Autoteollisuus on radikaalin paradigman muutoksen edessä: nopean digitalisoitumisen myötä yhä useammat elektroniset ohjausjärjestelmät, älykkäät komponentit, sulautetut järjestelmät ja API-liitännät löytävät tiensä ajoneuvoihin, mikä tekee niistä tehokkaampia, turvallisempia ja älykkäämpiä kuin koskaan ennen. Kasvava riippuvuus elektroniikasta sisältää kuitenkin myös vaaroja. On siis korkea aika tarkastella uusia standardeja lähemmin - myös tilintarkastajan näkökulmasta.
SISÄLTÖ
- Miksi autoteollisuuden kyberturvallisuus?
- Mitä kyberturvallisuus tarkoittaa autoteollisuudessa?
- Käytännön esimerkki: Hyökkäyksen vaikutukset
- Tietoturva ja ajoneuvojen ohjelmistopäivitykset
- Keitä uudet säännökset koskevat?
- UNECE:n kyberturvallisuus R 155:n mukaan
- Mikä on kyberturvallisuuden hallintajärjestelmä (CSMS)?
- Mitä R 156:n mukainen UNECE-ohjelmistopäivitys sääntelee?
- Onko kyberturvallisuus sertifioitavissa autoteollisuudessa?
- ISO/SAE 21434 maineen lisääjänä.
- Excursus: Muut tärkeät autoteollisuutta koskevat säädökset
- Tarkistuslistat UNECE:n autoteollisuuden tietoturvavaatimuksia varten
- DQS:n sertifiointi
Miksi autoteollisuuden kyberturvallisuus?
Autojen kyberturvallisuus on autonvalmistajien tämän hetken haaste. Jokainen ylimääräinen tietoliikenneliitäntä ja komponentti on potentiaalinen hyökkäyspiste kyberrikollisille. Manipulaation vahinkopotentiaali kasvaa nopeasti esimerkiksi autonomisesti ohjatuissa ajoneuvoissa tai elektronisesti ohjatuissa ajo- ja jarrutustoiminnoissa.
Tästä syystä Yhdistyneet Kansakunnat on nyt määrittelemässä autojen kyberturvallisuuden peruskehystä kahdella uudella asetuksella. Ne ovat UNECE:n kyberturvallisuus (UN R 155), jossa viitataan suoraan uuteen ISO/SAE 21434 -standardiin, ja UNECE:n ohjelmistojen päivitys (UN R 156). Määräykset tulevat pakollisiksi uusille ajoneuvotyypeille jo heinäkuussa 2022. Autoteollisuudella on näin ollen edessään suuria haasteita - varsinkin kun monet alkuperäiset laitevalmistajat ja tavarantoimittajat kritisoivat uusia määräyksiä hyvin yleisluonteisiksi. Tältä osin toivotaan laajalti konkreettisia toimenpidesuosituksia sitovaksi suojakaiteeksi.
Mitä kyberturvallisuus tarkoittaa autoteollisuudessa?
Kansainvälinen ISO 27001 -standardi on toimialarajat ylittävä lähestymistapa tietoturvaan, mutta termi autoteollisuuden kyberturvallisuus kuvaa digitaalisten järjestelmien turvallisuutta autoteollisuudessa. Moottoriajoneuvomme ovat yhä riippuvaisempia verkottuneista elektronisista järjestelmistä ja ohjelmistosovelluksista. Tämän vuoksi näiden komponenttien suojaaminen ja turvaaminen on yhä tärkeämpää - koko teollisuudessa. Tämä alkaa ajoneuvon valmistajasta, jatkuu tavarantoimittajiin ja suunnittelupalvelujen tarjoajiin ja ulottuu ohjelmistojen ja tieto- ja viestintätekniikan infrastruktuuripalvelujen tarjoajiin. Kaksi uutta Yhdistyneiden Kansakuntien asetusta, jotka on suunnattu valmistajille ja niiden tavarantoimittajille, on suunniteltu varmistamaan autoteollisuuden tietotekniikan turvallisuus.
ISO 27001 - tietoturvan klassikko
ISO/IEC 27001 on johtava kansainvälinen standardi tietoturvan kokonaisvaltaisen hallintajärjestelmän käyttöönotossa.
