JAMA/JAPIA คืออะไร ทำไมถึงสำคัญกับอุตสาหกรรมยานยนต์?
สวัสดีค่ะ จากบทความที่แล้ว เราได้ทำความรู้จักกับมาตรฐานและเฟรมเวิร์กที่จะช่วยให้องค์กรออกแบบระบบรักษาความมั่นคงปลอดภัยได้อย่างมีประสิทธิภาพมากขึ้นกันแล้ว (สามารถตามไปอ่านได้ที่ ทำไมมาตรฐาน OT Security ถึงสำคัญที่องค์กรควรรู้!)
สำหรับบทความนี้เป็นตอนพิเศษ ที่จะมาเล่าเรื่อง JAMA/JAPIA ซึ่งจะช่วยเสริมความมั่นคงและลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ที่เพิ่มขึ้นในปัจจุบัน
ในช่วงไม่กี่ปีมานี้ การโจมตีทางไซเบอร์ไม่เพียงแค่เกิดขึ้นในองค์กรหรือบริษัทต่าง ๆ แต่ยังขยายไปถึง ห่วงโซ่อุปทาน ของอุตสาหกรรมต่าง ๆ โดยเฉพาะใน อุตสาหกรรมยานยนต์ ซึ่งความเสี่ยงด้านความปลอดภัยไซเบอร์มีแนวโน้มเพิ่มขึ้นอย่างมาก 🚗🔐
เพื่อรับมือกับภัยคุกคามเหล่านี้ สมาคมผู้ผลิตรถยนต์ญี่ปุ่น (JAMA) ซึ่งรวมถึงบริษัทใหญ่ ๆ อย่าง Toyota, Honda, Nissan, Subaru, และ Mazda และ สมาคมอุตสาหกรรมชิ้นส่วนยานยนต์ญี่ปุ่น (JAPIA) ที่รวมถึงผู้ผลิตชิ้นส่วนยานยนต์ เช่น ระบบเบรก, ระบบส่งกำลัง และอุปกรณ์เสริมอื่น ๆ โดยมีบริษัท Denso เป็นแกนนำ ได้ร่วมกันจัดทำ แนวทางการรักษาความปลอดภัยทางไซเบอร์ (Cybersecurity Guidelines) ขึ้น เพื่อสร้างกรอบมาตรการด้านความปลอดภัยไซเบอร์ที่ครอบคลุมและมีประสิทธิภาพสำหรับอุตสาหกรรมยานยนต์ในญี่ปุ่น
เหตุการณ์สำคัญที่กระตุ้นให้เกิดการจัดทำแนวทางนี้ ⚠️
- พฤษภาคม 2017: การโจมตีด้วยแรนซัมแวร์ WannaCry ทำให้การดำเนินงานในโรงงานของหลายบริษัทในอุตสาหกรรมยานยนต์ เช่น โรงงานของนิสสันในสหราชอาณาจักร ต้องหยุดชะงัก
- เมษายน 2019: สมาคมผู้ผลิตรถยนต์ญี่ปุ่น (JAMA) ได้จัดตั้งกลุ่มทำงานด้านความปลอดภัยไซเบอร์ และหลังจากนั้นไม่นาน สมาคมอุตสาหกรรมชิ้นส่วนยานยนต์ญี่ปุ่น (JAPIA) ก็ได้จัดตั้งกลุ่มทำงานด้านความปลอดภัยไซเบอร์เช่นกัน
- มีนาคม 2020: ทั้งสองกลุ่มทำงานจาก JAMA และ JAPIA ได้เริ่มร่วมมือกันพัฒนา JAMA/JAPIA Cybersecurity Guidelines โดยออก Guideline เวอร์ชั่นแรก (V1.0)
- มิถุนายน 2020: เกิดเหตุการณ์การโจมตีทางไซเบอร์ที่ทำให้การดำเนินงานของฮอนด้าหยุดชะงักในหลายประเทศ เช่น อิตาลี ญี่ปุ่น อเมริกาเหนือ ตุรกี และสหราชอาณาจักร (UK)
- กุมภาพันธ์ 2022: บริษัท Kojima Industries Corp. ซึ่งเป็นผู้ผลิตชิ้นส่วนยานยนต์ ได้รับการโจมตีด้วยแรนซัมแวร์ ส่งผลให้ผู้ผลิตรถยนต์รายใหญ่ที่สุดในโลกต้องหยุดการดำเนินงานชั่วคราวในโรงงานทั้งหมด 14 แห่งและสายการผลิต 28 สายในญี่ปุ่น
วัตถุประสงค์ของการจัดทำแนวทาง 🎯
เพื่อรับมือกับภัยคุกคามทางไซเบอร์ที่มีเพิ่มขึ้นในอุตสาหกรรมยานยนต์ JAMA และ JAPIA จึงได้ร่วมมือกันจัดทำแนวทางการรักษาความปลอดภัยทางไซเบอร์ ซึ่งมีวัตถุประสงค์หลัก ๆ ดังนี้
