autonomous driving by a e-car, e-mobility

ENX VCS versus ISO 21434: Έλεγχος ασφάλειας οχημάτων στον κυβερνοχώρο

Holger Schmeken

Εμπειρογνώμονας της DQS για την ασφάλεια πληροφοριών
Ιουλ 10 , 2024

Ο ψηφιακός μετασχηματισμός της αυτοκινητοβιομηχανίας βρίσκεται σε πλήρη εξέλιξη. Όπου είναι δυνατόν, οι μηχανικοί δίνουν τη θέση τους στα ηλεκτρονικά. Η εγκατάσταση περισσότερων εξαρτημάτων Η/Ε καθιστά τα οχήματα πιο ισχυρά και αυξάνει την οδηγική ασφάλεια - αλλά τα εκθέτει επίσης στους κινδύνους των επιθέσεων στον κυβερνοχώρο. Για τον λόγο αυτό, τα Ηνωμένα Έθνη υιοθέτησαν το UN R 155, το οποίο προβλέπει την εφαρμογή σύγχρονων συστημάτων διαχείρισης της ασφάλειας στον κυβερνοχώρο (CSMS) και θα τεθεί σε πλήρη ισχύ από τον Ιούλιο του 2024.


Με το πρότυπο ISO / SAE 21434 "Οδικά οχήματα - Μηχανική ασφάλειας στον κυβερνοχώρο", υπάρχει ήδη μια κατευθυντήρια γραμμή που αναφέρεται στις επίσημες απαιτήσεις, αλλά στην πράξη, αυτό αποδείχθηκε ανεπαρκώς ακριβές. Για να καταστεί δυνατή μια παγκοσμίως τυποποιημένη εφαρμογή, η ENX Association δημιούργησε μια νέα επιλογή πιστοποίησης με τους ελέγχους ασφάλειας στον κυβερνοχώρο οχημάτων (VCSA). Στην ανάρτηση ιστολογίου μας, οι εταιρείες της αυτοκινητοβιομηχανίας μπορούν να μάθουν γιατί αυτό το πρόγραμμα ελέγχου είναι πιο κατάλληλο για να αποδείξει τη συμμόρφωση με τους νέους κανονισμούς από την πιστοποίηση αποκλειστικά σύμφωνα με το ISO / SAE 21434.

Η σημασία των νέων κανονισμών για την ασφάλεια στον κυβερνοχώρο στην αυτοκινητοβιομηχανία

Με τους νέους κανονισμούς για την ασφάλεια στον κυβερνοχώρο των αυτοκινήτων, οι δεσμευτικές απαιτήσεις θα ισχύουν για όλα τα νέα οχήματα από τον Ιούλιο του 2024. Εάν δεν εφαρμοστούν οι απαιτήσεις, η αντίστοιχη σειρά μοντέλων δεν θα λάβει έγκριση τύπου. Η ολιστική ασφάλεια στον κυβερνοχώρο, όπως επιδιώκεται από τις αρχές με την υποχρεωτική εφαρμογή ενός συστήματος διαχείρισης ασφάλειας στον κυβερνοχώρο (CSMS), περιλαμβάνει όλα τα εξαρτήματα του οχήματος.

Τα περισσότερα από τα εξαρτήματα που εγκαθίστανται στα οχήματα προέρχονται από την αλυσίδα εφοδιασμού των κατασκευαστών αυτοκινήτων. Το UN R 155 καθιστά αυτούς τους κατασκευαστές υπεύθυνους για την ασφάλεια στον κυβερνοχώρο των εξαρτημάτων που προμηθεύουν. Ωστόσο, μπορούν να επηρεάσουν την ασφάλεια στον κυβερνοχώρο των εξαρτημάτων μόνο μέσω των συμβατικών συμφωνιών τους με τους προμηθευτές. Ως εκ τούτου, στο πλαίσιο της διαχείρισης κινδύνων, οι κατασκευαστές οχημάτων εξαρτώνται από σαφείς συμβάσεις και ουσιαστικούς ελέγχους των προμηθευτών τους, προκειμένου να διασφαλιστεί και να διατηρηθεί μακροπρόθεσμα η απαραίτητη ασφάλεια στον κυβερνοχώρο.

