autonomous driving by a e-car, e-mobility

ENX VCS naspram ISO 21434: Audit sajber sigurnosti vozila

Holger Schmeken

Proizvodni menadžer za TISAX® i VCS
jul 10 , 2024
# Automobilska sajber sigurnost

Digitalna transformacija automobilske industrije je u punom jeku. Gdje god je to moguće, mehanika ustupa mjesto elektronici. Instaliranje više E/E komponenti čini vozila snažnijim i povećava sigurnost u vožnji - ali ih također izlaže opasnostima od sajber napada. Iz tog razloga, Ujedinjene nacije su usvojile UN R 155, koji predviđa implementaciju modernih sistema upravljanja sajber sigurnošću (CSMS) i stupa na snagu u potpunosti od jula 2024.


Sa standardom ISO/SAE 21434 „Drumska vozila – Inženjering sajber sigurnosti“ već postoji smjernica koja se pominje u zvaničnim zahtjevima, ali se u praksi pokazalo nedovoljno preciznom. Kako bi omogućila globalno standardiziranu implementaciju, ENX asocijacija je kreirala novu opciju certifikacije sa auditima sajber sigurnosti vozila (VCSA). U našem blog postu, kompanije u automobilskoj industriji mogu saznati zašto je ovaj program audita pogodniji za dokazivanje usklađenosti s novim propisima nego za certifikaciju isključivo u skladu sa ISO/SAE 21434.

Značaj novih propisa za sajber sigurnost u automobilskoj industriji

Sa novim propisima o sajber sigurnosti automobila, obavezujući zahtjevi će se primjenjivati ​​na sva novoproizvedena vozila od jula 2024. Ako zahtjevi ne budu implementirani, dotična serija modela neće dobiti odobrenje tipa. Holistička sajber sigurnost, prema vlastitoj namjeri uz obaveznu implementaciju sistema upravljanja sajber sigurnošću (CSMS), obuhvata sve komponente vozila. 

Većina komponenti ugrađenih u vozila potiče iz lanca snabdijevanja proizvođača automobila. UN R 155 čini ove proizvođače odgovornim za sajber sigurnost komponenti koje isporučuju. Međutim, oni mogu uticati na sajber sigurnost komponenti samo kroz svoje ugovorne sporazume sa dobavljačima. Kao dio svog upravljanja rizikom, proizvođači vozila stoga zavise od jasnih ugovora i smislenih audita svojih dobavljača kako bi dugoročno garantovali i održavali potrebnu sajber sigurnost.

Koje probleme adresira nova regulativa?

Uvođenje UN R 155 (i UN R 156, koji se fokusira na ažuriranje softvera) od strane zakonodavca skreće pažnju na nekoliko složenih pitanja koja postoje u vezi sa softverski kontrolisanim komponentama drumskih vozila i sajber sigurnošću:

  • Kako se može osigurati da je softver za rad sa takvim komponentama dizajniran, razvijen i sigurno implementiran?
  • Kako je komponenta opremljena samo predviđenom verzijom softvera u proizvodnom procesu i kako su relevantni proizvodni sistemi potrebni za opremanje komponenti softverskom zaštitom?
  • Kako se može pratiti da se sigurnosni događaji u komponentama snimaju i da se prijetnje mogu efikasno otkloniti ažuriranjem čak i nakon deset godina?

ISO 21434 certifikacija kao rješenje?

Da bi se odgovorilo na ova pitanja, UN R 155 pominje uspostavljanje sistema upravljanja sajber sigurnošću (CSMS) u skladu sa ISO/SAE 21434 kod proizvođača vozila. Sistem upravljanja je skup procesa i procedura koje se koriste za efikasno upravljanje i kontrolu kompanije ili organizacije.
Za potrebe standarda, termin "cyber sigurnost" u automobilskoj industriji odnosi se posebno na zaštitu kompjuterskih sistema, mreža i njihovih podataka u drumskim vozilima. Ovo uključuje mjere i strategije za osiguranje sigurnosti i integriteta digitalnih sistema koji se koriste u vozilima.

Kako bi se osigurala sajber sigurnost, standard specificira procese i procedure za CSMS u sigurnosnom dizajnu, razvoju proizvoda, održavanju proizvoda, otkrivanju rizika, prevenciji opasnosti, odlaganju proizvoda i povezanim kontinuiranim procesima. Dakle, standard pruža sveobuhvatan arhitektonski model CSMS-a, uključujući model procesa za procjenu rizika u sajber sigurnosti, koji se naziva analiza prijetnji i rizika (TARA).

U nastavku možete saznati koji argumenti se protive čistom ISO/SAE 21434 certifikatu za ispunjavanje zahtjeva UN R 155.

