Przemysł motoryzacyjny stoi w obliczu radykalnej zmiany paradygmatu: wraz z szybkim tempem cyfryzacji coraz więcej elektronicznych systemów sterowania, inteligentnych komponentów, systemów wbudowanych i interfejsów API trafia do pojazdów, dzięki czemu stają się one potężniejsze, bezpieczniejsze i inteligentniejsze niż kiedykolwiek wcześniej. Jednak rosnąca zależność od elektroniki niesie ze sobą również zagrożenia. Nadszedł więc czas, aby przyjrzeć się bliżej nowym normom - także z perspektywy audytora.

Loading...

Dlaczego cyberbezpieczeństwo w motoryzacji?

Cyberbezpieczeństwo w branży motoryzacyjnej to wyzwanie chwili dla producentów samochodów. Każdy dodatkowy interfejs komunikacyjny i komponent jest potencjalnym punktem ataku dla cyberprzestępców. Potencjał szkodliwy manipulacji szybko rośnie, na przykład w odniesieniu do autonomicznie sterowanych pojazdów lub elektronicznie sterowanych funkcji jazdy i hamowania.

Z tego powodu Organizacja Narodów Zjednoczonych określa podstawowe ramy cyberbezpieczeństwa w motoryzacji za pomocą dwóch nowych przepisów. Są to UNECE Cyber Security (UN R 155), który odnosi się bezpośrednio do nowej normy ISO/SAE 21434, oraz UNECE Software Updating (UN R 156). W lipcu 2022 roku weszły w życie przepisy dotyczące nowych typów pojazdów (w UE). Przed branżą motoryzacyjną stoją więc duże wyzwania - zwłaszcza, że wielu producentów oryginalnego wyposażenia (OEM) i dostawców krytykuje nowe przepisy jako bardzo ogólne. W tym przypadku istnieje powszechne pragnienie konkretnych zaleceń do działania jako wiążącej poręczy.

 

Co oznacza cyberbezpieczeństwo w przemyśle motoryzacyjnym?

Podczas gdy międzynarodowa norma ISO 27001 stanowi ponadbranżowe podejście do bezpieczeństwa informacji, termin "cyberbezpieczeństwo w przemyśle motoryzacyjnym" opisuje bezpieczeństwo systemów cyfrowych w branży motoryzacyjnej. Nasze pojazdy silnikowe są w coraz większym stopniu zależne od połączonych w sieć systemów elektronicznych i oprogramowania. W związku z tym ochrona i zabezpieczenie tych komponentów staje się coraz ważniejsze - w całej branży. Począwszy od producenta pojazdu, poprzez dostawców i usługodawców inżynieryjnych, aż po dostawców oprogramowania i infrastruktury teleinformatycznej. Dwie nowe regulacje ONZ, skierowane do producentów i ich dostawców, mają na celu zapewnienie bezpieczeństwa IT w motoryzacji.

ISO 27001 - pierwowzór bezpieczeństwa informacji

ISO/IEC 27001 to wiodący międzynarodowy standard dotyczący wprowadzenia całościowego systemu zarządzania bezpieczeństwem informacji. Norma ISO została właśnie zrewidowana i ponownie opublikowana 25 października 2022 roku.

Więcej informacji o ISO 27001

Dlaczego potrzebujemy cyberbezpieczeństwa w branży motoryzacyjnej?

Połączone pojazdy: oznacza to innowacyjne systemy wspomagania, (częściowo) autonomiczną jazdę, produkcję połączoną w sieć z udziałem dostawców, połączone samochody z połączonymi usługami - cyfryzacja jest wyraźnie odczuwalna w niemal każdym obszarze przemysłu motoryzacyjnego i postępuje bardzo szybko. Jednak rosnąca łączność oznacza w końcu coraz więcej kodu, a ten może być narażony na wiele różnych niebezpieczeństw. W końcu nowoczesne samochody zawierają do 150 elektronicznych jednostek sterujących i około 100 milionów wierszy kodu, a do 2030 r. liczba ta ma się potroić. Ilość oprogramowania w dzisiejszych pojazdach już teraz jest cztery razy większa niż w odrzutowcach myśliwskich.

Nie tylko od czasu pandemii Corony i związanego z nią wzrostu liczby cyberataków należy zwrócić szczególną uwagę na bezpieczeństwo informatyczne lub cyberbezpieczeństwo w motoryzacji. Pojazd musi być w stanie zagwarantować swoje bezpieczeństwo funkcjonalne przez cały czas. Potencjał szkód, jakie mogą wyrządzić cyberataki na inteligentne samochody, jest ogromny. Należy wziąć pod uwagę przerażające scenariusze ataków na dużą skalę ("Wszystkie elektroniczne hamulce w pojazdach danego producenta zostają jednocześnie sparaliżowane przez atak hakerów"). Potrzebne są dokładne, skuteczne koncepcje bezpieczeństwa.

