Kendaraan saat ini adalah komputer di atas roda; oleh karena itu, kendaraan tersebut terpapar pada risiko serangan siber. Peraturan baru muncul pada Juli 2024 untuk memastikan keamanan siber otomotif yang komprehensif di seluruh rantai pasokan industri otomotif. Asosiasi ENX telah menerbitkan Vehicle Cyber Security Audit (VCSA) yang baru untuk mendukung OEM dan pemasok dalam mengimplementasikan persyaratan baru.

Artikel ini pertama kali diterbitkan dalam jurnal "QZ - Kualitas dan Keandalan" Jerman, vol. 69 (2024)

people in a car driving down the road happily
Loading...

Transformasi digital telah membuat kendaraan menjadi lebih efisien dan lebih aman. Melalui sistem kontrol elektronik dan jaringan yang konstan, kendaraan juga telah menjadi target penjahat siber. Sistem yang penting dapat diserang, dengan konsekuensi yang berpotensi fatal. Meskipun pengembangan perangkat lunakstandar yang ketat, bahkan dalam penerbangan, tidak ada jaminan perangkat lunak bebas dari kesalahan.Namun, kontrol perangkat lunak memungkinkan respons cepat terhadap masalah kualitas - pembaruan sekarang dapat dilakukan melalui udara / Over the Air (OTA) secara virtual dalam semalam.

Peraturan keamanan dunia maya yang mengikat

Untuk mengatasi ancaman dunia maya yang semakin meningkat, Perserikatan Bangsa-Bangsa mengadopsi UNECE R 155 dan 156, yang masing-masing mencakup penerapan Sistem Manajemen Keamanan Dunia Maya (CSMS) dan Sistem Manajemen Pembaruan Perangkat Lunak (SUMS). Peraturan ini dimaksudkan untuk memastikan keamanan dunia maya di seluruh siklus hidup model dan di sepanjang rantai pasokan. Di Uni Eropa, peraturan tersebut telah diwajibkan untuk semua kendaraan yang baru diproduksi sejak Juli 2024.

ENX VCS - program audit di seluruh dunia untuk ISO / SAE 21434

Dengan ISO / SAE 21434 (Kendaraan Jalan Raya - Rekayasa Keamanan Siber), sebuah upaya telah dilakukan dalam perjalanan peraturan PBB untuk membuat pedoman dan bukti kesesuaian untuk kepatuhan terhadap peraturan. Namun dalam praktiknya, program audit masing-masing penyedia layanan pengujian terbukti terlalu berbeda - terlepas dari spesifikasi ISO/PAS 5112. Oleh karena itu, produsen masih kurang memiliki kesempatan untuk memberikan bukti yang dapat diandalkan dan sebanding kepada pembuat undang-undang tentang kepatuhan pemasok mereka - yang pada gilirannya mengalami masalah dalam membuktikan kepatuhan terhadap ketentuan kontrak mereka berdasarkan dasar pengujian yang sebanding.

Inilah sebabnya mengapa Asosiasi ENX (asosiasi produsen, pemasok, dan asosiasi otomotif Eropa) telah merancang program audit ENX VCS. ENX VCS mengaudit implementasi Sistem Manajemen Keamanan Siber kendaraan (VCSMS) sesuai dengan ISO 21434 dan ISO 5112. Ini adalah keuntungan yang menentukan: audit VCS distandarisasi di seluruh dunia dan dapat diadaptasi lebih cepat untuk tantangan baru daripada standar ISO. Sekelompok ahli internasional secara teratur meninjau program audit agar tetap mutakhir.

 

Apakah Anda siap untuk ENX VCS?

Pelajari segala sesuatu tentang proses ENX VCS dan persyaratan untuk label VCS Anda.

Dapatkan label VCS di sini!

Audit terstandardisasi - hasil yang sebanding

Dengan audit ENX VCS yang terstandardisasi, perusahaan terhindar dari pengeluaran yang tidak perlu, tidak terkecuali pengeluaran finansial, yang dapat timbul dari proses audit multi-bidang dan audit yang berbeda. Untuk memastikan proses yang dapat dibandingkan secara global di semua penyedia audit, ENX juga menerbitkan Kriteria Penyedia Audit & Persyaratan Penilaian (ACAR VCS) dan katalog audit yang mengikat untuk Audit Keamanan Siber Kendaraan (VCSA) pada saat peluncuran program. Hal ini mendefinisikan serangkaian kompetensi wajib dan model prosedural yang mengikat untuk auditor VCS - selain audit organisasi dari peraturan V-CSMS, misalnya, audit dokumen dan proses wajib - dan pembentukan sampel acak yang berorientasi pada risiko dari semua proyek yang terkait dengan keamanan siber. Tim teknik yang bertanggung jawab atas proyek-proyek dalam sampel kemudian diwawancarai oleh para auditor dan ahli. Hasil kerja tim ditinjau untuk memastikan bahwa V-CSMS benar-benar digunakan dalam praktiknya. Setelah pengujian yang berhasil diselesaikan, perusahaan dapat mengajukan permohonan ke ENX untuk mendapatkan label VCS yang sesuai dan menyediakannya bagi pihak-pihak yang berkepentingan melalui mekanisme pertukaran ENX.