Ποια προβλήματα αντιμετωπίζουν οι νέοι κανονισμοί;
Η εισαγωγή

της UN R 155 (και της UN R 156, η οποία επικεντρώνεται στις ενημερώσεις λογισμικού) του νομοθέτη εφιστά την προσοχή σε διάφορα πολύπλοκα ζητήματα που υπάρχουν σε σχέση με τα ελεγχόμενα από λογισμικό εξαρτήματα οδικών οχημάτων και την ασφάλεια στον κυβερνοχώρο:

  • Πώς μπορεί να διασφαλιστεί ότι το λογισμικό για τη λειτουργία τέτοιων στοιχείων σχεδιάζεται, αναπτύσσεται και υλοποιείται με ασφάλεια;
  • Πώς εξοπλίζεται ένα εξάρτημα μόνο με την προβλεπόμενη έκδοση λογισμικού στη διαδικασία παραγωγής και πώς απαιτούνται τα σχετικά συστήματα παραγωγής για τον εξοπλισμό των εξαρτημάτων με προστασία λογισμικού;
  • Πώς μπορεί να παρακολουθείται ότι τα συμβάντα ασφαλείας στα στοιχεία καταγράφονται και οι απειλές μπορούν να διορθωθούν αποτελεσματικά με ενημερώσεις ακόμη και μετά από δέκα χρόνια;

Πιστοποίηση ISO 21434 ως λύση;

Για να απαντηθούν αυτά τα ερωτήματα, η UN R 155 αναφέρει τη δημιουργία ενός συστήματος διαχείρισης της ασφάλειας στον κυβερνοχώρο (CSMS) σύμφωνα με το ISO/SAE 21434 στους κατασκευαστές οχημάτων. Ένα σύστημα διαχείρισης είναι ένα σύνολο διαδικασιών και διαδικασιών που χρησιμοποιούνται για την αποτελεσματική διαχείριση και τον έλεγχο μιας εταιρείας ή ενός οργανισμού.
Για τους σκοπούς του προτύπου, ο όρος «ασφάλεια στον κυβερνοχώρο» στην αυτοκινητοβιομηχανία αναφέρεται συγκεκριμένα στην προστασία των συστημάτων υπολογιστών, των δικτύων και των δεδομένων τους στα οδικά οχήματα. Αυτό περιλαμβάνει μέτρα και στρατηγικές για τη διασφάλιση της ασφάλειας και της ακεραιότητας των ψηφιακών συστημάτων που χρησιμοποιούνται στα οχήματα.

Για να διασφαλιστεί η ασφάλεια στον κυβερνοχώρο, το πρότυπο καθορίζει διαδικασίες και διαδικασίες για ένα CSMS στο σχεδιασμό ασφάλειας, την ανάπτυξη προϊόντων, τη συντήρηση προϊόντων, την ανίχνευση κινδύνων, την πρόληψη κινδύνων, τη διάθεση προϊόντων και τις σχετικές συνεχείς διαδικασίες. Έτσι, το πρότυπο παρέχει ένα ολοκληρωμένο αρχιτεκτονικό μοντέλο ενός CSMS, συμπεριλαμβανομένου ενός μοντέλου διαδικασίας για την αξιολόγηση των κινδύνων στον τομέα της ασφάλειας στον κυβερνοχώρο, το οποίο αναφέρεται ως Ανάλυση Απειλών και Κινδύνου (TARA).

Παρακάτω, μπορείτε να μάθετε ποια επιχειρήματα αντιτίθενται σε μια καθαρή πιστοποίηση ISO / SAE 21434 για την εκπλήρωση των απαιτήσεων του UN R 155.

Ασφάλεια στον κυβερνοχώρο αυτοκινήτων: νέοι κανονισμοί από τον Ιούλιο του 2024

Με την ψηφιοποίηση, οι κίνδυνοι επιθέσεων έχουν αυξηθεί ραγδαία. Οι κατασκευαστές αυτοκινήτων αποτελούν ελκυστικό στόχο για τους εγκληματίες του κυβερνοχώρου από πολλές απόψεις. Διαβάστε την ανάρτηση ιστολογίου μας για να μάθετε ποιοι κανονισμοί ισχύουν για την προστασία τους.

Μετάβαση στο άρθρο ιστολογίου

Απαιτήσεις για επιθεωρήσεις με χρήση ISO/PAS 5112

Το ISO/SAE 21434 αφήνει πολλά περιθώρια ερμηνείας σχετικά με τον τρόπο ελέγχου ενός CSMS. Καθώς κάθε πάροχος ελέγχου δημιουργεί το δικό του πρόγραμμα ελέγχου για το πρότυπο ISO 21434 σύμφωνα με τους κανονισμούς του φορέα διαπίστευσης, το ISO / PAS 5112 κατέστησε απαραίτητη την τυποποίηση της διαδικασίας ελέγχου για την ασφάλεια στον κυβερνοχώρο και το CSMS ενός οργανισμού.

