สวัสดีค่ะ จากบทความที่แล้ว เราได้ทำความรู้จักกับมาตรฐานและเฟรมเวิร์กที่จะช่วยให้องค์กรออกแบบระบบรักษาความมั่นคงปลอดภัยได้อย่างมีประสิทธิภาพมากขึ้นกันแล้ว (สามารถตามไปอ่านได้ที่ ทำไมมาตรฐาน OT Security ถึงสำคัญที่องค์กรควรรู้!)

JAMA/JAPIA คืออะไร ทำไมถึงสำคัญกับอุตสาหกรรมยานยนต์?

สวัสดีค่ะ จากบทความที่แล้ว เราได้ทำความรู้จักกับมาตรฐานและเฟรมเวิร์กที่จะช่วยให้องค์กรออกแบบระบบรักษาความมั่นคงปลอดภัยได้อย่างมีประสิทธิภาพมากขึ้นกันแล้ว (สามารถตามไปอ่านได้ที่ ทำไมมาตรฐาน OT Security ถึงสำคัญที่องค์กรควรรู้!

สำหรับบทความนี้เป็นตอนพิเศษ ที่จะมาเล่าเรื่อง JAMA/JAPIA ซึ่งจะช่วยเสริมความมั่นคงและลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ที่เพิ่มขึ้นในปัจจุบัน

ในช่วงไม่กี่ปีมานี้ การโจมตีทางไซเบอร์ไม่เพียงแค่เกิดขึ้นในองค์กรหรือบริษัทต่าง ๆ แต่ยังขยายไปถึง ห่วงโซ่อุปทาน ของอุตสาหกรรมต่าง ๆ โดยเฉพาะใน อุตสาหกรรมยานยนต์ ซึ่งความเสี่ยงด้านความปลอดภัยไซเบอร์มีแนวโน้มเพิ่มขึ้นอย่างมาก 🚗🔐 

เพื่อรับมือกับภัยคุกคามเหล่านี้ สมาคมผู้ผลิตรถยนต์ญี่ปุ่น (JAMA) ซึ่งรวมถึงบริษัทใหญ่ ๆ อย่าง Toyota, Honda, Nissan, Subaru, และ Mazda และ สมาคมอุตสาหกรรมชิ้นส่วนยานยนต์ญี่ปุ่น (JAPIA) ที่รวมถึงผู้ผลิตชิ้นส่วนยานยนต์ เช่น ระบบเบรก, ระบบส่งกำลัง และอุปกรณ์เสริมอื่น ๆ โดยมีบริษัท Denso เป็นแกนนำ ได้ร่วมกันจัดทำ แนวทางการรักษาความปลอดภัยทางไซเบอร์ (Cybersecurity Guidelines) ขึ้น เพื่อสร้างกรอบมาตรการด้านความปลอดภัยไซเบอร์ที่ครอบคลุมและมีประสิทธิภาพสำหรับอุตสาหกรรมยานยนต์ในญี่ปุ่น 

