Giải pháp cho Di động thiết bị
An ninh mạng: Tại sao các nhà sản xuất OEM phải hành động ngay
Đạo luật về Khả năng Phục hồi Mạng (CRA) về cơ bản đã thay đổi các yêu cầu tuân thủ đối với máy móc di động. Phần ba trong loạt bài đăng trên blog "An toàn, Bảo mật & Trí tuệ nhân tạo" của chúng tôi sẽ trình bày về cách thức các nhà sản xuất bảo vệ máy móc di động và kiểm soát chi phí của mình.
Thách thức này thật sự đang hiện hữu: Đến ngày 11 tháng 12 năm 2027, Đạo luật về Khả năng Phục hồi Mạng (CRA) sẽ chính thức có hiệu lực bắt buộc đối với tất cả các sản phẩm có yếu tố kỹ thuật số mới được đưa ra thị trường EU. Từ ngày 11 tháng 6 năm 2026, thời hạn đánh giá hợp quy sẽ được rút ngắn. Đồng thời, nghĩa vụ báo cáo các sự cố an ninh cũng sẽ được áp dụng từ ngày 11 tháng 9 năm 2026. Các nhà sản xuất thiết bị địa hình phải đảm bảo an ninh mạng trong suốt toàn bộ vòng đời sản phẩm – từ giai đoạn phát triển và vận hành đến khi ngừng sử dụng. Vì mục đích này, các nhà sản xuất OEM đang kết hợp an ninh mạng với an toàn chức năng, đồng thời, họ cũng có nghĩa vụ phải chuyển đổi tất cả các hệ thống kế thừa vẫn đang được sản xuất hàng loạt. Phần ba trong loạt bài đăng trên blog "An toàn, Bảo mật & Trí tuệ nhân tạo" của chúng tôi tập trung vào chủ đề an ninh mạng và cách thức các nhà sản xuất OEM có thể chuyển đổi các yêu cầu về tuân thủ thành lợi thế cạnh tranh.
Đạo luật CRA có ý nghĩa gì đối với máy móc di động?
Theo yêu cầu của CRA, an ninh mạng phải được xem xét theo cách tiếp cận An ninh ngay từ khâu thiết kế, từ giai đoạn bắt đầu phát triển cho đến toàn bộ vòng đời sản phẩm. Điều này bao gồm:
- Phân tích rủi ro và đánh giá mối đe dọa (TARA)
- Bằng chứng về các biện pháp an ninh / Chứng minh việc triển khai các biện pháp an ninh
- Giám sát an ninh và quản lý sự cố trong quá trình vận hành
Đối với máy móc di động, đây là một nhiệm vụ phức tạp vì các hệ thống này có mức độ kết nối cao, vận hành trong môi trường khắc nghiệt và đôi khi có kiến trúc mở, tất cả các yếu tố này đều làm gia tăng bề mặt tấn công. Những tổ chức không tuân thủ CRA sẽ phải đối mặt với mức phạt cao (lên đến 2% doanh thu toàn cầu hàng năm), thiệt hại đáng kể về bảo hiểm, trách nhiệm pháp lý và uy tín, cũng như mất khả năng tiếp cận thị trường (chẳng hạn, do thiếu chứng chỉ CE). Nói một cách đơn giản: Chỉ những máy móc tuân thủ CRA mới được phép đưa ra vận hành tại thị trường nội bộ của EU. Do đó, câu hỏi trọng tâm là: Làm thế nào các nhà sản xuất OEM với nguồn lực hạn chế có thể đạt được tuân thủ an ninh mà không làm chi phí leo thang hoặc bị cản trở bán máy móc tại thị trường EU?
Cùng nhau đạt được tuân thủ an ninh một cách bảo đảm.
Với BODAS, Bosch Rexroth cung cấp một hệ sinh thái toàn diện, hỗ trợ các nhà sản xuất OEM trong việc triển khai các yêu cầu pháp lý phức tạp. Nền tảng: các quy trình và công nghệ an ninh đã được kiểm chứng từ Bosch trong lĩnh vực ô tô, từ đó, Bosch Rexroth đã chuyển giao sang máy móc di động dựa trên kinh nghiệm sâu rộng trong lĩnh vực máy móc ngoài đường bộ. Một điểm then chốt: Danh mục giải pháp BODAS hoàn chỉnh, bao gồm các giải pháp mô-đun, sản phẩm và dịch vụ hỗ trợ, được xây dựng dựa trên tiêu chuẩn ISO 21434 và bao phủ toàn bộ vòng đời sản phẩm – từ thiết kế và triển khai an ninh đến khi ngừng sử dụng, bao gồm cả quản lý lỗ hổng và sự cố.