Miksi tarvitsemme autoteollisuuden kyberturvallisuutta?
Verkottuneet ajoneuvot: tämä tarkoittaa innovatiivisia avustinjärjestelmiä, (osittain) autonomista ajamista, verkottunutta tuotantoa, jossa on mukana alihankkijoita, verkottuneita autoja ja verkottuneita palveluita - digitalisaatio näkyy selvästi lähes kaikilla autoteollisuuden osa-alueilla, ja se etenee nopeasti. Lisääntyvä kytkeytyvyys tarkoittaa kuitenkin viime kädessä yhä enemmän koodia, ja tämä koodi voi vaarantua monin eri tavoin. Nykyaikaisissa autoissa on loppujen lopuksi jopa 150 elektronista ohjausyksikköä ja noin 100 miljoonaa riviä koodia, jonka odotetaan kolminkertaistuvan vuoteen 2030 mennessä. Nykyisissä ajoneuvoissa on jo nyt neljä kertaa enemmän ohjelmistoja kuin hävittäjissä.
Tietotekniikan turvallisuuteen tai autojen kyberturvallisuuteen on kiinnitettävä erityistä huomiota paitsi Corona-pandemian ja siihen liittyvien kyberhyökkäysten lisääntymisen jälkeen. Ajoneuvon on pystyttävä takaamaan toimintaturvallisuutensa kaikkina aikoina. Älyautoihin kohdistuvien kyberhyökkäysten vahinkopotentiaali on valtava. Suurten hyökkäysten kauhuskenaariot ("Hakkerihyökkäys lamauttaa samanaikaisesti kaikki valmistajan ajoneuvojen elektroniset jarrut.") on otettava huomioon. Tässä tarvitaan tarkkoja ja tehokkaita turvallisuuskonsepteja.
Käytännön esimerkki: Hyökkäyksen vaikutukset
Vuonna 2015 kaksi amerikkalaista IT-asiantuntijaa demonstroi Jeep Cherokee -autoon kohdistuvan hakkeroinnin mahdollisia vaikutuksia. He vaaransivat Uconnect-järjestelmän, joka yhdistää monia ajoneuvon elektronisia toimintoja infotainmentista navigointiin. Se toimii myös käyttöliittymänä mobiililaitteille ja avaa pyynnöstä WLAN-hotspotin - toisin sanoen sillä on IP-osoite. Osoittaakseen taitojaan hakkerit kutsuivat paikalle toimittajan, joka joutui hetkeä myöhemmin seuraamaan voimattomana, kun hän menetti ajoneuvon hallinnan.
Yli 1000 kilometrin etäisyydeltä hakkerit kytkivät ensin ilmastoinnin ja radion päälle kannettavan tietokoneensa kautta. Sitten he suihkuttivat pyyhkijävettä tuulilasiin ja lopuksi yksinkertaisesti sammuttivat moottorin - keskellä valtateiden välistä moottoritietä (joka vastaa eurooppalaista moottoritietä). Tämän ensimmäisen todisteen jälkeen ajoneuvojen tietotekniikkainfrastruktuurin vakavista haavoittuvuuksista he menivät vielä hieman pidemmälle. He osoittivat tyhjällä parkkipaikalla, että he pystyivät jopa vaikuttamaan ohjaukseen tai ohittamaan jarrut. Seurauksena oli 1,4 miljoonan ajoneuvon takaisinkutsu ja 105 miljoonan dollarin sakko.
Tietoturva ja ajoneuvojen ohjelmistopäivitykset
Nykyään valikoivat toimenpiteet eivät enää riitä ajoneuvojen kokonaisvaltaiseen suojaamiseen. Sen sijaan tarvitaan järjestelmällisiä ja strategisia lähestymistapoja, joissa määritellään selkeät vaatimukset turvajärjestelmän laajuudelle, suorituskyvylle ja tarkastukselle. Strategisen lähestymistavan olisi katettava koko tuotteen elinkaari. Tässä yhteydessä on keskityttävä esimerkiksi ohjelmistopäivitysten pitkäaikaiseen saatavuuteen tai koko toimitusketjun integrointiin.