เหตุการณ์สำคัญที่กระตุ้นให้เกิดการจัดทำแนวทางนี้ ⚠️ 

  1. พฤษภาคม 2017: การโจมตีด้วยแรนซัมแวร์ WannaCry ทำให้การดำเนินงานในโรงงานของหลายบริษัทในอุตสาหกรรมยานยนต์ เช่น โรงงานของนิสสันในสหราชอาณาจักร ต้องหยุดชะงัก 
  1. เมษายน 2019: สมาคมผู้ผลิตรถยนต์ญี่ปุ่น (JAMA) ได้จัดตั้งกลุ่มทำงานด้านความปลอดภัยไซเบอร์ และหลังจากนั้นไม่นาน สมาคมอุตสาหกรรมชิ้นส่วนยานยนต์ญี่ปุ่น (JAPIA) ก็ได้จัดตั้งกลุ่มทำงานด้านความปลอดภัยไซเบอร์เช่นกัน 
  1. มีนาคม 2020: ทั้งสองกลุ่มทำงานจาก JAMA และ JAPIA ได้เริ่มร่วมมือกันพัฒนา JAMA/JAPIA Cybersecurity Guidelines โดยออก Guideline เวอร์ชั่นแรก (V1.0) 
  1. มิถุนายน 2020: เกิดเหตุการณ์การโจมตีทางไซเบอร์ที่ทำให้การดำเนินงานของฮอนด้าหยุดชะงักในหลายประเทศ เช่น อิตาลี ญี่ปุ่น อเมริกาเหนือ ตุรกี และสหราชอาณาจักร (UK) 
  1. กุมภาพันธ์ 2022: บริษัท Kojima Industries Corp. ซึ่งเป็นผู้ผลิตชิ้นส่วนยานยนต์ ได้รับการโจมตีด้วยแรนซัมแวร์ ส่งผลให้ผู้ผลิตรถยนต์รายใหญ่ที่สุดในโลกต้องหยุดการดำเนินงานชั่วคราวในโรงงานทั้งหมด 14 แห่งและสายการผลิต 28 สายในญี่ปุ่น 

วัตถุประสงค์ของการจัดทำแนวทาง 🎯 
เพื่อรับมือกับภัยคุกคามทางไซเบอร์ที่มีเพิ่มขึ้นในอุตสาหกรรมยานยนต์ JAMA และ JAPIA จึงได้ร่วมมือกันจัดทำแนวทางการรักษาความปลอดภัยทางไซเบอร์ ซึ่งมีวัตถุประสงค์หลัก ๆ ดังนี้ 

  1. สร้างกรอบมาตรการด้านความปลอดภัย: เพื่อกำหนดแนวทางและมาตรการที่จำเป็นสำหรับการรักษาความปลอดภัยทางไซเบอร์ในอุตสาหกรรมยานยนต์ 
  1. ส่งเสริมการประเมินระดับความปลอดภัย: สนับสนุนการประเมินตนเอง (self-assessment) เพื่อให้บริษัทต่าง ๆ สามารถตรวจสอบและปรับปรุงระดับความปลอดภัยไซเบอร์ของตนได้ 
  1. เพิ่มความร่วมมือในอุตสาหกรรม: แนวทางนี้ไม่เพียงแต่ใช้ภายในบริษัทเดียวกัน แต่ยังสามารถใช้ได้ในห่วงโซ่อุปทานของอุตสาหกรรมยานยนต์โดยรวม เพื่อเสริมสร้างความปลอดภัยให้กับทั้งวงจรการผลิต 

ความสำคัญของแนวทางการรักษาความปลอดภัยไซเบอร์นี้ 🛡️ 
การสร้างแนวทางที่ครอบคลุมนี้จะช่วยให้บริษัทในอุตสาหกรรมยานยนต์สามารถรับมือกับภัยคุกคามทางไซเบอร์ที่เพิ่มขึ้น และป้องกันการโจมตีที่อาจส่งผลกระทบต่อการผลิตและห่วงโซ่อุปทานทั้งหมด โดยสามารถลดความเสี่ยงจากการโจมตีทางไซเบอร์ที่อาจทำให้การดำเนินงานของบริษัทหยุดชะงักหรือเสียหาย 

แนวทางดังกล่าวเป็นการร่วมมือกันของทั้งผู้ผลิตรถยนต์และผู้ผลิตชิ้นส่วนยานยนต์ในญี่ปุ่น โดยการพัฒนามาตรการรักษาความปลอดภัยที่มีประสิทธิภาพ เพื่อให้มั่นใจว่าอุตสาหกรรมยานยนต์จะสามารถรักษาความปลอดภัยของข้อมูลและระบบต่าง ๆ ได้อย่างยั่งยืนในระยะยาว 

Contributing Committee Members 
(คณะกรรมการที่มีส่วนร่วมในการจัดทำแนวทางการรักษาความปลอดภัยไซเบอร์ (Cybersecurity Guidelines)) 