Nhất quán, minh bạch, sẵn sàng cho tương lai: Các giải pháp và quy trình đã được kiểm chứng của Bosch trong lĩnh vực ô tô giúp đảm bảo tuân thủ chặt chẽ CRA cho máy móc di động. (Hình ảnh: Bosch Rexroth AG)
1. Cơ sở phương pháp luận: Quy trình kỹ thuật bảo mật
Theo cách tiếp cận An ninh ngay từ khâu thiết kế, các nhà sản xuất OEM phải chứng minh việc bảo đảm an ninh mạng xuyên suốt toàn bộ vòng đời của sản phẩm – từ giai đoạn hình thành ý tưởng và sản xuất cho đến vận hành (ví dụ: phục vụ chứng nhận CE). Nếu không có quy trình an ninh rõ ràng, điều này khó có thể thực hiện được.
Cách tiếp cận giải pháp: Với Bosch Rexroth là đối tác, các nhà sản xuất OEM được hưởng lợi từ quy trình kỹ thuật an ninh của Bosch trong lĩnh vực ô tô, đồng thời đây cũng là nền tảng vững chắc cho hệ sinh thái BODAS. Điều này bao gồm các hướng dẫn rõ ràng về các giai đoạn phát triển, sản xuất và vận hành, việc ghi nhận tính hợp quy của các sản phẩm được sử dụng (bộ điều khiển, thiết bị viễn thông hoặc các chức năng hỗ trợ), cũng như việc tích hợp an toàn và bảo mật vào một mô hình vòng đời nhất quán.
2. Triển khai quy trình: Xác định, đánh giá và đảm bảo an toàn trước rủi ro
Trong giai đoạn triển khai, quy trình an ninh đã xác định sẽ được đưa vào thực tiễn. Đánh giá rủi ro đóng vai trò vô cùng quan trọng, cả trong giai đoạn này và xuyên suốt vòng đời tiếp theo của sản phẩm. Trong khuôn khổ Phân tích mối đe dọa và đánh giá rủi ro (TARA), các bề mặt tấn công được xác định và đánh giá một cách có hệ thống. Thêm vào đó, các nhà sản xuất OEM phải xác định các biện pháp cụ thể để đưa các rủi ro an ninh đã được xác định về mức độ chấp nhận được. Hơn nữa, bằng chứng minh bạch cho từng thành phần phần mềm được sử dụng là điều kiện bắt buộc thông qua Danh mục vật liệu phần mềm (SBOM). Tất cả các tính năng an ninh phải đáp ứng trình độ công nghệ tiên tiến hiện hành và có thể cập nhật để theo kịp sự phát triển của các tiêu chuẩn.
Cách tiếp cận giải pháp: Nỗ lực triển khai đối với các nhà sản xuất OEM được giảm thiểu nhờ việc Bosch Rexroth nhất quán thực hiện các nghĩa vụ TARA và SBOM cho mọi phần mềm BODAS. Điều này cho phép các nhà sản xuất OEM dễ dàng hoàn thành các nghĩa vụ chứng minh của riêng họ, đồng thời xây dựng và ghi lại các biện pháp hiệu quả để quản lý sự cố. Các tính năng an ninh tiên tiến như Khởi động an toàn, Ghi nhật ký an toàn, mã hóa hoặc chữ ký số là tiêu chuẩn trong Hệ sinh thái BODAS và liên tục được phát triển hoàn thiện hơn. Hơn nữa, Bosch Rexroth còn giúp các nhà sản xuất OEM đạt được hợp quy an ninh CRA hiệu quả hơn bằng cách cung cấp các API, chuỗi công cụ tạo sẵn và hỗ trợ chuyển đổi phần mềm theo yêu cầu của CRA.
3. Giám sát an ninh – Đảm bảo an ninh trong vận hành
Quá trình triển khai đã hoàn tất, nhiệm vụ đã xong? Hoàn toàn không. Ngay cả sau khi bàn giao, an ninh vẫn là nhiệm vụ có tính liên tục. Các nhà sản xuất có nghĩa vụ giám sát hệ thống của mình, phát hiện và đánh giá các sự cố an ninh, đồng thời báo cáo các sự cố đó cho khách hàng và các cơ quan chức năng. Trong giám sát an ninh, giai đoạn dài nhất của quy trình an ninh trong suốt vòng đời sản phẩm, các nhà sản xuất OEM phải liên tục theo dõi, phát hiện các lỗ hổng tiềm ẩn. Vì các lỗ hổng này có thể phát sinh bất cứ lúc nào, việc quản lý lỗ hổng bảo mật liền mạch là điều bắt buộc. Nếu xảy ra sự cố an ninh, các lỗ hổng bảo mật phải được khắc phục nhanh chóng để không làm gián đoạn quá trình hoạt động của máy móc.