Luodakseen asianmukaiset puitteet autojen kyberturvallisuudelle Yhdistyneiden kansakuntien Euroopan talouskomission (UNECE) ajoneuvoja koskevien sääntöjen yhdenmukaistamista käsittelevä maailmanfoorumi hyväksyi kesällä 2020 ensimmäistä kertaa kaksi sitovaa sääntöä. Säännöt, jotka on julkaistu lyhenteillä UNECE R 155 ja UNECE R 156, koskevat ajoneuvojen tietoturvaa ja ohjelmistopäivityksiä ja liittyvät siten läheisesti toisiinsa.
Säännöt tulivat voimaan vuoden 2021 alussa. Heinäkuusta 2022 alkaen sääntöjen noudattaminen on pakollista uusille ajoneuvotyypeille. Valmistajat, jotka eivät täytä vaatimuksia, joutuvat jättämään kyseiset ajoneuvotyypit rekisteröimättä. Heinäkuusta 2024 alkaen asetuksia sovelletaan kaikkiin uusiin ajoneuvoihin.
Säännökset edellyttävät pääasiassa toimenpiteiden toteuttamista neljällä alalla:
- Ajoneuvoihin kohdistuvien kyberriskien hallinta
- Ajoneuvojen suojaaminen suunnitteluvaiheen tietoturvan mukaisesti riskien vähentämiseksi koko arvoketjussa.
- Hyökkäysten havaitseminen ja torjunta koko ajoneuvokannassa.
- Ohjelmistopäivitysten tarjoaminen tietoturvan kannalta ja oikeusperustan käyttöönotto ajoneuvo-ohjelmistojen O.T.A.-päivityksiä varten.
Autoteollisuuden kyberturvallisuus: Ketä uudet säännökset koskevat?
YK:n asetuksissa puhutaan ensisijaisesti ajoneuvojen valmistajista, joiden on pantava uudet vaatimukset täytäntöön. Tähän kuuluu kuitenkin myös kyberturvallisuuden valvonta ja auditointi koko toimitusketjussa, jotta säännösten noudattaminen voidaan osoittaa jatkuvasti. Valmistaja on siis velvollinen valvomaan tavarantoimittajia. Ja siksi se hyvin todennäköisesti vaatii myös toimittajiaan panemaan uudet vaatimukset täytäntöön.
Näitä kahta asetusta sovelletaan henkilöautoihin, pakettiautoihin, kuorma-autoihin ja linja-autoihin edellyttäen, että ne on varustettu automaattisilla ajotoiminnoilla. Tähän luokkaan kuuluvat myös uudentyyppiset automatisoidut kapselit, sukkulat tai vastaavat ajoneuvot. Lisäksi asetuksia sovelletaan myös perävaunuihin, joissa on vähintään yksi elektroninen ohjausyksikkö.
Mitä R 155:n mukainen UNECE:n kyberturvallisuus kattaa?
UNECE R 155:ssä määritellään vaatimukset ajoneuvojen suojaamiseksi kyberhyökkäyksiltä. Keskeistä on kyberturvallisuuden hallintajärjestelmän (CSMS) käyttöönotto kaikissa yrityksissä, jotka saattavat ajoneuvoja markkinoille. Jännittävää on, että tämä vaatimus muuttaa valmistajien näkökulmaa. Heidän kehitystoimintansa ei enää pääty tuotannon aloittamiseen (SOP). Sen sijaan on olemassa jatkuva velvollisuus tarkistaa turvallisuusjärjestelmät koko ajoneuvon elinkaaren ajan, mukaan lukien tarvittavat parannukset.
Tällä tavoin lainsäätäjä ottaa huomioon ohjelmistokehityksen ja ohjelmistojen varmistamisen erittäin dynaamisen luonteen. Lisäksi hallintajärjestelmän tarkoituksena on varmistaa turvallisuusvaatimusten noudattaminen koko toimitusketjussa. Tämä ei ole helppo tehtävä, kun otetaan huomioon, että nykyisin yli 70 prosenttia ohjelmistojen määrästä on peräisin toimittajilta.
YK:n sääntö nro 155 - Yhdenmukaiset määräykset ajoneuvojen hyväksynnästä kyberturvallisuuden ja kyberturvallisuuden hallintajärjestelmän osalta [2021/387]. Säännön teksti löytyy täältä.