Automobilska sajber sigurnost: novi propisi od jula 2024

S digitalizacijom, rizici od napada naglo su porasli. Proizvođači automobila su atraktivna meta za sajber kriminalce u mnogim aspektima. Pročitajte naš blog post da saznate koji su propisi na snazi ​​za njihovu zaštitu.

Blog

Zahtjevi za audite prema ISO/PAS 5112

ISO/SAE 21434 ostavlja mnogo prostora za tumačenje u vezi sa načinom audita CSMS-a. Kako svaki provajder audita kreira sopstveni program audita za standard ISO 21434 prema propisima svog akreditacionog tijela, ISO/PAS 5112 je učinio neophodnim da se standardizuje proces audita za sajber sigurnost organizacije i CSMS.

ISO/PAS 5112 sadrži opšte smernice za upravljanje programom audita i pruža organizacijama neophodne informacije o planiranju i provođenju audita. Također definiše kompetencije CSMS auditora i objašnjava kako se implementacija standarda može verificirati.

Zašto je ENX razvio VCS audit

Uprkos ovim naporima da se poboljša standardizacija, rezultirajući programi audita sajber sigurnosti u automobilskoj industriji i dalje se uvelike razlikuju.

U pozadini duboko integrisanih lanaca snabdijevanja sa više ugovornih partnera, neuporedivi programi audita predstavljaju veliki problem za proizvođače vozila. Proizvođači moraju biti u mogućnosti da se oslone na rezultate audita dobavljača sistema za upravljanje sajber sigurnošću (CSMS) za svoje upravljanje rizikom.

ENX je prepoznao ovu potrebu i razvio rješenje u saradnji sa automobilskom industrijom implementirajući globalno standardizirani program audita pod nazivom ENX VCS (Vehicle Cyber ​​Security - Sajber sigurnost vozila). ENX je koristio svoju mrežu članova da prilagodi program audita specifičnim zahtjevima industrije.

Istovremeno, sam ISO/SAE 21434 nije dovoljan da ispuni sve regulatorne zahtjeve UN R 155. Iako se UN R 155 poziva na ISO/SAE 21434 kao primjer procesa CSMS-a, on također zahtijeva da sposobnosti CSMS-a mora se održavati na stalnoj osnovi:

  • UN R 155, Poglavlje 7.2.2.3: Sajber prijetnje i ranjivosti koje zahtijevaju odgovor proizvođača vozila rješavaju se u razumnom vremenskom roku.
  • UN R 155, Poglavlje 7.2.2.4: Proizvođač vozila mora pokazati da postupci primijenjeni u njegovom sistemu upravljanja sajber sigurnosti osiguravaju da se nadzor iz stava 7.2.2.2 g) odvija redovno.

 

Navedeni zahtjevi mogu se dugoročno realno ispuniti samo ako se uz CSMS radi i sistem upravljanja sigurnošću informacija (ISMS), koji trajno osigurava sigurnost informacija u cijeloj kompaniji. Iz tog razloga, ENX VCS uvijek zahtijeva da razvojne lokacije također moraju proći TISAX procjenu. Na ovaj način, revidirani dobavljač može na održiv način pokazati ispunjenje svojih obaveza dužne pažnje kroz svjesno upravljanje rizika i nesklono riziku.

ISO 27001 - klasična sigurnost informacija

ISO/IEC 27001 je vodeći međunarodni standard za uvođenje holističkog sistema upravljanja za sigurnost informacija. ISO standard je nedavno revidiran i ponovo objavljen 25. oktobra 2022.

ISO 27001 - više in­form­a­cija

Prednosti ENX VCS

1:1 implementacija ISO 21434 i ISO/PAS 5112

Prva je dobra vijest da je svako ko prati ISO 21434 i ISO/PAS 5112 u smislu sajber sigurnosti automobila već na pravom putu. Zahtjevi dvaju standarda su - matematički govoreći - pravi podskup VCS specifikacija. To znači da se svi zahtjevi dvaju ISO standarda mogu naći 1:1 u ENX VCS (Vehicle Cyber ​​Security).

Međutim, u poređenju sa ISO revizijama, ENX VCS omogućava uporediv model procedure. Kako bi osigurao uporedive procese na globalnom nivou za sve pružaoce audita, ENX je također objavio specifične "Kriterije i zahtjeve za provajdere audita" (ACAR VCS 1.0) i obavezujući VCSA katalog audita 1.0 na pokretanju programa. To uključuje, između ostalog:

  • Organizacioni audit CSMS propisa (prvenstveno audite dokumenata i procesa),
  • Kreiranje uzorka orijentisanog na rizike projekata koji se bave sajber sigurnosti komponenti,
  • Uzorak projekata se koristi za provjeru da li se CSMS propisi dosljedno primjenjuju u VCS projektima. Uključuje, na primjer, intervjue sa članovima inženjerskog tima i pregled rezultata njihovog rada.

