönetimi dahil tüm yaşam döngüsünü kapsamaktadır.
Tutarlı, şeffaf, geleceğe hazır: Bosch’un otomotiv sektöründeki kanıtlanmış çözüm ve süreçleri, mobil makinelerde de CRA uyumluluğunu güvenilir şekilde sağlar. (Grafik: Bosch Rexroth AG)
1. Metodolojik Temel: Güvenlik Mühendisliği Süreci
Tasarım Gereği Güvenlik yaklaşımının bir parçası olarak, OEM'ler tüm ürün yaşam döngüsü boyunca (tasarım ve üretimden işletime kadar, örn. CE sertifikasyonu için) siber güvenliği kanıtlamalıdır. Net bir güvenlik süreci olmadan bu neredeyse imkansızdır.
Çözüm yaklaşımı: Bosch Rexroth ile iş birliği yapan OEM'ler, Bosch'un otomotiv sektöründe kanıtlanmış güvenlik mühendisliği sürecinden faydalanır. BODAS Ekosistemi de bu süreci sağlam bir temel olarak kullanır. Bu süreç; geliştirme, üretim ve işletim için açık kılavuzlar, kullanılan ürünlerin (kontrolörler, telematik üniteleri veya yardım fonksiyonları) belgelenmiş uygunluğu, ve güvenlik ile emniyetin tutarlı bir yaşam döngüsü modeline entegrasyonunu kapsar.
2. Süreç Uygulaması: Riskleri Belirleme, Değerlendirme ve Güvence Altına Alma
Uygulama aşamasında, tanımlanan güvenlik süreci hayata geçirilir. Risk değerlendirmesi, hem bu aşamada hem de ürünün sonraki yaşam döngüsü boyunca çok önemli bir rol oynar. Tehdit Analizi ve Risk Değerlendirmeleri (TARA) çerçevesinde saldırı yüzeyleri sistematik olarak tanımlanır ve değerlendirilir. Ayrıca OEM'ler belirlenen güvenlik risklerini kabul edilebilir bir düzeye getirmek için somut önlemler tanımlamalıdır. Dahası, bir Yazılım Ürün Reçetesi (SBOM) aracılığıyla kullanılan her yazılım bileşeni için şeffaf kanıtlar zorunlu kılınmaktadır. Tüm güvenlik özellikleri en son teknolojiye sahip olmalı ve standartlardaki gelişmelere uyum sağlayabilmek için güncellenebilir olmalıdır.
Çözüm yaklaşımı: Bosch Rexroth, her BODAS yazılımı için TARA ve SBOM yükümlülüklerini tutarlı bir şekilde uygulayarak OEM'lerin uygulama çabalarını azaltmaktadır. Bu sayede OEM’ler, kendi kanıt yükümlülüklerini kolayca yerine getirebilir ve olay yönetimi için etkili önlemleri belirleyip belgeler. Güvenli Önyükleme, Güvenli Günlük Kaydı, şifreleme veya dijital imzalar gibi son teknoloji güvenlik özellikleri, BODAS Ekosisteminde standarttır ve sürekli olarak daha da geliştirilmektedir. Ayrıca Bosch Rexroth, kullanıma hazır API'ler, kullanıma hazır araç zincirleri ve CRA yazılımı geçiş desteği sağlayarak OEM'lerin CRA güvenlik uyumluluğunu daha da verimli bir şekilde yerine getirmelerine yardımcı olur.
3. Güvenlik İzleme - İşletme Sırasında Güvenliği Sağlama
Uygulama tamamlandı, görev bitti mi? Kesinlikle hayır. Teslimattan sonra bile güvenlik, sürekli devam eden bir görevdir. Üreticiler, sistemlerini izlemek, güvenlik olaylarını tespit etmek ve değerlendirmek ve bunları müşterilere ve yetkililere raporlamakla yükümlüdür. Ürünün yaşam döngüsü boyunca güvenlik sürecinin en uzun aşaması olan güvenlik izleme sırasında, OEM’ler potansiyel güvenlik açıklarını sürekli takip etmelidir. Bu açıklar her an ortaya çıkabileceği için kesintisiz güvenlik açığı yönetimi de zorunludur. Bir güvenlik olayı meydana gelirse, güvenlik açıkları hızlı bir şekilde ve makine kesintisi olmadan kapatılmalıdır.