Cách tiếp cận giải pháp: Ngay cả trong giai đoạn vận hành, các nhà sản xuất OEM cũng có thể hoàn toàn tin tưởng vào chất lượng sản phẩm của Hệ sinh thái BODAS về mặt an ninh. Hệ thống Giám sát Sự cố BOSCH tổng hợp cơ sở hạ tầng đã được kiểm chứng với các quy trình có cấu trúc để đánh giá và báo cáo các sự cố an ninh, đồng thời đáp ứng tất cả các yêu cầu của CRA ngay khi triển khai – bao gồm quản lý sự cố, xử lý lỗ hổng và giám sát 24/7. Đội ứng phó sự cố của BOSCH liên tục giám sát tất cả các hệ thống Rexroth suốt ngày đêm, phân tích các cảnh báo và so sánh kết quả với các cơ sở dữ liệu lỗ hổng bảo mật công khai. Thông qua các dịch vụ BODAS Over-the-Air (OTA), các nhà sản xuất OEM có thể triển khai các bản vá lỗi và cập nhật hiệu quả, an toàn và có thể theo dõi được đến từng máy riêng lẻ và các phân đoạn hệ thống máy móc được xác định khi cần thiết. Giá trị gia tăng đáng kể: Công nghệ cập nhật phần mềm qua mạng (FOTA) không độc quyền cũng tương thích với các nhà cung cấp giải pháp IoT bên thứ ba (Đối tác BODAS OTA).
Khởi đầu cùng nhau – Hiệu quả và an toàn
Trong lĩnh vực an ninh, hành động sớm luôn mang lại hiệu quả. Những doanh nghiệp nào thiết lập và thực hiện đúng đắn các quy định an ninh cho toàn bộ đội xe của mình sẽ đảm bảo được quyền tiếp cận thị trường nội bộ EU, từ đó đạt được lợi thế cạnh tranh rõ rệt. Tin vui là: Các nhà sản xuất OEM không cần phải giải quyết những yêu cầu phức tạp này một mình. Cùng với Bosch Rexroth, Hệ sinh thái BODAS tuân thủ và các quy trình đã được kiểm chứng của Bosch trong lĩnh vực ô tô, họ có thể nắm vững mọi giai đoạn của vòng đời bảo mật theo tiêu chuẩn ISO21434 với nỗ lực giảm thiểu đáng kể: từ giai đoạn thiết kế và triển khai an ninh đến giám sát và quản lý sự cố.
Nhưng đó chỉ là một khía cạnh. Bởi vì cùng với Bosch Rexroth và hệ sinh thái BODAS, các nhà sản xuất máy móc di động đang đặt nền móng cho một đội xe hoàn toàn có khả năng định hướng tương lai. Nền tảng BODAS đã được kiểm chứng và có tính mô-đun mang đến nhiều giá trị nổi bật: Có khả năng tích hợp các chức năng mới khi cần thiết, có thể mở rộng để bảo mật hiệu quả tất cả các dòng máy và dễ dàng truy cập để chấm điểm nhanh chóng, hiệu quả và an toàn với các máy móc tiên tiến trên thị trường.
Bạn có xem việc tuân thủ quy định chính là đòn bẩy để xây dựng lòng tin, vị thế thị trường và sự an toàn trong tương lai không? Hãy gặp gỡ các chuyên gia và thành viên của Cộng đồng myBODAS ngay hôm nay để gia tăng lợi thế kiến thức hoặc liên hệ trực tiếp với chúng tôi về Tư vấn An toàn & An ninh.
» Hỗ trợ và tư vấn cao cấp BODAS
Tất cả các bài viết thuộc loạt bài đăng blog "An toàn, Bảo mật và Trí tuệ Nhân tạo cho Máy móc Làm việc Di động":
01. An ninh mạng, An toàn Chức năng và Trí tuệ Nhân tạo: Điều gì quan trọng hiện nay đối với các nhà sản xuất phương tiện ngoài đường bộ
02. An toàn chức năng: Cách các nhà sản xuất OEM đáp ứng những yêu cầu của Đạo luật EU-MVO, CRA và AI
03. An ninh mạng: Tại sao các nhà sản xuất OEM cần phải hành động ngay
Yves Dasse là chuyên gia an ninh mạng của Bosch kiêm Chủ sở hữu chuyên môn về Phát triển Phần mềm tại Bộ phận Giải pháp Di động của Bosch Rexroth. Ông có nhiều kinh nghiệm trong phát triển hệ thống cho máy móc chuyên dụng ngoài đường bộ và ô tô.
Wanjing Su là Trưởng nhóm Phần mềm thuộc Bộ phận Giải pháp Di động tại Bosch Rexroth. Cô ấy rất giàu kinh nghiệm trong lĩnh vực an toàn chức năng, phần mềm nhúng và phát triển phần mềm công cụ cho máy móc ngoài đường bộ.
Martin Sykora là Trưởng bộ phận Kinh doanh Điện tử Di động tại Bosch Rexroth. Ông đã làm việc tại tập đoàn Bosch hơn 22 năm, trong đó có 19 năm kinh nghiệm trong lĩnh vực điện tử di động. Ở vị trí của mình, Martin và đội ngũ của ông đóng vai trò là đầu mối liên hệ toàn cầu cho các khách hàng trong lĩnh vực thiết bị di động đang tìm kiếm các giải pháp dựa trên BODAS nhằm hỗ trợ quá trình chuyển đổi số của máy móc làm việc di động.