Standardizirane kompetencije

ACAR također definiše globalno standardizovane zahtjeve za kompetencijama i opise uloga za auditore i eksperte:

  • VCS Lead auditor
  • VCS ekspert

Znanje VCS eksperta mora uvijek biti zastupljeno u timu audita VCS. U fazi intervjua ekspert preuzima razgovor sa inženjerskim timovima kako bi omogućio profesionalnu procjenu aktivnosti i rezultata rada.

Auditiranje orjentisano na uloge

U tradiciji TISAX®, ENX VCS također razmatra različite uloge koje dobavljači mogu imati u obezbjeđivanju komponenti relevantnih za sajber sigurnost u obliku novog sistema za VCS etikete. Na ovaj način, dobavljač mora ispuniti samo one zahtjeve VCSA kataloga procjene koji su prikladni za njegovu odgovarajuću ulogu:

  • VCS razvoj
  • VCS proizvodnja
  • VCS operacije & održavanje

Uporedivi napori

ENX VCS oznake važe tri godine i ne zahtijevaju nadzorne audite. Nasuprot tome, auditi u skladu sa ISO/SAE 21434 zahtijevaju (ponovnu) certifikaciju u trajanju od tri godine i dva godišnja nadzorna audita s odgovarajućim putnim troškovima.

Agilnost

Za razliku od ISO standarda, ENX VCS također obećava veću agilnost pri prilagođavanju novim zahtjevima. ACAR propisi obično podliježu obaveznoj reviziji jednom godišnje, koju moraju implementirati svi pružaoci audita VCS.

 

Diagram showing the interplay of the various VCS standards and programs

Zaključak: ENX VCS kao razuman način za postavljanje kursa

Ukratko, program provjere ENX VCS omogućava globalno poboljšanu implementaciju audita u skladu sa zahtjevima ISO/SAE 21434 i ISO/PAS 5112. Povećana globalna uporedivost nove oznake osigurava značajno povećano povjerenje u certifikaciju i implementaciju zahtjeva za sajber sigurnost UN R 155.

DQS: vaš pouzdan partner za certifikaciju

Kao jedan od najiskusnijih njemačkih pružatelja usluga za certifikaciju sistema upravljanja, DQS već dugi niz godina radi sa ENX-om, a također je bio direktno uključen u razvoj novog programa audita. Tokom dugog perioda razvoja koji je doveo do objavljivanja programa, DQS je stekao dragocjeno iskustvo u velikom broju probnih audita i stoga je idealno spreman za audit vašeg CSMS-a na osnovu VCS specifikacija.

Iskoristite znanje naših stručnjaka i naučite sve što vam je potrebno o ENX VCS i njegovom značaju za vašu kompaniju. Sa više od 35 godina iskustva i znanjem 2.500 auditora širom svijeta, mi smo vaš kompetentan partner za certifikaciju i pružamo odgovore na sva pitanja koja se odnose na zaštitu podataka i sigurnost informacija.

questions-answers-dqs-question mark on wooden dice on table

Rado ćemo odgovoriti na vaša pitanja

Koji su zahtjevi za certifikaciju prema ISO 27001, IATF 16949, ENX VCS ili TISAX®? I kakav trud treba da očekujete? Saznajte sami. Neobvezujuće i besplatno.

Radujemo se razgo­voru s vama
Autor
Holger Schmeken

Proizvodni menadžer za TISAX® i VCS, auditor za ISO/IEC 27001, ekspert za softversko inženjerstvo sa više od 30 godina iskustva i zamjenik službenika za sigurnost informacija. Holger Schmeken je magistrirao poslovnu informatiku i ima proširenu nadležnost audita za kritične infrastrukture u Njemačkoj (KRITIS).

Relevantni članci i događaji

Možda će vas interesovati i:
Blog
Big rig white technological improved long haul semi truck with refrigerated semi trailer for transpo

DTNA Zahtjevi za TISAX® oznake od dobavljača

Pročitaj više
Blog
robot finger types on keyboard, artificial intelligence

Otključavanje pouzdane AI: Šta trebate znati o ISO/IEC 42001 certifikaciji

Pročitaj više
Blog
A construction drawing of a technical component; a compass, pencil and logarithm ruler are spread ou

Nove TISAX® oznake: šta treba uzeti u obzir

Pročitaj više

Pitanja?

Mi smo tu za vas.
Kon­tak­tira­jte nas