Çözüm yaklaşımı: Operasyonel aşamada bile OEM’ler, güvenlik söz konusu olduğunda BODAS Ekosisteminin ürün kalitesine tamamen güvenebilirler. BOSCH Olay İzleme Sistemi, güvenlik olaylarının değerlendirilmesi ve raporlanması için yapılandırılmış süreçlerle kanıtlanmış altyapıyı bir araya getirir ve olay yönetimi, güvenlik açığı yönetimi ve 7/24 izleme dahil olmak üzere tüm CRA gerekliliklerini kullanıma hazır şekilde karşılar. BOSCH Olay Müdahale Ekibi, tüm Rexroth sistemlerini sürekli izler, alarmları analiz eder ve sonuçları kamuya açık güvenlik açığı veri tabanlarıyla karşılaştırır. OEM’ler, BODAS Over-the-Air (OTA) hizmetleri ile gerektiğinde yamaları ve güncellemeleri bireysel makinelere veya belirli filo segmentlerine verimli, güvenli ve izlenebilir şekilde aktarabilir. Önemli bir avantaj: Tescilli olmayan Flashing over the Air (FOTA) teknolojisi, üçüncü taraf IoT çözüm sağlayıcılarıyla (BODAS OTA İş Ortağı) da uyumludur.
Birlikte Başlamak - Verimli ve Güvenli
Güvenlik söz konusu olduğunda, erken önlem almak kazanç sağlar. Araç filolarının tamamı için düzenleyici güvenlik önlemlerini uygun şekilde belirleyen ve uygulayanlar, AB iç pazarına erişimlerini güvence altına alır ve böylece açık bir rekabet avantajı elde ederler. İyi haber: OEM'ler karmaşık gereklilikleri tek başlarına karşılamak zorunda değildir. Bosch Rexroth ile birlikte, uyumlu BODAS Ekosistemi ve Bosch'un otomotiv sektöründeki kanıtlanmış süreçleri ile birlikte, ISO21434'e göre güvenlik yaşam döngüsünün her bir proje aşamasını, güvenlik mühendisliğinden uygulamaya, izlemeden olay yönetimine kadar, önemli ölçüde azaltılmış bir çabayla yönetebilirler.
Ama bu, işin sadece bir yönüdür. Çünkü Bosch Rexroth ve BODAS Ekosistemi ile birlikte mobil makine üreticileri, tamamen geleceğe hazır bir araç filosunun temellerini atar. Kanıtlanmış ve modüler BODAS platformu çok sayıda avantaj sunar: Gerektiğinde yeni işlevlerin entegrasyonuna açıktır, tüm makine serilerini verimli şekilde güvence altına alacak biçimde ölçeklenebilir ve piyasada yenilikçi makinelerle hızlı, verimli ve güvenli bir şekilde öne çıkmayı mümkün kılacak şekilde kolayca erişilebilirdir.
Siz de uyumluluğu güven, pazar konumu ve geleceğin güvenliği için bir itici güç olarak görüyor musunuz? myBODAS Topluluğu'nun uzmanları ve üyeleriyle hemen tanışın ve bilgi avantajını elde edin veya Güvenlik ve Emniyet Danışmanlığı konusunda doğrudan bizimle iletişime geçin.
» BODAS Premium Destek ve Danışmanlık
"Mobil İş Makineleri için Güvenlik, Emniyet ve Yapay Zeka" başlıklı bu blog dizisindeki tüm makaleler:
01. Siber Güvenlik, İşlevsel Güvenlik ve Yapay Zeka: Arazi aracı (off-highway) üreticileri için şu anda önemli olan hususlar
02. İşlevsel güvenlik: Orijinal ürün üreticileri (OEM) AB Makine Yönetmeliği, Siber Dayanıklılık Yasası (CRA) ve Yapay Zeka Yasası'nın (AI Act) gerekliliklerini nasıl yerine getiriyor?
03. Siber güvenlik: OEM'lerin neden şimdi harekete geçmesi gerekiyor?
Yves Dasse, Bosch Rexroth'un Mobil Çözümler İş Birimi'nde Bosch Siber Güvenlik Uzmanı ve Yazılım Geliştirme Mükemmellik Sorumlusu olarak görev yapmaktadır. Arazi araçları (off-highway) ve otomotiv alanlarında sistem geliştirme konusunda geniş deneyime sahiptir.
Wanjing Su, Bosch Rexroth Mobil Çözümler İş Birimi'nde Yazılım Grup Lideridir. Arazi araçları (off-highway) için İşlevsel Güvenlik, gömülü yazılım ve araç yazılımı geliştirme alanlarında kapsamlı deneyime sahiptir.
Martin Sykora, Bosch Rexroth’ta Mobil Elektronikler Satış Müdürü olarak görev yapmaktadır. Bosch Group’ta 22 yılı aşkın süredir çalışan Martin, mobil elektronikler alanında 19 yıldan fazla deneyime sahiptir. Martin ve ekibi, mobil iş makinelerinin dijital dönüşümünü desteklemek üzere BODAS tabanlı çözümler arayan mobil müşteriler için küresel iletişim noktası olarak görev yapmaktadır.