racing cars on a track

Πιστοποιημένη ασφάλεια αυτοκινήτων στον κυβερνοχώρο με ENX VCS

Holger Schmeken

Εμπειρογνώμονας της DQS για την ασφάλεια πληροφοριών
Οκτ 11 , 2024

Τα σημερινά οχήματα είναι υπολογιστές σε τροχούς. Ως εκ τούτου, εκτίθενται στους κινδύνους μιας κυβερνοεπίθεσης. Νέοι κανονισμοί προέκυψαν τον Ιούλιο του 2024 για να διασφαλιστεί η ολοκληρωμένη ασφάλεια στον κυβερνοχώρο της αυτοκινητοβιομηχανίας σε ολόκληρη την αλυσίδα εφοδιασμού της αυτοκινητοβιομηχανίας. Η ENX Association δημοσίευσε το νέο Vehicle Cyber Security Audit (VCSA) για να υποστηρίξει τους OEM και τους προμηθευτές στην εφαρμογή των νέων απαιτήσεων.

Αυτό το άρθρο δημοσιεύθηκε για πρώτη φορά στο γερμανικό περιοδικό "QZ - Quality and Reliability", vol. 69 (2024)

List of Contents 

 

 

people in a car driving down the road happily

Ο ψηφιακός μετασχηματισμός έχει καταστήσει τα οχήματα πιο αποδοτικά και ασφαλέστερα. Μέσω των ηλεκτρονικών συστημάτων ελέγχου και της συνεχούς δικτύωσης, έχουν γίνει επίσης στόχοι για εγκληματίες στον κυβερνοχώρο. Κρίσιμα συστήματα θα μπορούσαν να δεχτούν επίθεση, με δυνητικά θανατηφόρες συνέπειες. Παρά την αυστηρότερη ανάπτυξη λογισμικού
πρότυπα, ακόμη και στην αεροπορία, δεν υπάρχει εγγύηση λογισμικού χωρίς σφάλματα. 
Ωστόσο, ο έλεγχος λογισμικού επιτρέπει μια γρήγορη απόκριση σε προβλήματα ποιότητας - οι ενημερώσεις μπορούν πλέον να γίνονται μέσω του αέρα (OTA) σχεδόν εν μία νυκτί.

Δεσμευτικοί κανονισμοί για την ασφάλεια στον κυβερνοχώρο

Προκειμένου να αντιμετωπιστούν οι αυξανόμενες απειλές στον κυβερνοχώρο, τα Ηνωμένα Έθνη υιοθέτησαν τις UNECE R 155 και 156, οι οποίες περιλαμβάνουν την εφαρμογή ενός συστήματος διαχείρισης ασφάλειας στον κυβερνοχώρο (CSMS) και ενός συστήματος διαχείρισης ενημερώσεων λογισμικού (SUMS) αντίστοιχα. Οι κανονισμοί αποσκοπούν στη διασφάλιση της ασφάλειας στον κυβερνοχώρο καθ' όλη τη διάρκεια του κύκλου ζωής ενός μοντέλου και σε ολόκληρη την αλυσίδα εφοδιασμού. Στην ΕΕ, οι κανονισμοί είναι υποχρεωτικοί για όλα τα νέα οχήματα από τον Ιούλιο του 2024.

ENX VCS - παγκόσμιο πρόγραμμα ελέγχου για το ISO / SAE 21434

Με το ISO/SAE 21434 (Road Vehicles - Cybersecurity Engineering), έγινε προσπάθεια κατά τη διάρκεια των κανονισμών του ΟΗΕ να δημιουργηθεί μια κατευθυντήρια γραμμή και απόδειξη συμμόρφωσης για συμμόρφωση με τους κανονισμούς. Στην πράξη, ωστόσο, τα αντίστοιχα προγράμματα ελέγχου των παρόχων υπηρεσιών δοκιμών αποδείχθηκαν πολύ διαφορετικά - παρά τις προδιαγραφές του ISO/PAS 5112. Ως εκ τούτου, οι κατασκευαστές εξακολουθούσαν να μην έχουν τη δυνατότητα να παράσχουν στον νομοθέτη αξιόπιστα και συγκρίσιμα αποδεικτικά στοιχεία σχετικά με τη συμμόρφωση των προμηθευτών τους - οι οποίοι με τη σειρά τους αντιμετώπισαν προβλήματα στην απόδειξη της συμμόρφωσης με τις συμβατικές τους διατάξεις βάσει συγκρίσιμης βάσης δοκιμών.