JAMA (สมาคมผู้ผลิตรถยนต์ญี่ปุ่น) 
General Policy Committee / ICT Subcommittee / Cyber Security Subcommittee / CS Guidelines Study Taskforce  

  • คณะกรรมการนโยบายทั่วไป (General Policy Committee) 
  • คณะอนุกรรมการ ICT (ICT Subcommittee) 
  • คณะอนุกรรมการความปลอดภัยไซเบอร์ (Cyber Security Subcommittee) 
  • กลุ่มศึกษาภารกิจการจัดทำแนวทางการรักษาความปลอดภัยไซเบอร์ (CS Guidelines Study Taskforce) 

JAPIA (สมาคมอุตสาหกรรมชิ้นส่วนยานยนต์ญี่ปุ่น) 
IT Committee / Cyber Security Subcommittee  

  • คณะกรรมการ IT (IT Committee) 
  • คณะอนุกรรมการความปลอดภัยไซเบอร์ (Cyber Security Subcommittee) 

คณะกรรมการเหล่านี้ได้ร่วมกันพัฒนาและจัดทำแนวทางการรักษาความปลอดภัยไซเบอร์เพื่อเสริมสร้างความปลอดภัยในอุตสาหกรรมยานยนต์ญี่ปุ่น 

Overview of JAMA / JAPIA Cybersecurity Guidelines 
(ภาพรวมของแนวทางการรักษาความปลอดภัยไซเบอร์ JAMA/JAPIA) 
แนวทางการรักษาความปลอดภัยไซเบอร์ของ JAMA และ JAPIA ได้รับการพัฒนาบนพื้นฐานของ Cyber/Physical Security Framework (CPSF) ซึ่งมาจากกระทรวงเศรษฐกิจ การค้า และอุตสาหกรรม (METI) ของญี่ปุ่น และได้มีการเปรียบเทียบกับมาตรฐานและแนวทางต่าง ๆ ได้แก่ 

  • NIST Cybersecurity Framework 
  • ISO 27001 
  • AIAG Cyber Security 3rd Party Information Security (ฉบับที่ 1) 
  • แนวทางการรักษาความปลอดภัยข้อมูลสำหรับธุรกิจขนาดกลางและขนาดย่อม (IPA) 

แนวทางการรักษาความปลอดภัยไซเบอร์ของ JAMA/JAPIA แบ่งแนวทางปฏิบัติที่ดีที่สุดออกเป็น 24 ด้านหลัก โดยมีเป้าหมายเพื่อให้บรรลุวัตถุประสงค์ด้านความปลอดภัยหลายประการ และมี 153 ข้อกำหนด ที่ต้องปฏิบัติเพื่อให้บรรลุเป้าหมายดังกล่าว ส่วนใหญ่ของข้อกำหนดจะมุ่งเน้นไปที่ การป้องกัน (69%) อย่างไรก็ตาม ข้อกำหนดเหล่านี้ไม่ได้จำเป็นต้องนำไปใช้กับทุกบริษัท แต่จะต้องพิจารณาตามระดับความปลอดภัยที่แต่ละบริษัทต้องการ 

Mapping Cybersecurity Guidelines with NIST CSF 
(การจับคู่แนวทางการรักษาความปลอดภัยไซเบอร์กับ NIST Cybersecurity Framework (NIST CSF)) 
แนวทางการรักษาความปลอดภัยไซเบอร์ของ JAMA/JAPIA ได้รับการออกแบบให้สอดคล้องกับ NIST Cybersecurity Framework (NIST CSF) ซึ่งเป็นมาตรฐานที่ได้รับการยอมรับในระดับสากลสำหรับการจัดการความเสี่ยงด้านความปลอดภัยไซเบอร์ โดยการจับคู่ระหว่างทั้งสองนั้นช่วยให้บริษัทสามารถนำแนวทางของ JAMA/JAPIA ไปใช้ได้อย่างมีประสิทธิภาพและสอดคล้องกับมาตรฐานสากล 