Jotta voidaan varmistaa kokonaisvaltainen turvallisuus näistä monimutkaisista seikoista huolimatta - kehityksestä valmiiseen ajoneuvoon tien päällä - on tärkeää ajatella CSMS-järjestelmää kokonaisvaltaisesti. Lisäksi ajoneuvot on suunniteltava suunnittelun kautta tapahtuvan turvallisuuden pohjalta. Tarkoituksena on pitää hyökkääjien portti mahdollisimman pienenä alusta alkaen.
Mikä on kyberturvallisuuden hallintajärjestelmä (CSMS)?
CSMS:n keskeisiä ominaisuuksia ovat:
- Riskienhallinta: organisaatio käyttää prosesseja kyberuhkien aiheuttamien riskien tunnistamiseen, arviointiin ja lieventämiseen.
- Riskienhallinta kattaa koko tuotteen elinkaaren - kehityksestä loppuasiakkaan käyttövaiheeseen.
- Uusien haavoittuvuuksien ja tunnettujen hyökkäysten seuranta, jotta niihin voidaan reagoida uusilla päivityksillä.
- Mahdollistaa riippumattoman arvioinnin akkreditoidun testauslaitoksen toimesta.
Tärkeä plussa käytännössä: CSMS:n käyttöönoton myötä tuleva kyberturvallisuuden systematisointi tekee yrityksille pakolliseksi käsitellä tietoturvakysymystä riskilähtöisesti.
"Kyberturvallisuuden hallintajärjestelmällä (CSMS) tarkoitetaan järjestelmällistä, riskiperusteista lähestymistapaa organisaatioprosessien, vastuualueiden ja hallinnon määrittämiseksi ajoneuvoihin kohdistuviin kyberuhkiin liittyvien riskien hallinnassa ja ajoneuvojen suojaamisessa kyberhyökkäyksiltä."
Lähde: Euroopan unionin virallinen lehti, R 155.
Tähän sisältyy riskien täydellinen määrittely ja arviointi sekä sen pohtiminen, kuinka todennäköistä niiden toteutuminen on. Tämä riskinarviointi tarjoaa vankan lähtökohdan erityisten mahdollisten vahinkojen vähentämiselle hyväksyttävälle tasolle - todistettu ja käytännöllinen lähestymistapa.
Autoteollisuuden kyberturvallisuus: Mitä UNECE:n R 156 säännellään?
Koska täysin autonomiset ajoneuvot osallistuvat lähitulevaisuudessa myös liikenteeseen, on keskeisen tärkeää ylläpitää ajoneuvon ohjelmistoja asianmukaisesti ja pitää ne jatkuvasti ajan tasalla esimerkiksi virheiden korjausten tai päivitysten avulla. R 156:ssa määrätäänkin, että kaikissa ajoneuvoissa on otettava käyttöön ja käytettävä standardin mukaista ohjelmistopäivitysten hallintajärjestelmää (SUMS). Sen tarkoituksena on tarjota pysyvä turvallisuus ajoneuvon koko elinkaaren ajaksi.
Päivitykset on voitava asentaa turvallisesti ja luotettavasti vielä vuosien tai vuosikymmenten jälkeenkin. Lisäksi R 156:ssa luodaan oikeudellinen perusta niin sanotuille "Over-the-Air"-päivityksille (O.T.A.), joiden avulla ajoneuvot voidaan päivittää lyhyellä varoitusajalla milloin tahansa niiden sijainnista riippumatta.
YK:n sääntö nro 156 - Yhdenmukaiset määräykset moottoriajoneuvojen hyväksynnästä ohjelmistopäivitysten ja ohjelmistopäivitysten hallintajärjestelmän osalta [2021/388]. Säännön teksti löytyy täältä.
Vertailun vuoksi nykyiset matkapuhelinvalmistajat eivät anna juurikaan varmuutta siitä, kuinka monta tulevaa ohjelmistosukupolvea ne tukevat tai kuinka pitkän ajan kuluessa vanhemmille laitteille toimitetaan edelleen tietoturvapäivityksiä. Jos tietotekniikkaan suhtautuvat matkapuhelinvalmistajat haluavat välttää tuotteidensa elinkaaren haasteet mahdollisimman varhaisessa vaiheessa, tämä osoittaa selvästi, millaisia tietotekniikkaan liittyviä haasteita autoteollisuudella on nyt edessään pitkien tuote-elinkaariensa vuoksi.