Το ISO / PAS 5112 περιέχει γενικές οδηγίες για τη διαχείριση ενός προγράμματος ελέγχου και παρέχει στους οργανισμούς τις απαραίτητες πληροφορίες σχετικά με το σχεδιασμό και την υλοποίηση ενός ελέγχου. Καθορίζει επίσης τις ικανότητες των ελεγκτών CSMS και εξηγεί πώς μπορεί να επαληθευτεί η εφαρμογή του προτύπου.

Γιατί αναπτύχθηκε ο έλεγχος VCS από την ENX

Παρά τις προσπάθειες αυτές για τη βελτίωση της τυποποίησης, τα προκύπτοντα προγράμματα ελέγχου της ασφάλειας στον κυβερνοχώρο στην αυτοκινητοβιομηχανία εξακολουθούν να ποικίλλουν ευρέως.

Στο πλαίσιο των βαθιά ολοκληρωμένων αλυσίδων εφοδιασμού με πολλούς συμβατικούς εταίρους, τα μη συγκρίσιμα προγράμματα ελέγχου αποτελούν σημαντικό πρόβλημα για τους κατασκευαστές οχημάτων. Οι κατασκευαστές πρέπει να είναι σε θέση να βασίζονται στα αποτελέσματα των ελέγχων προμηθευτών του συστήματος διαχείρισης ασφάλειας στον κυβερνοχώρο (CSMS) για τη διαχείριση κινδύνων.

Η ENX αναγνώρισε αυτή την ανάγκη και ανέπτυξε μια λύση σε συνεργασία με την αυτοκινητοβιομηχανία εφαρμόζοντας ένα παγκοσμίως τυποποιημένο πρόγραμμα ελέγχου που ονομάζεται ENX VCS (Vehicle Cyber Security). Η ENX έχει χρησιμοποιήσει το δίκτυο μελών της για να προσαρμόσει το πρόγραμμα ελέγχου στις συγκεκριμένες απαιτήσεις του κλάδου

Ταυτόχρονα, το πρότυπο ISO/SAE 21434 από μόνο του δεν επαρκεί για την κάλυψη όλων των κανονιστικών απαιτήσεων του UN R 155. Παρόλο που η UN R 155 αναφέρεται στο ISO/SAE 21434 ως παράδειγμα των διαδικασιών ενός CSMS, απαιτεί επίσης να διατηρούνται οι δυνατότητες του CSMS σε συνεχή βάση:

  • UN R 155, κεφάλαιο 7.2.2.3: Οι κυβερνοαπειλές και τα τρωτά σημεία που απαιτούν αντίδραση από τον κατασκευαστή του οχήματος αντιμετωπίζονται εντός εύλογου χρονικού διαστήματος.
  • UN R 155, κεφάλαιο 7.2.2.4: Ο κατασκευαστής του οχήματος αποδεικνύει ότι οι διαδικασίες που εφαρμόζονται στο οικείο σύστημα διαχείρισης της κυβερνοασφάλειας διασφαλίζουν ότι η παρακολούθηση που αναφέρεται στο σημείο 7.2.2.2 στοιχείο ζ) πραγματοποιείται τακτικά.

 

Οι προαναφερθείσες απαιτήσεις μπορούν να εκπληρωθούν ρεαλιστικά μακροπρόθεσμα μόνο εάν λειτουργεί παράλληλα με το CSMS ένα σύστημα διαχείρισης ασφάλειας πληροφοριών (ISMS), το οποίο διασφαλίζει μόνιμα την ασφάλεια των πληροφοριών σε ολόκληρη την εταιρεία. Για το λόγο αυτό, το ENX VCS απαιτεί πάντα ότι οι τοποθεσίες ανάπτυξης πρέπει επίσης να έχουν περάσει μια αξιολόγηση TISAX. Με αυτόν τον τρόπο, ο ελεγχόμενος προμηθευτής μπορεί να αποδείξει με βιώσιμο τρόπο την εκπλήρωση των υποχρεώσεών του δέουσας επιμέλειας μέσω διαχείρισης με επίγνωση του κινδύνου και αποφυγή κινδύνου.

