Današnja vozila su kompjuteri na točkovima; stoga su izloženi rizicima sajber napada. Novi propisi su se pojavili u julu 2024. kako bi se osigurala sveobuhvatna automobilska sajber sigurnost u cijelom lancu opskrbe automobilske industrije. Asocijacija ENX objavila je novu reviziju sajber sigurnosti vozila (VCSA) kako bi podržala OEM i dobavljače u implementaciji novih zahtjeva.

Ovaj članak je prvi put objavljen u njemačkom časopisu "QZ - Kvalitet i pouzdanost", vol. 69 (2024)

people in a car driving down the road happily
Loading...

Digitalna transformacija vozila je učinila efikasnijim i sigurnijim. Putem elektronskih sistema kontrole i stalnog umrežavanja, oni su također postali mete sajber kriminalaca. Kritični sistemi bi mogli biti napadnuti, s potencijalno fatalnim posljedicama. Unatoč najstrožem razvoju standarda softvera, čak ni u zrakoplovstvu, ne postoji garancija za softver bez grešaka.Međutim, kontrola softvera omogućava brz odgovor na probleme s kvalitetom - ažuriranja se sada mogu vršiti putem zraka (OTA) praktično preko noći.

Obavezujuća regulativa sajber sigurnosti

Kako bi se suprotstavili rastućim sajber prijetnjama, Ujedinjene nacije su usvojile UNECE R 155 i 156, koje uključuju implementaciju sistema za upravljanje sajber sigurnosti (CSMS) i sistema za upravljanje ažuriranjem softvera (SUMS). Propisi imaju za cilj da obezbijede sajber sigurnost tokom cijelog životnog ciklusa modela i duž cijelog lanca snabdijevanja. U EU, propisi su obavezni za sva novoproizvedena vozila od jula 2024.

ENX VCS - svjetski audit program za ISO/SAE 21434

Sa standardom ISO/SAE 21434 (Cestovna vozila – Inženjering sajber sigurnosti) pokušano je da se u okviru propisa UN-a stvori smjernica i dokaz o usklađenosti za usklađenost sa propisima. U praksi se, međutim, pokazalo da su odgovarajući programi audita pružalaca usluga testiranja previše različiti - uprkos specifikacijama ISO/PAS 5112. Proizvođačima je stoga još uvijek nedostajala mogućnost da zakonodavcu pruže pouzdane i uporedive dokaze o usklađenosti svojih dobavljača - koji su zauzvrat imali problema da dokažu usklađenost sa svojim ugovornim odredbama na osnovu uporedivog testa.

Zbog toga je ENX Udruženje (udruženje evropskih proizvođača, dobavljača i udruženja) osmislilo program audita ENX VCS. ENX VCS vrši audit implementacije sistema upravljanja sajber sigurnosti vozila (VCSMS) u skladu sa ISO 21434 i ISO 5112. To je odlučujuća prednost: VCS audit je standardiziran širom svijeta i može se brže prilagoditi novim izazovima nego ISO standard. Grupa međunarodnih stručnjaka redovno pregleda program audita kako bi bio ažuriran.

Da li ste spremni za ENX VCS?

Saznajte sve o ENX VCS procesu i preduslovima za vašu VCS oznaku.

Nabavite svoju VCS oznaku ovdje!

Standardizirani auditi - uporedivi rezultati

Uz standardizovani ENX VCS audit, kompanije izbjegavaju nepotrebne, ne samo finansijske, troškove koji mogu nastati iz procesa audita na više nivoa i divergentnih audita. Kako bi osigurao globalno uporedive procese za sve pružaoce audita, ENX je također objavio posebne kriterije i zahtjeve za provajdere audita (ACAR VCS) i obavezujući katalog audita za audite sajber sigurnosti vozila (VCSA) na početku programa. Ovo definiše seriju obaveznih kompetencija i obavezujući proceduralni model za VCS auditore - pored organizacijskih audit V-CSMS propisa, na primjer, obavezni auditi dokumenata i procesa - i formiranje slučajnog uzorka orijentisanog na rizik svih projekata relevantnih za sajber sigurnost. Auditori i stručnjaci potom intervjuišu inženjerske timove odgovorne za projekte u uzorku. Rezultati rada tima se auditiraju kako bi se osiguralo da se V-CSMS stvarno koristi u praksi. Nakon uspješnog testiranja, kompanije mogu podnijeti zahtjev ENX-u za odgovarajuću VCS oznaku i učiniti je dostupnom zainteresiranim stranama putem ENX mehanizma razmjene.