- สร้างกรอบมาตรการด้านความปลอดภัย: เพื่อกำหนดแนวทางและมาตรการที่จำเป็นสำหรับการรักษาความปลอดภัยทางไซเบอร์ในอุตสาหกรรมยานยนต์
- ส่งเสริมการประเมินระดับความปลอดภัย: สนับสนุนการประเมินตนเอง (self-assessment) เพื่อให้บริษัทต่าง ๆ สามารถตรวจสอบและปรับปรุงระดับความปลอดภัยไซเบอร์ของตนได้
- เพิ่มความร่วมมือในอุตสาหกรรม: แนวทางนี้ไม่เพียงแต่ใช้ภายในบริษัทเดียวกัน แต่ยังสามารถใช้ได้ในห่วงโซ่อุปทานของอุตสาหกรรมยานยนต์โดยรวม เพื่อเสริมสร้างความปลอดภัยให้กับทั้งวงจรการผลิต
ความสำคัญของแนวทางการรักษาความปลอดภัยไซเบอร์นี้ 🛡️
การสร้างแนวทางที่ครอบคลุมนี้จะช่วยให้บริษัทในอุตสาหกรรมยานยนต์สามารถรับมือกับภัยคุกคามทางไซเบอร์ที่เพิ่มขึ้น และป้องกันการโจมตีที่อาจส่งผลกระทบต่อการผลิตและห่วงโซ่อุปทานทั้งหมด โดยสามารถลดความเสี่ยงจากการโจมตีทางไซเบอร์ที่อาจทำให้การดำเนินงานของบริษัทหยุดชะงักหรือเสียหาย
แนวทางดังกล่าวเป็นการร่วมมือกันของทั้งผู้ผลิตรถยนต์และผู้ผลิตชิ้นส่วนยานยนต์ในญี่ปุ่น โดยการพัฒนามาตรการรักษาความปลอดภัยที่มีประสิทธิภาพ เพื่อให้มั่นใจว่าอุตสาหกรรมยานยนต์จะสามารถรักษาความปลอดภัยของข้อมูลและระบบต่าง ๆ ได้อย่างยั่งยืนในระยะยาว
Contributing Committee Members
(คณะกรรมการที่มีส่วนร่วมในการจัดทำแนวทางการรักษาความปลอดภัยไซเบอร์ (Cybersecurity Guidelines))
JAMA (สมาคมผู้ผลิตรถยนต์ญี่ปุ่น)
General Policy Committee / ICT Subcommittee / Cyber Security Subcommittee / CS Guidelines Study Taskforce
- คณะกรรมการนโยบายทั่วไป (General Policy Committee)
- คณะอนุกรรมการ ICT (ICT Subcommittee)
- คณะอนุกรรมการความปลอดภัยไซเบอร์ (Cyber Security Subcommittee)
- กลุ่มศึกษาภารกิจการจัดทำแนวทางการรักษาความปลอดภัยไซเบอร์ (CS Guidelines Study Taskforce)
JAPIA (สมาคมอุตสาหกรรมชิ้นส่วนยานยนต์ญี่ปุ่น)
IT Committee / Cyber Security Subcommittee
- คณะกรรมการ IT (IT Committee)
- คณะอนุกรรมการความปลอดภัยไซเบอร์ (Cyber Security Subcommittee)
คณะกรรมการเหล่านี้ได้ร่วมกันพัฒนาและจัดทำแนวทางการรักษาความปลอดภัยไซเบอร์เพื่อเสริมสร้างความปลอดภัยในอุตสาหกรรมยานยนต์ญี่ปุ่น
Overview of JAMA / JAPIA Cybersecurity Guidelines
(ภาพรวมของแนวทางการรักษาความปลอดภัยไซเบอร์ JAMA/JAPIA)
แนวทางการรักษาความปลอดภัยไซเบอร์ของ JAMA และ JAPIA ได้รับการพัฒนาบนพื้นฐานของ Cyber/Physical Security Framework (CPSF) ซึ่งมาจากกระทรวงเศรษฐกิจ การค้า และอุตสาหกรรม (METI) ของญี่ปุ่น และได้มีการเปรียบเทียบกับมาตรฐานและแนวทางต่าง ๆ ได้แก่
- NIST Cybersecurity Framework
- ISO 27001
- AIAG Cyber Security 3rd Party Information Security (ฉบับที่ 1)
- แนวทางการรักษาความปลอดภัยข้อมูลสำหรับธุรกิจขนาดกลางและขนาดย่อม (IPA)