NIST CSF ประกอบด้วย 5 ฟังก์ชันหลัก ได้แก่ 

  1. Identify (การระบุ) – การเข้าใจและบริหารจัดการความเสี่ยงที่เกี่ยวข้องกับระบบและข้อมูล 
  1. Protect (การป้องกัน) – การใช้มาตรการป้องกันเพื่อปกป้องข้อมูลและระบบจากภัยคุกคาม 
  1. Detect (การตรวจจับ) – การตรวจจับเหตุการณ์ด้านความปลอดภัยที่เกิดขึ้น 
  1. Respond (การตอบสนอง) – การตอบสนองต่อเหตุการณ์ด้านความปลอดภัยเพื่อให้สามารถลดผลกระทบ 
  1. Recover (การฟื้นฟู) – การฟื้นฟูระบบและข้อมูลหลังจากเกิดเหตุการณ์ความปลอดภัย 

การจับคู่กับแนวทางของ JAMA/JAPIA 

  • แนวทางของ JAMA/JAPIA แบ่งแนวทางปฏิบัติเป็น 24 ด้านหลัก ซึ่งสามารถเชื่อมโยงกับฟังก์ชันทั้ง 5 ของ NIST CSF ได้ เพื่อให้บรรลุวัตถุประสงค์ด้านความปลอดภัยและการบริหารจัดการความเสี่ยงที่เหมาะสมสำหรับอุตสาหกรรมยานยนต์ 
  • โดยหลัก ๆ แล้ว JAMA/JAPIA จะมุ่งเน้นไปที่การ ป้องกัน (Protect) ซึ่งตรงกับฟังก์ชัน “Protect” ของ NIST CSF แต่ก็ครอบคลุมไปถึงการตรวจจับ การตอบสนอง และการฟื้นฟูด้วย 

การจับคู่นี้ช่วยให้บริษัทในอุตสาหกรรมยานยนต์สามารถปรับใช้แนวทางการรักษาความปลอดภัยไซเบอร์ได้อย่างมีประสิทธิภาพและสอดคล้องกับมาตรฐานระดับสากลของ NIST 

ตาราง แสดงปริมาณ Conditions for Achievement ที่ mapping ลงบน NIST CSF แต่ละข้อ 

JAMA / JAPIA Cybersecurity Levels 
(ระดับความปลอดภัยไซเบอร์ของ JAMA/JAPIA) 
แนวทางการรักษาความปลอดภัยไซเบอร์ของ JAMA/JAPIA (ที่ประกอบด้วย 153 ข้อกำหนด) ได้แบ่งออกเป็น 3 ระดับความปลอดภัยไซเบอร์ เพื่อให้ง่ายต่อการนำไปใช้และส่งเสริมให้ทุกองค์กรในอุตสาหกรรมยานยนต์สามารถนำไปปฏิบัติได้ 

การแบ่งระดับนี้ช่วยให้บริษัทที่ไม่แน่ใจว่าจะเริ่มต้นจากตรงไหนในการดำเนินมาตรการด้านความปลอดภัยไซเบอร์ สามารถเริ่มต้นได้อย่างง่ายดาย ไม่ว่าจะเป็นบริษัทขนาดเล็กหรือใหญ่ โดยแต่ละระดับจะเหมาะสมกับความต้องการและขนาดขององค์กรแต่ละแห่ง 

Example of Conditions for Achievement  
(ตัวอย่างของข้อกำหนดสำหรับการบรรลุเป้าหมาย (Conditions for Achievement)) 
ข้อกำหนดสำหรับการบรรลุเป้าหมายในแนวทางการรักษาความปลอดภัยไซเบอร์ของ JAMA/JAPIA มีหลายข้อที่บริษัทต้องปฏิบัติเพื่อให้บรรลุระดับความปลอดภัยที่ต้องการ ตัวอย่างของข้อกำหนดเหล่านี้ ได้แก่ 