ISO 27001 - κλασική ασφάλεια πληροφοριών

Το ISO / IEC 27001 είναι το κορυφαίο διεθνές πρότυπο για την εισαγωγή ενός ολιστικού συστήματος διαχείρισης για την ασφάλεια των πληροφοριών.Το πρότυπο ISO αναθεωρήθηκε πρόσφατα και αναδημοσιεύθηκε στις 25 Οκτωβρίου 2022.

ISO 27001 - περισσότερες πληροφορίες

Πλεονεκτήματα του ENX VCS

1:1 εφαρμογή των προτύπων ISO 21434 και ISO/PAS 5112

Τα καλά νέα πρώτα είναι ότι όποιος ακολουθεί τα ISO 21434 και ISO / PAS 5112 όσον αφορά την ασφάλεια στον κυβερνοχώρο της αυτοκινητοβιομηχανίας βρίσκεται ήδη στο σωστό δρόμο. Οι απαιτήσεις των δύο προτύπων είναι - μαθηματικά μιλώντας - ένα γνήσιο υποσύνολο των προδιαγραφών VCS. Αυτό σημαίνει ότι όλες οι απαιτήσεις των δύο προτύπων ISO μπορούν να βρεθούν 1: 1 στο ENX VCS Vehicle Cyber Security.

Σε σύγκριση με τους ελέγχους ISO, ωστόσο, το ENX VCS επιτρέπει ένα συγκρίσιμο μοντέλο διαδικασίας. Προκειμένου να διασφαλιστούν συγκρίσιμες διαδικασίες παγκοσμίως σε όλους τους παρόχους ελέγχου, η ENX δημοσίευσε επίσης συγκεκριμένα «Κριτήρια και απαιτήσεις αξιολόγησης παρόχων ελέγχου» (ACAR VCS 1.0) και έναν δεσμευτικό κατάλογο ελέγχου VCSA 1.0 κατά την έναρξη του προγράμματος. Αυτά περιλαμβάνουν, μεταξύ άλλων:

  • Ο οργανωτικός έλεγχος των κανονισμών CSMS (κυρίως έλεγχοι εγγράφων και διαδικασιών),
  • Η δημιουργία ενός δείγματος έργων προσανατολισμένων στον κίνδυνο που ασχολούνται με την ασφάλεια των εξαρτημάτων στον κυβερνοχώρο,
  • Το δείγμα των έργων χρησιμοποιείται για να ελεγχθεί κατά πόσον οι κανονισμοί CSMS εφαρμόζονται με συνέπεια σε έργα VCS. Περιλαμβάνει, για παράδειγμα, συνεντεύξεις με μέλη της ομάδας μηχανικών και ανασκόπηση των αποτελεσμάτων της εργασίας τους.

Τυποποιημένες ικανότητες

Η ACAR καθορίζει επίσης παγκοσμίως τυποποιημένες απαιτήσεις ικανοτήτων και περιγραφές ρόλων για ελεγκτές και εμπειρογνώμονες:

  • Επικεφαλής ελεγκτής VCS
  • Εμπειρογνώμονας VCS

Η γνώση ενός εμπειρογνώμονα VCS πρέπει πάντα να εκπροσωπείται στην ομάδα ελέγχου VCS. Κατά τη διάρκεια της φάσης της συνέντευξης, ο εμπειρογνώμονας αναλαμβάνει τη συζήτηση με τις ομάδες μηχανικών για να καταστήσει δυνατή μια επαγγελματική αξιολόγηση των δραστηριοτήτων και των αποτελεσμάτων της εργασίας.

Έλεγχος με γνώμονα τους ρόλους

Σύμφωνα με την παράδοση του TISAX®, το ENX VCS εξετάζει επίσης τους διάφορους ρόλους που μπορούν να διαδραματίσουν οι προμηθευτές στην παροχή εξαρτημάτων σχετικών με την ασφάλεια στον κυβερνοχώρο με τη μορφή ενός νέου συστήματος για ετικέτες VCS. Με αυτόν τον τρόπο, ένας προμηθευτής πρέπει να πληροί μόνο τις απαιτήσεις του καταλόγου αξιολόγησης VCSA που είναι κατάλληλες για τον αντίστοιχο ρόλο του:

  • Ανάπτυξη VCS
  • Παραγωγή VCS
  • Λειτουργίες & Συντήρηση VCS

Συγκρίσιμες προσπάθειες

Οι ετικέτες ENX VCS ισχύουν για τρία χρόνια και δεν απαιτούν ελέγχους επιτήρησης. Αντίθετα, οι επιθεωρήσεις σύμφωνα με το πρότυπο ISO/SAE 21434 απαιτούν έλεγχο (επανα)πιστοποίησης διάρκειας τριών ετών και δύο ετήσιους ελέγχους επιτήρησης με αντίστοιχα έξοδα ταξιδίου.