แนวทางการรักษาความปลอดภัยไซเบอร์ของ JAMA/JAPIA แบ่งแนวทางปฏิบัติที่ดีที่สุดออกเป็น 24 ด้านหลัก โดยมีเป้าหมายเพื่อให้บรรลุวัตถุประสงค์ด้านความปลอดภัยหลายประการ และมี 153 ข้อกำหนด ที่ต้องปฏิบัติเพื่อให้บรรลุเป้าหมายดังกล่าว ส่วนใหญ่ของข้อกำหนดจะมุ่งเน้นไปที่ การป้องกัน (69%) อย่างไรก็ตาม ข้อกำหนดเหล่านี้ไม่ได้จำเป็นต้องนำไปใช้กับทุกบริษัท แต่จะต้องพิจารณาตามระดับความปลอดภัยที่แต่ละบริษัทต้องการ
Mapping Cybersecurity Guidelines with NIST CSF
(การจับคู่แนวทางการรักษาความปลอดภัยไซเบอร์กับ NIST Cybersecurity Framework (NIST CSF))
แนวทางการรักษาความปลอดภัยไซเบอร์ของ JAMA/JAPIA ได้รับการออกแบบให้สอดคล้องกับ NIST Cybersecurity Framework (NIST CSF) ซึ่งเป็นมาตรฐานที่ได้รับการยอมรับในระดับสากลสำหรับการจัดการความเสี่ยงด้านความปลอดภัยไซเบอร์ โดยการจับคู่ระหว่างทั้งสองนั้นช่วยให้บริษัทสามารถนำแนวทางของ JAMA/JAPIA ไปใช้ได้อย่างมีประสิทธิภาพและสอดคล้องกับมาตรฐานสากล
NIST CSF ประกอบด้วย 5 ฟังก์ชันหลัก ได้แก่
- Identify (การระบุ) – การเข้าใจและบริหารจัดการความเสี่ยงที่เกี่ยวข้องกับระบบและข้อมูล
- Protect (การป้องกัน) – การใช้มาตรการป้องกันเพื่อปกป้องข้อมูลและระบบจากภัยคุกคาม
- Detect (การตรวจจับ) – การตรวจจับเหตุการณ์ด้านความปลอดภัยที่เกิดขึ้น
- Respond (การตอบสนอง) – การตอบสนองต่อเหตุการณ์ด้านความปลอดภัยเพื่อให้สามารถลดผลกระทบ
- Recover (การฟื้นฟู) – การฟื้นฟูระบบและข้อมูลหลังจากเกิดเหตุการณ์ความปลอดภัย
การจับคู่กับแนวทางของ JAMA/JAPIA
- แนวทางของ JAMA/JAPIA แบ่งแนวทางปฏิบัติเป็น 24 ด้านหลัก ซึ่งสามารถเชื่อมโยงกับฟังก์ชันทั้ง 5 ของ NIST CSF ได้ เพื่อให้บรรลุวัตถุประสงค์ด้านความปลอดภัยและการบริหารจัดการความเสี่ยงที่เหมาะสมสำหรับอุตสาหกรรมยานยนต์
- โดยหลัก ๆ แล้ว JAMA/JAPIA จะมุ่งเน้นไปที่การ ป้องกัน (Protect) ซึ่งตรงกับฟังก์ชัน “Protect” ของ NIST CSF แต่ก็ครอบคลุมไปถึงการตรวจจับ การตอบสนอง และการฟื้นฟูด้วย
การจับคู่นี้ช่วยให้บริษัทในอุตสาหกรรมยานยนต์สามารถปรับใช้แนวทางการรักษาความปลอดภัยไซเบอร์ได้อย่างมีประสิทธิภาพและสอดคล้องกับมาตรฐานระดับสากลของ NIST
ตาราง แสดงปริมาณ Conditions for Achievement ที่ mapping ลงบน NIST CSF แต่ละข้อ
JAMA / JAPIA Cybersecurity Levels
(ระดับความปลอดภัยไซเบอร์ของ JAMA/JAPIA)
แนวทางการรักษาความปลอดภัยไซเบอร์ของ JAMA/JAPIA (ที่ประกอบด้วย 153 ข้อกำหนด) ได้แบ่งออกเป็น 3 ระดับความปลอดภัยไซเบอร์ เพื่อให้ง่ายต่อการนำไปใช้และส่งเสริมให้ทุกองค์กรในอุตสาหกรรมยานยนต์สามารถนำไปปฏิบัติได้
การแบ่งระดับนี้ช่วยให้บริษัทที่ไม่แน่ใจว่าจะเริ่มต้นจากตรงไหนในการดำเนินมาตรการด้านความปลอดภัยไซเบอร์ สามารถเริ่มต้นได้อย่างง่ายดาย ไม่ว่าจะเป็นบริษัทขนาดเล็กหรือใหญ่ โดยแต่ละระดับจะเหมาะสมกับความต้องการและขนาดขององค์กรแต่ละแห่ง