ข้อกำหนดเหล่านี้จะช่วยให้องค์กรสามารถบรรลุเป้าหมายด้านความปลอดภัยไซเบอร์ตามระดับที่กำหนด และเสริมสร้างความมั่นคงปลอดภัยให้กับทั้งองค์กรและห่วงโซ่อุปทานในอุตสาหกรรมยานยนต์ 

Example of Key Cybersecurity Solutions  
(ตัวอย่างของโซลูชันหลักในการรักษาความปลอดภัยไซเบอร์)

Next Actions to Meet JAMA/JAPIA Compliance 
(ขั้นตอนถัดไปในการปฏิบัติตามแนวทางการรักษาความปลอดภัยไซเบอร์ของ JAMA/JAPIA) 
ก่อนหน้านี้ได้สรุปเกี่ยวกับประเด็นสำคัญใน แนวทางการรักษาความปลอดภัยไซเบอร์ของ JAMA/JAPIA แล้ว แต่เราเข้าใจว่าอาจมีลูกค้าหลายรายที่ยังไม่แน่ใจว่าจะเริ่มต้นจากตรงไหนหรือจะต้องดำเนินการอะไรบ้างในขั้นตอนถัดไป 

เพื่อช่วยให้ลูกค้าเข้าใจและดำเนินการได้อย่างมีประสิทธิภาพ Netmarks พร้อมเป็นพันธมิตรในการเสริมสร้างความมั่นคงทางไซเบอร์ให้กับองค์กรของคุณ ทีมผู้เชี่ยวชาญของเราจะให้คำแนะนำและสนับสนุนในการนำมาตรการ ควบคุม นโยบาย และเทคโนโลยีที่จำเป็นมาใช้ เพื่อให้สอดคล้องกับมาตรฐาน JAMA/JAPIA ไม่ว่าคุณจะเริ่มต้นจากจุดไหน เราจะช่วยเสริมสร้างความมั่นคงทางไซเบอร์ ป้องกันภัยคุกคาม และลดความเสี่ยงจากการโจมตีไซเบอร์ในอุตสาหกรรมยานยนต์อย่างมีประสิทธิภาพ เพื่อให้องค์กรของคุณปลอดภัยและพร้อมรับมือกับภัยคุกคามในอนาคต 💼✅ 

หากต้องการอ่านบทความด้วย   
Platform Facebook คลิกที่ลิงก์: JAMA/JAPIA คืออะไร ทำไมถึงสำคัญกับอุตสาหกรรมยานยนต์? 
Platform Line OA คลิกที่ลิงก์: JAMA/JAPIA คืออะไร ทำไมถึงสำคัญกับอุตสาหกรรมยานยนต์? 
 
อ่านบทความย้อนหลัง ในซีรี่ส์ของ OT Security 
ตอนที่ 1 ระบบของ OT โรงงาน กับของ IT ออฟฟิศ ต่างกันตรงไหน? 
ตอนที่ 2 ระวัง! ระบบ OT (Operational Technology) ของคุณอาจเป็นช่องโหว่ให้แฮกเกอร์โจมต
ตอนที่ 3 อยากให้เกิด Security ในระบบ OT ต้องเริ่มอย่างไรดี? 
ตอนที่ 4 ทำไมมาตรฐาน OT Security ถึงสำคัญ ที่องค์กรควรรู้! 

ขอขอบคุณข้อมูลจาก: https://media.txone.com/prod/uploads/2023/04/A-Comprehensive-Perspective-of-JAMAJAPIA-Automotive-Cybersecurity-Guidelines-TXOne-WP-202304.pdf

ติดต่อ Netmarks วันนี้ เพื่อเริ่มต้นการเสริมสร้างความปลอดภัยไซเบอร์และลดความเสี่ยงจากภัยคุกคามในอนาคต! 

Website Contact Us: https://www.netmarks.co.th/contact-us    

E-mail: marketing@netmarks.co.th  

Facebook: Netmarks Thailand   

Line OA: @netmarksth    

Tel: 0-2726-9600 

Similar Posts