Onko nykyaikainen kyberturvallisuus sertifioitavissa autoteollisuudessa?
EU:n säädösten mukaan valmistajien on varmistettava hallintajärjestelmiensä toimivuus jatkuvasti ja dokumentoitava kattavasti kaikkien ohjelmistojensa tila.
Tarjotakseen sertifiointikelpoisen standardin CSMS:n toimivuudelle kansainvälinen standardointijärjestö (ISO) julkaisi yhdessä Society of Automotive Engineersin (SAE) kanssa elokuussa 2021 ISO/SAE 21434 -standardin. Ammattipiireissä ISO/SAE 21434:n odotetaan tarjoavan hyväksyntäviranomaisten tunnustaman perustan kyberturvallisuuden hallintajärjestelmän toteuttamiselle ajoneuvovalmistajalla.
Saksan autoteollisuusliitto (VDA) on luonut standardiin täydentävän testausperustan, jota ajoneuvonvalmistaja voi käyttää toimittajansa tai suunnittelupalvelujen tarjoajansa CSMS:n auditointiin. Näin valmistajan CSMS-järjestelmällä voi olla UNECE-säännösten mukainen myönteinen vaikutus aina toimittajan tasolle asti.
Ohjelmistopäivitysten hallintajärjestelmän sertifioinnissa standardiksi on tulossa ISO 24089. Suunnittelu on kuitenkin vielä tässä vaiheessa (tammikuu 2022) auki.
Erottuminen TISAX®:sta
On totta, että TISAX® on myös autoteollisuuden tietoturvan testausmenettely. Ja sertifioinnin tapaan vaatimusten täyttyminen voidaan osoittaa arvioinnilla. TISAX® on kuitenkin suunnattu ensisijaisesti autoteollisuuden palveluntarjoajille tai tavarantoimittajille, joiden on osoitettava asiakkailleen, että ne täyttävät tietyt tietoturvavaatimukset. Esimerkkinä voidaan mainita asiakkaan toimittajalle esimerkiksi kehitys- ja valmistusprosessia varten toimittamien tietojen ja informaation turvallinen käsittely. ISO/SAE 21434 on puolestaan suunnattu ajoneuvojen valmistajille eli alkuperäisille laitevalmistajille.
ISO/SAE 21434 maineen parantamisena
ISO 21434:n lähestymistapa, joka on analoginen yleisten hallintajärjestelmien, kuten ISO 27001:n, kanssa, edellyttää prosessien ja menettelyjen toteuttamista ottaen huomioon tunnistetut riskit.
Standardin tavoitteena on varmistaa kaikkien sähköisten ja ennen kaikkea tietojenkäsittelyyn tarkoitettujen elektronisten järjestelmien turvallisuus ajoneuvon koko elinkaaren ajan aina sen hävittämiseen asti. Tällä tavoin siitä on tarkoitus tulla vakiintunut ja sitova laatustandardi autoteollisuuden kyberturvallisuudelle.
ISO/SAE 21434:2021 - Maantieajoneuvot - Kyberturvallisuustekniikka - Julkaisupäivä 2021-08. Standardi on saatavilla ISOn verkkosivuilta.
Kokonaisvaltaisen lähestymistavan toteuttamiseksi standardissa määritellään CSMS-järjestelmä turvallisuussuunnittelun, tuotekehityksen, tuotteen ylläpidon, riskien havaitsemisen, vaarojen vähentämisen, tuotteen hävittämisen ja niihin liittyvien jatkuvien prosessien alueille. Se sisältää myös määräyksiä vastuista valmistajien ja toimittajien välisen hajautetun tuotekehityksen tapauksessa määräämättä kuitenkaan konkreettisesti tiettyjä teknologioita tai ratkaisuja.
