racing cars on a track

Certifikované kybernetické zabezpečení automobilů s ENX VCS

Holger Schmeken

Expert DQS na informační bezpečnost
říj 11 , 2024

Dnešní vozidla jsou počítače na kolech, a proto jsou vystavena riziku kybernetického útoku. V červenci 2024 se objevily nové předpisy, které mají zajistit komplexní kybernetickou bezpečnost automobilů v celém dodavatelském řetězci automobilového průmyslu. Sdružení ENX zveřejnilo nový audit kybernetické bezpečnosti vozidel (VCSA), který má podpořit výrobce OEM a dodavatele při zavádění nových požadavků.

Tento článek byl poprvé publikován v německém časopise "QZ - Quality and Reliability", ročník 69 (2024).

Seznam obsahu

people in a car driving down the road happily

Díky digitální transformaci jsou vozidla efektivnější a bezpečnější. Díky elektronickým řídicím systémům a neustálému propojování do sítí se však také stala cílem kybernetických zločinců. Kritické systémy mohou být napadeny, což může mít fatální následky. Navzdory nejpřísnějším standardům pro vývoj softwaru neexistuje ani v letectví záruka bezchybného softwaru.
Kontrola softwaru však umožňuje rychlou reakci na problémy s kvalitou - aktualizace lze nyní provádět vzduchem (OTA) prakticky přes noc.

Závazné předpisy v oblasti kybernetické bezpečnosti

V rámci boje proti rostoucím kybernetickým hrozbám přijala EHK OSN pravidla R 155 a 156, která zahrnují zavedení systému řízení kybernetické bezpečnosti (CSMS), respektive systému řízení aktualizací softwaru (SUMS). Cílem těchto předpisů je zajistit kybernetickou bezpečnost v průběhu celého životního cyklu modelu a v celém dodavatelském řetězci. V EU jsou tyto předpisy povinné pro všechna nově vyrobená vozidla od července 2024.

ENX VCS - celosvětový program auditů pro ISO/SAE 21434

V rámci normy ISO/SAE 21434 (Silniční vozidla - technika kybernetické bezpečnosti) byl v průběhu platnosti předpisů OSN učiněn pokus o vytvoření směrnice a důkazu shody pro dodržování předpisů. V praxi se však ukázalo, že příslušné programy auditů poskytovatelů zkušebních služeb jsou příliš odlišné - navzdory specifikacím normy ISO/PAS 5112. Výrobci proto stále neměli možnost poskytnout zákonodárci spolehlivé a srovnatelné důkazy o shodě svých dodavatelů - ti zase měli problémy s prokazováním shody se svými smluvními ustanoveními na základě srovnatelného zkušebního základu.

Proto sdružení ENX (sdružení evropských výrobců automobilů, dodavatelů a sdružení) navrhlo program auditu ENX VCS. ENX VCS audituje implementaci systému řízení kybernetické bezpečnosti vozidel (VCSMS) v souladu s normami ISO 21434 a ISO 5112. Jeho rozhodující výhoda: audit VCS je celosvětově standardizovaný a lze jej rychleji přizpůsobit novým výzvám než normu ISO. Skupina mezinárodních odborníků pravidelně přezkoumává program auditu, aby byl stále aktuální.

 

Jste připraveni na ENX VCS?

Přečtěte si vše o procesu ENX VCS a předpokladech pro získání značky VCS.

Get your VCS label here!

Standardizované audity - srovnatelné výsledky

Díky standardizovanému auditu ENX VCS se společnosti vyhnou zbytečným, v neposlední řadě finančním, výdajům, které mohou vzniknout v důsledku víceúrovňových auditních procesů a rozdílných auditů. Aby byly zajištěny globálně srovnatelné procesy u všech poskytovatelů auditu, zveřejnila společnost ENX při spuštění programu také specifická kritéria a požadavky na poskytovatele auditu (ACAR VCS) a závazný katalog auditů pro audity kybernetické bezpečnosti vozidel (VCSA). Ty definují řadu povinných kompetencí a závazný procesní model pro auditory VCS - kromě organizačního auditu předpisů V-CSMS například povinný audit dokumentů a procesů - a tvorbu rizikově orientovaného náhodného vzorku všech projektů relevantních z hlediska kybernetické bezpečnosti. Inženýrské týmy odpovědné za projekty ve vzorku jsou pak dotazovány auditory a odborníky. Výsledky práce týmu jsou přezkoumány, aby se zajistilo, že V-CSMS je skutečně používán v praxi. Po úspěšném dokončení testu mohou společnosti požádat ENX o odpovídající označení VCS a zpřístupnit je zájemcům prostřednictvím výměnného mechanismu ENX.
.