Loading...

TISAX® i VCS rade u tandemu

Strukturno, VCS auditi sa ACAR VCS su zasnovane na utvrđenom automobilskom standardu TISAX®. Dva mehanizma audita se međusobno nadopunjuju: dok TISAX® procjenjuje sigurnost informacija u kompaniji, oznaka VCS potvrđuje sajber sigurnost komponenti vozila. Slično kao kod TISAX®, VCS audit uzima u obzir različite uloge dobavljača u obavljanju komponenti relevantnih za sajber sigurnost. Svaki dobavljač stoga mora ispunjavati samo zahtjeve VCSA kataloga audita koji odgovaraju njihovoj stvarnoj, specifičnoj ulozi. Pravi se razlika između različitih oznaka: 

  • VCS Razvoj: Kompanija obavlja siguran razvoj VCS komponenti - od integracije. Proces integracije sistema u opštu sigurnosnu arhitekturu do sigurne implementacije i sigurnog prelaska u proizvodnju.
  • VCS Proizvodnja: Kompanija proizvodi VCS komponente i osigurava njihovu sigurnu konfiguraciju i softversku opremu.
  • VCS Operacije i Održavanje: Kompaniji su povjereni podaci iz dnevnika iz voznog parka, što omogućava da se identifikuju problematični uslovi rada ili da se identifikuju specifični sigurnosni incidenti. Ova oznaka je također pogodna za kompanije koje trebaju održavati svoje VCS komponente ažurnim.
Description of the various standards for cyber security throughout a vehicle's lifecycle
Loading...

Dokaz usklađenosti prema ENX VCS

Kao dio VCS audita, OEM-ovi i dobavljači mogu auditirati V-CSMS od strane odobrenih provajdera audita i dobiti VCS oznaku od ENX koja vrijedi tri godine. Povećana globalna uporedivost novih oznaka jača povjerenje u usklađenost V-CSMS-a sa specifikacijama za kibernetičku sigurnost UNECE R 155, omogućavajući kompanijama da jasno pokažu svoju usklađenost vlastima i poslovnim partnerima i doprinose sveobuhvatnoj automobilskoj sajber sigurnosti. Isplati se brzo djelovati ovdje: tokom uvodne faze, registracija za ENX VCS audit je besplatna.

DQS - Simply leveraging Security

DQS je osnovan 1985. godine kao prvo certifikacijsko tijelo u Njemačkoj. Od tada smo jedan od vodećih svjetskih stručnjaka za audit i certifikaciju. Osnivački partneri DGQ (Deutsche Gesellschaft für Qualität e. V.) i DIN (Deutsches Institut für Normung e. V.) važni su partneri za obuku i dalje obrazovanje, kao i za rad na standardizaciji.

Aktivno smo uključeni u odbore i tijela u ime naših klijenata i svojim stručnim znanjem doprinosimo našim auditima. Naša tvrdnja počinje tamo gdje se završavaju kontrolne liste audita. Vjerujte nam na riječ.

Povjerenje i ekspertiza

Naše tekstove i brošure pišu isključivo naši stručnjaci za standarde ili dugogodišnji auditori. Ako imate bilo kakva pitanja o tekstualnom sadržaju ili našim uslugama našem autoru, radujemo se Vašem upitu.

Izvor: www.qz-online.de (Vodeći njemački časopis za upravljanje kvalitetom). 

Autor
Holger Schmeken

Proizvodni menadžer za TISAX® i VCS, auditor za ISO/IEC 27001, ekspert za softversko inženjerstvo sa više od 30 godina iskustva i zamjenik službenika za sigurnost informacija. Holger Schmeken je magistrirao poslovnu informatiku i ima proširenu nadležnost audita za kritične infrastrukture u Njemačkoj (KRITIS).

Loading...

Relevantni članci i događaji

Možda će vas interesovati i:
Blog
autonomous driving by a e-car, e-mobility
Loading...

ENX VCS naspram ISO 21434: Audit sajber sigurnosti vozila

Blog
experience-with iso-27001-dqs-enterbrain-software-ag server cabinets
Loading...

Lekcije naučene iz ISO 27001 - studija slučaja ENTERBRAIN softvera

Blog
Mixing console in a recording studio with sliders at different heights
Loading...

Upravljanje konfiguracijom u informacionoj sigurnosti