Ευκινησία

Σε αντίθεση με το πρότυπο ISO, το ENX VCS υπόσχεται επίσης μεγαλύτερη ευελιξία κατά την προσαρμογή στις νέες απαιτήσεις. Οι κανονισμοί ACAR υπόκεινται συνήθως σε υποχρεωτική αναθεώρηση μία φορά το χρόνο, η οποία πρέπει να εφαρμόζεται από όλους τους παρόχους ελέγχου VCS.

 

Diagram showing the interplay of the various VCS standards and programs

Συμπέρασμα: ENX VCS ως λογικός τρόπος για να ορίσετε την πορεία

Συνοπτικά, το πρόγραμμα επιθεώρησης ENX VCS επιτρέπει μια παγκοσμίως βελτιωμένη εφαρμογή του ελέγχου σύμφωνα με τις απαιτήσεις των προτύπων ISO / SAE 21434 και ISO / PAS 5112. Η αυξημένη παγκόσμια συγκρισιμότητα του νέου σήματος εξασφαλίζει σημαντικά αυξημένη εμπιστοσύνη στην πιστοποίηση και στην εφαρμογή των απαιτήσεων ασφάλειας στον κυβερνοχώρο του UN R 155.

DQS: ο αξιόπιστος συνεργάτης σας για πιστοποίηση

Ως ένας από τους πιο έμπειρους Γερμανούς παρόχους υπηρεσιών για την πιστοποίηση συστημάτων διαχείρισης, η DQS συνεργάζεται με την ENX εδώ και πολλά χρόνια και συμμετείχε επίσης άμεσα στην ανάπτυξη του νέου προγράμματος ελέγχου. Κατά τη διάρκεια της μακράς περιόδου ανάπτυξης που οδήγησε στη δημοσίευση του προγράμματος, η DQS απέκτησε πολύτιμη εμπειρία σε μεγάλο αριθμό δοκιμαστικών ελέγχων και, ως εκ τούτου, είναι ιδανικά προετοιμασμένη να ελέγξει το CSMS σας με βάση τις προδιαγραφές VCS.

Επωφεληθείτε από τις γνώσεις των ειδικών μας και μάθετε όλα όσα χρειάζεστε για το ENX VCS και τη σημασία του για την εταιρεία σας. Με περισσότερα από 35 χρόνια εμπειρίας και την τεχνογνωσία 2.500 ελεγκτών παγκοσμίως, είμαστε ο ικανός συνεργάτης πιστοποίησης και παρέχουμε απαντήσεις σε όλες τις ερωτήσεις σχετικά με την προστασία δεδομένων και την ασφάλεια των πληροφοριών.

questions-answers-dqs-question mark on wooden dice on table

Θα χαρούμε να απαντήσουμε στις ερωτήσεις σας

Ποιες είναι οι απαιτήσεις για πιστοποίηση κατά ISO 27001, IATF 16949, ENX VCS ή αξιολόγηση TISAX®; Και τι προσπάθεια πρέπει να περιμένετε; Μάθετε μόνοι σας. Μη δεσμευτική και δωρεάν.

Ανυπομονούμε να ακούσουμε από εσάς!
Συγγραφέας

Holger Schmeken

Διαχειριστής προϊόντων και εμπειρογνώμονας για την ασφάλεια πληροφοριών και την ανάπτυξη λογισμικού. Ο Holger Schmeken προσφέρει επίσης την εμπειρογνωμοσύνη του ως ελεγκτής για το ISO 27001 με αρμοδιότητα στη διαδικασία ελέγχου KRITIS και ως Chief Information Security Officer της DQS BIT GmbH.

Σχετικά άρθρα και εκδηλώσεις

Μπορεί επίσης να σας ενδιαφέρει αυτό
Blog

Επικοινωνία Κρίσης κατά τη Διάρκεια Επίθεσης Ransomware: Διαχείριση Πληροφοριών σε Έκτακτη Ανάγκη

Διαβάστε περισσότερα
Blog

The Three Pillars of Future Security

Διαβάστε περισσότερα
Blog

DTNA αίτηση για ετικέτες TISAX από προμηθευτές

Διαβάστε περισσότερα