TISAX® a VCS pracují v tandemu

Strukturálně jsou audity VCS s ACAR VCS založeny na zavedeném automobilovém standardu TISAX®. Oba mechanismy auditu se vzájemně doplňují: zatímco TISAX®hodnotí bezpečnost informací ve společnosti, značka VCS potvrzuje kybernetickou bezpečnost součástí vozidla. Podobně jako u systému TISAX® audit VCS zohledňuje různé role dodavatelů při poskytování kyberneticky relevantních součástí. Každý dodavatel proto musí splňovat pouze požadavky katalogu auditu VCSA, které odpovídají jeho skutečné, specifické roli. Rozlišuje se mezi různými označeními:

  • Vývoj VCS: Společnost provádí bezpečný vývoj komponent VCS - od integrace. Proces integrace systému do obecné bezpečnostní architektury až po bezpečnou implementaci a bezpečný přechod do výroby.
  • Výroba VCS: VCS se vyrábí v rámci tzv: Společnost vyrábí komponenty VCS a zajišťuje jejich bezpečnou konfiguraci a softwarové vybavení.
  • Provoz a údržba VCS: Společnosti jsou svěřeny protokolové údaje z vozového parku, které umožňují identifikovat problematické provozní stavy nebo identifikovat konkrétní bezpečnostní incidenty. Toto označení je vhodné i pro společnosti, které potřebují udržovat své komponenty VCS v aktuálním stavu.
Description of the various standards for cyber security throughout a vehicle's lifecycle

Důkaz o shodě podle ENX VCS

V rámci auditu VCS si mohou výrobci OEM a dodavatelé nechat provést audit svého systému V-CSMS od schválených poskytovatelů auditu a získat od společnosti ENX štítek VCS, který je platný po dobu tří let. Zvýšená globální srovnatelnost nových štítků posiluje důvěru ve shodu systému V-CSMS se specifikacemi kybernetické bezpečnosti EHK OSN R 155, což společnostem umožňuje jasně prokázat shodu s těmito specifikacemi úřadům a obchodním partnerům a přispět ke komplexní kybernetické bezpečnosti automobilového průmyslu. Zde se vyplatí jednat rychle: V úvodní fázi je registrace k auditu ENX VCS zdarma.

DQS - Jednoduché využití bezpečnosti

Společnost DQS byla založena v roce 1985 jako první německý certifikační orgán. Od té doby patříme k předním světovým odborníkům na audity a certifikaci. Zakládající partneři DGQ (Deutsche Gesellschaft für Qualität e. V.) a DIN (Deutsches Institut für Normung e. V.) jsou důležitými partnery pro školení a další vzdělávání i normalizační činnost.

Ve prospěch našich klientů se aktivně účastníme práce ve výborech a orgánech a přispíváme svými odbornými znalostmi při auditech. Náš nárok začíná tam, kde končí kontrolní seznamy pro audit. 

Důvěra a odborné znalosti

Naše texty a brožury píší výhradně naši odborníci na normy nebo dlouholetí auditoři. Pokud máte k obsahu textů nebo k našim službám pro našeho autora jakékoli dotazy, budeme se těšit na vaši odpověď.

Zdroj: www.qz-online.de (přední německé periodikum pro management kvality).

Autor

Holger Schmeken

Produktový manažer a expert na bezpečnost informací a vývoj softwaru. Holger Schmeken přispívá svými odbornými znalostmi také jako auditor pro ISO 27001 s kompetencí pro auditní postupy KRITIS.

Relevantní články a události

Mohlo by vás také zajímat toto
Blog

DTNA požaduje od dodavatelů štítky TISAX®

Přečtěte si více
Blog

Odemykání důvěryhodné umělé inteligence: Co potřebujete vědět o certifikaci ISO/IEC 42001

Přečtěte si více
Blog

Nové etikety TISAX®: co je třeba zvážit

Přečtěte si více