Example of Conditions for Achievement
(ตัวอย่างของข้อกำหนดสำหรับการบรรลุเป้าหมาย (Conditions for Achievement))
ข้อกำหนดสำหรับการบรรลุเป้าหมายในแนวทางการรักษาความปลอดภัยไซเบอร์ของ JAMA/JAPIA มีหลายข้อที่บริษัทต้องปฏิบัติเพื่อให้บรรลุระดับความปลอดภัยที่ต้องการ ตัวอย่างของข้อกำหนดเหล่านี้ ได้แก่
ข้อกำหนดเหล่านี้จะช่วยให้องค์กรสามารถบรรลุเป้าหมายด้านความปลอดภัยไซเบอร์ตามระดับที่กำหนด และเสริมสร้างความมั่นคงปลอดภัยให้กับทั้งองค์กรและห่วงโซ่อุปทานในอุตสาหกรรมยานยนต์
Example of Key Cybersecurity Solutions
(ตัวอย่างของโซลูชันหลักในการรักษาความปลอดภัยไซเบอร์)
Next Actions to Meet JAMA/JAPIA Compliance
(ขั้นตอนถัดไปในการปฏิบัติตามแนวทางการรักษาความปลอดภัยไซเบอร์ของ JAMA/JAPIA)
ก่อนหน้านี้ได้สรุปเกี่ยวกับประเด็นสำคัญใน แนวทางการรักษาความปลอดภัยไซเบอร์ของ JAMA/JAPIA แล้ว แต่เราเข้าใจว่าอาจมีลูกค้าหลายรายที่ยังไม่แน่ใจว่าจะเริ่มต้นจากตรงไหนหรือจะต้องดำเนินการอะไรบ้างในขั้นตอนถัดไป
เพื่อช่วยให้ลูกค้าเข้าใจและดำเนินการได้อย่างมีประสิทธิภาพ Netmarks พร้อมเป็นพันธมิตรในการเสริมสร้างความมั่นคงทางไซเบอร์ให้กับองค์กรของคุณ ทีมผู้เชี่ยวชาญของเราจะให้คำแนะนำและสนับสนุนในการนำมาตรการ ควบคุม นโยบาย และเทคโนโลยีที่จำเป็นมาใช้ เพื่อให้สอดคล้องกับมาตรฐาน JAMA/JAPIA ไม่ว่าคุณจะเริ่มต้นจากจุดไหน เราจะช่วยเสริมสร้างความมั่นคงทางไซเบอร์ ป้องกันภัยคุกคาม และลดความเสี่ยงจากการโจมตีไซเบอร์ในอุตสาหกรรมยานยนต์อย่างมีประสิทธิภาพ เพื่อให้องค์กรของคุณปลอดภัยและพร้อมรับมือกับภัยคุกคามในอนาคต 💼✅
หากต้องการอ่านบทความด้วย
Platform Facebook คลิกที่ลิงก์: JAMA/JAPIA คืออะไร ทำไมถึงสำคัญกับอุตสาหกรรมยานยนต์?
Platform Line OA คลิกที่ลิงก์: JAMA/JAPIA คืออะไร ทำไมถึงสำคัญกับอุตสาหกรรมยานยนต์?
อ่านบทความย้อนหลัง ในซีรี่ส์ของ OT Security
ตอนที่ 1 ระบบของ OT โรงงาน กับของ IT ออฟฟิศ ต่างกันตรงไหน?
ตอนที่ 2 ระวัง! ระบบ OT (Operational Technology) ของคุณอาจเป็นช่องโหว่ให้แฮกเกอร์โจมตี
ตอนที่ 3 อยากให้เกิด Security ในระบบ OT ต้องเริ่มอย่างไรดี?
ตอนที่ 4 ทำไมมาตรฐาน OT Security ถึงสำคัญ ที่องค์กรควรรู้!
ขอขอบคุณข้อมูลจาก: https://media.txone.com/prod/uploads/2023/04/A-Comprehensive-Perspective-of-JAMAJAPIA-Automotive-Cybersecurity-Guidelines-TXOne-WP-202304.pdf
ติดต่อ Netmarks วันนี้ เพื่อเริ่มต้นการเสริมสร้างความปลอดภัยไซเบอร์และลดความเสี่ยงจากภัยคุกคามในอนาคต!
Website Contact Us: https://www.netmarks.co.th/contact-us
E-mail: marketing@netmarks.co.th
Facebook: Netmarks Thailand
Line OA: @netmarksth
Tel: 0-2726-9600