Ajoneuvojen valmistajien ja tavarantoimittajien ei pitäisi pitää ISO 21434 -standardin täytäntöönpanoa lisätaakkana päivittäiseen liiketoimintaansa. Sertifioinnit tarjoavat päinvastoin todellista lisäarvoa monilla aloilla - avainsanat: kybervakuutus, kybervastuu ja markkinamaine. Näin ollen niistä voi joskus tulla jopa kilpailuetu. Loppujen lopuksi riippumattomien asiantuntijoiden vahvistamaa huipputason tietoturvaa ja vahvistettua tietosuojaa pidetään alalla yhä useammin tärkeinä laatutekijöinä.
Excursus: Muita tärkeitä autoteollisuuden säädöksiä
IATF 16949
Autoteollisuus on sitoutunut erinomaiseen prosessien laatuun, jatkuviin parannusprosesseihin, korkeimpiin standardeihin ja innovointiin. IATF 16949 on autoteollisuuden toimittajien laadunhallintajärjestelmien standardi.
Laatu autoteollisuudessa
Etsitkö pääsyä autoteollisuuden markkinoille tai haluaisitko päästä markkinoille huipputoimittajana? Autoteollisuuden valmistajat odottavat, että toimitat mielekkään todisteen laatukyvystäsi: IATF 16949:n mukaisen sertifikaatin.
TISAX®
TISAX® on autoteollisuuden yhteinen testaus- ja vaihtomenettely. Se perustuu Saksan autoteollisuusliiton (VDA) kehittämään "ISA - Information Security Assessment" -kyselylomakkeeseen. Tämä puolestaan sisältää kansainvälisen standardin ISO/IEC 27001 keskeiset näkökohdat ja laajentaa niitä kypsyysmallilla.
TISAX® - Autoteollisuuden tietoturva
Autoteollisuuden palveluntarjoajana tai toimittajana sinun on osoitettava asiakkaillesi, että noudatat tietoturvavaatimuksia.
ISO 26262
Standardin täytäntöönpanon tarkoituksena on varmistaa moottoriajoneuvon sähkö- tai elektroniikkakomponentteja sisältävän järjestelmän toiminnallinen turvallisuus. Standardi koostuu kahdestatoista osasta. Osa 1: Sanasto, osa 2: Toiminnallisen turvallisuuden hallinta, osa 3: Konseptivaihe, osa 4: Järjestelmätason tuotekehitys, osa 5: Laitteistotason tuotekehitys, osa 6: Ohjelmistotason tuotekehitys, osa 7: Tuotanto, käyttö, huolto ja käytöstä poisto, osa 8: Osa 9: Autojen turvallisuuden eheystasoon (ASIL) ja turvallisuuteen keskittyvä analyysi, osa 10: ISO 26262:ta koskevat ohjeet, osa 11: Ohjeet ISO 26262:n soveltamisesta puolijohteisiin ja osa 12: Moottoripyörien mukauttaminen.
ISO 26262-1(bis 12):2018-12 - Maantieajoneuvot - Toiminnallinen turvallisuus. Standardit ovat saatavilla ISOn verkkosivuilta.
Tarkistuslistat: Täytätkö UNECE Automotive Securityn vaatimukset?
UNECE:n vaatimusluettelo on laaja ja voi olla ensisilmäyksellä ylivoimainen. Seuraavien kolmen tarkistuslistan pitäisi antaa sinulle tiivis yleiskatsaus määräyksiin - ja ensivaikutelma siitä, ovatko nykyiset hallintajärjestelmäsi jo UNECE:n määräysten mukaisia.
Kyberturvallisuutta ja kyberturvallisuuden hallintajärjestelmiä koskevan UNECE:n säännön mukaan valmistajien on täytettävä seuraavat vaatimukset saadakseen tyyppihyväksynnän.
Vaatimukset Kyberturvallisuuden hallintajärjestelmät.
- CSMS on käytössä ja sitä voidaan soveltaa maantieajoneuvojen kehitys-, tuotanto- ja jälkikäsittelyvaiheisiin.
- Riskinarviointianalyysit on tehty ja ne täyttävät tarkoituksensa.
- Riskien lieventämistoimenpiteet on yksilöity.
- Riskinhallintatoimien toimivuus on todennettavissa testaamalla.
- Käytössä on toimenpiteitä kyberhyökkäysten tunnistamiseksi ja torjumiseksi.