Αυτός είναι ο λόγος για τον οποίο η ENX Association (μια ένωση ευρωπαίων κατασκευαστών, προμηθευτών και ενώσεων αυτοκινήτων) έχει σχεδιάσει το πρόγραμμα ελέγχου ENX VCS. Το ENX VCS ελέγχει την εφαρμογή ενός οχήματος Συστημάτων Διαχείρισης Ασφάλειας στον Κυβερνοχώρο (VCSMS) σύμφωνα με τα πρότυπα ISO 21434 και ISO
5112. Είναι αποφασιστικό πλεονέκτημα: ο έλεγχος VCS είναι τυποποιημένος παγκοσμίως και μπορεί να προσαρμοστεί πιο γρήγορα στις νέες προκλήσεις από ένα πρότυπο ISO. Μια ομάδα διεθνών εμπειρογνωμόνων επανεξετάζει τακτικά το πρόγραμμα ελέγχου για να το ενημερώνει.

 

Είστε έτοιμοι για το ENX VCS;

Μάθετε τα πάντα σχετικά με τη διαδικασία ENX VCS και τις προϋποθέσεις για την ετικέτα VCS.

Αποκτήστε την ετικέτα VCS σας εδώ!

Τυποποιημένοι έλεγχοι - συγκρίσιμα αποτελέσματα

Με τον τυποποιημένο έλεγχο ENX VCS, οι εταιρείες αποφεύγουν περιττά, κυρίως οικονομικά, έξοδα που μπορεί να προκύψουν από διαδικασίες ελέγχου πολλαπλών επιπέδων και αποκλίνοντες ελέγχους. Για να εξασφαλίσει παγκοσμίως συγκρίσιμες διαδικασίες σε όλους τους παρόχους ελέγχου, η ENX δημοσίευσε επίσης συγκεκριμένα κριτήρια και απαιτήσεις αξιολόγησης παρόχων ελέγχου (ACAR VCS) και έναν δεσμευτικό κατάλογο ελέγχου για τους ελέγχους ασφάλειας στον κυβερνοχώρο οχημάτων (VCSA) κατά την έναρξη του προγράμματος. Αυτές καθορίζουν μια σειρά υποχρεωτικών αρμοδιοτήτων και ένα δεσμευτικό διαδικαστικό μοντέλο για τους ελεγκτές VCS - εκτός από τον οργανωτικό έλεγχο των κανονισμών V-CSMS, για παράδειγμα, έναν υποχρεωτικό έλεγχο εγγράφων και διαδικασιών - και τον σχηματισμό ενός τυχαίου δείγματος προσανατολισμένου στον κίνδυνο όλων των έργων που σχετίζονται με την ασφάλεια στον κυβερνοχώρο. Στη συνέχεια, οι ομάδες μηχανικών που είναι υπεύθυνες για τα έργα του δείγματος καλούνται σε συνέντευξη με τους ελεγκτές και τους εμπειρογνώμονες. Τα αποτελέσματα της εργασίας της ομάδας εξετάζονται για να διασφαλιστεί ότι το V-CSMS χρησιμοποιείται πραγματικά στην πράξη. Μόλις ολοκληρωθεί η επιτυχής δοκιμή, οι εταιρείες μπορούν να υποβάλουν αίτηση στο ENX για ένα αντίστοιχο σήμα VCS και να το διαθέσουν στα ενδιαφερόμενα μέρη μέσω του μηχανισμού ανταλλαγής ENX.

Το TISAX® και το VCS λειτουργούν παράλληλα

Δομικά, οι έλεγχοι VCS με το ACAR VCS βασίζονται στο καθιερωμένο πρότυπο αυτοκινήτων TISAX®. Οι δύο μηχανισμοί ελέγχου αλληλοσυμπληρώνονται: ενώ η TISAX®αξιολογεί την ασφάλεια των πληροφοριών σε μια εταιρεία, η ετικέτα VCS επιβεβαιώνει την ασφάλεια στον κυβερνοχώρο των εξαρτημάτων του οχήματος. Παρόμοια με το TISAX®, ο έλεγχος VCS λαμβάνει υπόψη τους διάφορους ρόλους των προμηθευτών στην παροχή εξαρτημάτων σχετικών με τον κυβερνοχώρο. Επομένως, κάθε προμηθευτής πρέπει να πληροί μόνο τις απαιτήσεις του καταλόγου ελέγχου VCSA που αντιστοιχούν στον πραγματικό, συγκεκριμένο ρόλο του. Γίνεται διάκριση μεταξύ των διαφόρων ετικετών:

  • Ανάπτυξη VCS:  Η εταιρεία πραγματοποιεί την ασφαλή ανάπτυξη εξαρτημάτων VCS - από την ενσωμάτωση. Η διαδικασία ενσωμάτωσης του συστήματος στη γενική αρχιτεκτονική ασφάλειας μέσω της ασφαλούς εφαρμογής και της ασφαλούς μετάβασης στην παραγωγή.
  • Παραγωγή VCS: Η εταιρεία παράγει εξαρτήματα VCS και εξασφαλίζει την ασφαλή διαμόρφωση και τον εξοπλισμό λογισμικού τους.
  • Λειτουργίες & συντήρηση VCS: Η εταιρεία είναι επιφορτισμένη με δεδομένα καταγραφής από τον στόλο οχημάτων, τα οποία επιτρέπουν τον εντοπισμό προβληματικών συνθηκών λειτουργίας ή τον εντοπισμό συγκεκριμένων περιστατικών ασφάλειας. Αυτή η ετικέτα είναι επίσης κατάλληλη για εταιρείες που πρέπει να διατηρούν ενημερωμένα τα στοιχεία VCS.
Description of the various standards for cyber security throughout a vehicle's lifecycle

Απόδειξη συμμόρφωσης σύμφωνα με το ENX VCS

Στο πλαίσιο του ελέγχου VCS, οι OEM και οι προμηθευτές μπορούν να ελέγξουν το V-CSMS τους από εγκεκριμένους παρόχους ελέγχου και να λάβουν μια ετικέτα VCS από την ENX που ισχύει για τρία χρόνια. Η αυξημένη παγκόσμια συγκρισιμότητα των νέων ετικετών ενισχύει την εμπιστοσύνη στη συμμόρφωση του V-CSMS με τις προδιαγραφές ασφάλειας στον κυβερνοχώρο UNECE R 155, επιτρέποντας στις εταιρείες να αποδείξουν σαφώς τη συμμόρφωσή τους στις αρχές και τους επιχειρηματικούς εταίρους και να συμβάλουν στην ολοκληρωμένη ασφάλεια στον κυβερνοχώρο της αυτοκινητοβιομηχανίας. Αξίζει να δράσετε γρήγορα εδώ: Κατά τη διάρκεια της εισαγωγικής φάσης, η εγγραφή για τον έλεγχο ENX VCS είναι δωρεάν. 

DQS - Απλή αξιοποίηση της ασφάλειας

Η DQS ιδρύθηκε το 1985 ως ο πρώτος οργανισμός πιστοποίησης της Γερμανίας. Από τότε, είμαστε ένας από τους κορυφαίους εμπειρογνώμονες ελέγχου και πιστοποίησης στον κόσμο. Οι ιδρυτικοί εταίροι DGQ (Deutsche Gesellschaft für Qualität e.V.) και DIN (Deutsches Institut für Normung e.V.) είναι σημαντικοί εταίροι για την κατάρτιση και την περαιτέρω εκπαίδευση καθώς και για τις εργασίες τυποποίησης.

Συμμετέχουμε ενεργά σε επιτροπές και όργανα για λογαριασμό των πελατών μας και συνεισφέρουμε τις εξειδικευμένες γνώσεις μας στους ελέγχους μας. Η αξίωσή μας ξεκινά εκεί όπου τελειώνουν οι λίστες ελέγχου ελέγχου. Πάρτε μας στα λόγια μας.

Εμπιστοσύνη και τεχνογνωσία

Τα κείμενα και τα φυλλάδιά μας γράφονται αποκλειστικά από τους ειδικούς μας στα πρότυπα ή από μακροχρόνιους ελεγκτές. Εάν έχετε οποιεσδήποτε ερωτήσεις σχετικά με το περιεχόμενο του κειμένου ή τις υπηρεσίες μας στον συγγραφέα μας, ανυπομονούμε να ακούσουμε από εσάς.

Πηγή: www.qz-online.de (το κυριότερο περιοδικό της Γερμανίας για τη διαχείριση της ποιότητας).

Συγγραφέας

Holger Schmeken

Διαχειριστής προϊόντων και εμπειρογνώμονας για την ασφάλεια πληροφοριών και την ανάπτυξη λογισμικού. Ο Holger Schmeken προσφέρει επίσης την εμπειρογνωμοσύνη του ως ελεγκτής για το ISO 27001 με αρμοδιότητα στη διαδικασία ελέγχου KRITIS και ως Chief Information Security Officer της DQS BIT GmbH.

Σχετικά άρθρα και εκδηλώσεις

Μπορεί επίσης να σας ενδιαφέρει αυτό
Blog

Επικοινωνία Κρίσης κατά τη Διάρκεια Επίθεσης Ransomware: Διαχείριση Πληροφοριών σε Έκτακτη Ανάγκη

Διαβάστε περισσότερα
Blog

DTNA αίτηση για ετικέτες TISAX από προμηθευτές

Διαβάστε περισσότερα
Blog

ENX VCS versus ISO 21434: Έλεγχος ασφάλειας οχημάτων στον κυβερνοχώρο

Διαβάστε περισσότερα