Loading...

TISAX® dan VCS bekerja bersama-sama

Secara struktural, audit VCS dengan ACAR VCS didasarkan pada standar otomotif TISAX yang telah ditetapkan®. Kedua mekanisme audit tersebut saling melengkapi: sementara TISAX®menilai keamanan informasi di sebuah perusahaan, label VCS mengonfirmasi keamanan siber komponen kendaraan. Serupa dengan TISAX®, audit VCS memperhitungkan berbagai peran pemasok dalam penyediaan komponen yang relevan dengan dunia maya. Oleh karena itu, setiap pemasok hanya harus memenuhi persyaratan katalog audit VCSA yang sesuai dengan peran mereka yang sebenarnya dan spesifik. Perbedaan dibuat antara label yang berbeda:

  • Pengembangan VCS: Perusahaan melakukan pengembangan komponen VCS yang aman - mulai dari integrasi. Proses mengintegrasikan sistem ke dalam arsitektur keselamatan umum hingga implementasi yang aman dan transisi yang aman ke produksi.
  • Produksi VCS: Perusahaan memproduksi komponen VCS dan memastikan konfigurasi serta peralatan perangkat lunak yang aman.
  • Operasi & Pemeliharaan VCS: Perusahaan dipercayakan dengan data log dari armada kendaraan, yang memungkinkan kondisi operasi yang bermasalah untuk diidentifikasi atau untuk mengidentifikasi insiden keamanan tertentu. Label ini juga cocok untuk perusahaan yang perlu selalu memperbarui komponen VCS mereka.
Description of the various standards for cyber security throughout a vehicle's lifecycle
Loading...

Bukti kesesuaian menurut ENX VCS

Sebagai bagian dari audit VCS, OEM dan pemasok dapat mengaudit V-CSMS mereka oleh penyedia audit yang disetujui dan menerima label VCS dari ENX yang berlaku selama tiga tahun. Peningkatan komparabilitas global dari label baru ini memperkuat kepercayaan diri dalam kesesuaian V-CSMS dengan spesifikasi keamanan siber UNECE R 155, sehingga perusahaan dapat dengan jelas menunjukkan kepatuhan mereka kepada pihak berwenang dan mitra bisnis serta berkontribusi pada keamanan siber otomotif yang komprehensif. Sangatlah penting untuk bertindak cepat di sini: Selama fase perkenalan, pendaftaran untuk audit ENX VCS tidak dipungut biaya.

DQS - Meningkatkan Keamanan secara sederhana

DQS didirikan pada tahun 1985 sebagai lembaga sertifikasi pertama di Jerman. Sejak saat itu, kami telah menjadi salah satu ahli audit dan sertifikasi terkemuka di dunia. Mitra pendiri DGQ (Deutsche Gesellschaft für Qualität e. V.) dan DIN (Deutsches Institut für Normung e. V.) merupakan mitra penting untuk pelatihan dan pendidikan lanjutan serta pekerjaan standardisasi.

Kami secara aktif terlibat dalam komite dan badan-badan atas nama klien kami dan menyumbangkan pengetahuan ahli kami untuk audit kami. Klaim kami dimulai di mana daftar periksa audit berakhir. Percayalah pada kata-kata kami.

Kepercayaan dan keahlian

Teks dan brosur kami ditulis secara eksklusif oleh para ahli standar kami atau auditor yang telah lama bekerja. Jika Anda memiliki pertanyaan tentang isi teks atau layanan kami kepada penulis kami, kami tunggu tanggapannya.

Sumber: www.qz-online.de (Majalah berkala terkemuka di Jerman untuk manajemen mutu).

Penulis
Holger Schmeken

Manajer Produk untuk TISAX® dan VCS, Auditor untuk ISO/IEC 27001, Ahli Rekayasa Perangkat Lunak dengan pengalaman lebih dari 30 tahun, dan Wakil Petugas Keamanan Informasi. Holger Schmeken memegang gelar Magister Informatika Bisnis dan telah memperluas kompetensi audit untuk Infrastruktur Kritis di Jerman (KRITIS).

Loading...

Artikel dan event terkait

Anda mungkin juga tertarik dengan ini
Blog
autonomous driving by a e-car, e-mobility
Loading...

ENX VCS versus ISO 21434: Audit Keamanan Siber Kendaraan

Blog
experience-with iso-27001-dqs-enterbrain-software-ag server cabinets
Loading...

Pelajaran yang dipetik dari ISO 27001 - studi kasus Perangkat Lunak ENTERBRAIN

Blog
Mixing console in a recording studio with sliders at different heights
Loading...

Manajemen konfigurasi dalam keamanan informasi