- Menetelmällinen rikostekninen tutkimus mahdollistaa onnistuneiden hyökkäysten analysoinnin.
- Käytössä on toimenpiteitä, joilla tuetaan asiaankuuluvien uhkien, haavoittuvuuksien ja verkkohyökkäysten seurantakapasiteettia.
- Ajoneuvon valmistaja raportoi hyväksyntäviranomaiselle vähintään kerran vuodessa.
Ohjelmistopäivityksiä ja ohjelmistopäivitysten hallintajärjestelmiä koskevan UNECE:n säännön mukaan valmistajien on täytettävä seuraavat vaatimukset saadakseen tyyppihyväksynnän.
Vaatimukset Ohjelmistopäivitysten hallintajärjestelmät
- Ohjelmistopäivitysten hallintajärjestelmä on käytössä ja sitä voidaan soveltaa maantieajoneuvoihin.
- Valmistaja dokumentoi päivitykset täydellisesti.
- Päivitysten toimitusmekanismi on suojattu peukaloinnilta ja päivitysten eheys ja aitous voidaan varmistaa.
- Ohjelmiston tunnistenumerot tai ohjelmistoversiot on suojattu luvattomalta muuttamiselta.
- Ohjelmiston tunnistenumero on luettavissa ajoneuvosta rajapinnan kautta.
Ohjelmistopäivityksiä koskevat vaatimukset
- On olemassa palautustoiminto, jos päivitys epäonnistuu.
- Ohjelmisto päivitetään vain silloin, kun virtaa on riittävästi saatavilla.
- Päivitysten turvallinen suorittaminen voidaan taata.
- Käyttäjille ilmoitetaan jokaisesta päivityksestä ja sen valmistumisesta.
- Päivitykset suoritetaan vain silloin, kun ajoneuvo pystyy siihen (esimerkiksi joitakin päivityksiä ei voi tehdä ajon aikana).
- Käyttäjille ilmoitetaan, kun mekaanikkoa tarvitaan.
Aseta kurssi onnistuneeseen sertifiointiin DQS:n avulla.
Tietoturva ja tietosuoja ovat monimutkaisia asioita, jotka ulottuvat paljon IT-turvallisuutta pidemmälle. Niihin sisältyy teknisiä, organisatorisia ja infrastruktuuriin liittyviä näkökohtia, ja ne koskettavat lainsäädännöllisiä vaatimuksia. ISO/IEC 27001 -standardin mukainen tietoturvallisuuden hallintajärjestelmä (ISMS) soveltuu tehokkaisiin suojatoimenpiteisiin, ja sitä voidaan täydentää ihanteellisesti ISO/IEC 27701-standardin mukaisella yksityisyyden suojan hallintajärjestelmällä (PIMS). ISO 21434:stä voisi puolestaan tulla perusta kyberturvallisuuden hallintajärjestelmälle (CSMS), jota lupaviranomaiset pian vaativat.
DQS on asiantuntijasi johtamisjärjestelmien ja -prosessien auditointeihin ja sertifiointeihin. Autoteollisuudelle suunnattujen tuotteidemme, kuten IATF 16949: n mukaisen laadunhallinnan tai TISAX®:n mukaisen prototyyppisuojauksen toimittajilla, avulla me ja auditoijamme olemme jo hankkineet laajaa alan tuntemusta. Yli 35 vuoden kokemuksella ja 2500 auditoijan tietotaidolla ympäri maailmaa olemme pätevä sertifiointikumppanisi ja tarjoamme vastauksia kaikkiin tietosuojaan ja tietoturvaan liittyviin kysymyksiin.
We will gladly answer your questions
Mitkä ovat ISO 27001-, ISO 27701-, IATF 16949- tai TISAX®-arvioinnin sertifiointivaatimukset ? Ja kuinka paljon vaivaa on odotettavissa? Ota selvää. Maksutta ja ilman velvoitteita.
DQS uutiskirje
Holger Schmeken
Product Manager for TISAX® and VCS, Auditor for ISO/IEC 27001, Expert for Software Engineering with more than 30 years of experience, and Deputy Information Security Officer. Holger Schmeken holds a Master's in Business Informatics and has extended audit competence for Critical Infrastructures in Germany (KRITIS).