Przykład praktyczny: Skutki ataku

W 2015 r. dwóch amerykańskich ekspertów IT zademonstrowało potencjalne skutki włamania do samochodu Jeep Cherokee. Narazili oni na szwank system Uconnect, który łączy wiele funkcji elektronicznych pojazdu, od inforozrywki po nawigację. Służy on również jako interfejs dla urządzeń mobilnych i na żądanie otwiera hotspot WLAN - innymi słowy, posiada adres IP. Aby zademonstrować swoje umiejętności, dwaj hakerzy zaprosili dziennikarza, który chwilę później musiał bezsilnie patrzeć, jak traci kontrolę nad pojazdem.

Z odległości ponad 1000 km hakerzy najpierw włączyli klimatyzację i radio za pomocą swojego laptopa. Następnie spryskali przednią szybę wodą z wycieraczek, a na koniec po prostu wyłączyli silnik - na środku autostrady międzystanowej (odpowiednik europejskiej autostrady). Po tym pierwszym dowodzie na istnienie poważnych luk w infrastrukturze informatycznej pojazdów, posunęli się jeszcze dalej. Na pustym parkingu zademonstrowali, że mogą nawet wpływać na układ kierowniczy lub sterować hamulcami. Konsekwencją tego było wycofanie z rynku 1,4 miliona pojazdów i grzywna w wysokości 105 milionów dolarów.

Bezpieczeństwo IT i aktualizacje oprogramowania pojazdów

Obecnie wybiórcze środki nie wystarczają już do całościowej ochrony pojazdów. Zamiast tego konieczne jest podejście systematyczne i strategiczne, które określa jasne wymagania dotyczące zakresu, działania i audytu systemu bezpieczeństwa. Podejście strategiczne powinno obejmować cały cykl życia produktu. W tym przypadku należy się skupić na przykład na długoterminowej dostępności aktualizacji oprogramowania lub na integracji całego łańcucha dostaw.

Aby stworzyć odpowiednie ramy dla cyberbezpieczeństwa w branży motoryzacyjnej, Światowe Forum na rzecz Harmonizacji Przepisów dotyczących Pojazdów Europejskiej Komisji Gospodarczej Organizacji Narodów Zjednoczonych (UNECE) przyjęło latem 2020 roku po raz pierwszy dwa wiążące rozporządzenia. Przepisy te, opublikowane pod skrótami UNECE R 155 i UNECE R 156, dotyczą bezpieczeństwa informatycznego i aktualizacji oprogramowania w pojazdach, a zatem są ze sobą ściśle powiązane.

Loading...

Cenne know-how: Przewodnik po audycie DQS

Nasz Audit Guideline ISO 27001 - Annex został opracowany przez czołowych ekspertów. Przewodnik został zaprojektowany jako praktyczne narzędzie do wdrożenia i doskonale nadaje się do poprawy zrozumienia wymagań normatywnych. Niniejszy Przewodnik oparty jest na normie ISO 27001:2017.

Przepisy weszły w życie na początku 2021 roku. Od lipca 2022 r. zgodność z nimi będzie obowiązkowa dla nowych typów pojazdów. Producenci, którzy nie spełnią wymagań, będą musieli liczyć się z odmową rejestracji odpowiednich typów pojazdów. Wreszcie, od lipca 2024 roku, przepisy będą miały zastosowanie do wszystkich nowo produkowanych pojazdów.

Przepisy zasadniczo wymagają wdrożenia środków w czterech obszarach:

  • Zarządzanie ryzykiem cybernetycznym dla pojazdów
  • Ochrona pojazdów zgodnie z podejściem "security-by-design" w celu zmniejszenia ryzyka w całym łańcuchu wartości
  • wykrywanie ataków i obrona przed nimi w całej flocie pojazdów
  • Dostarczanie aktualizacji oprogramowania pod kątem bezpieczeństwa oraz wprowadzenie podstawy prawnej dla aktualizacji oprogramowania pojazdów w trybie over-the-air (O.T.A.).

Cyberbezpieczeństwo w branży motoryzacyjnej: Kogo dotyczą nowe przepisy?

Przepisy ONZ mówią przede wszystkim o tym, że producenci pojazdów są zobowiązani do wdrożenia nowych wymagań. Obejmuje to jednak monitorowanie i audyt cyberbezpieczeństwa w całym łańcuchu dostaw, aby wykazać, że przepisy są zawsze przestrzegane. Producent jest więc zobowiązany do monitorowania dostawców. Z dużym prawdopodobieństwem będzie też wymagał od swoich dostawców wdrożenia nowych standardów.

Obie regulacje dotyczą samochodów osobowych, dostawczych, ciężarowych i autobusów, o ile są one wyposażone w funkcje zautomatyzowanej jazdy. W tej kategorii mieszczą się również nowe typy zautomatyzowanych pojazdów podmiejskich, wahadłowych lub podobnych. Ponadto regulaminy dotyczą także przyczep, w których znajduje się co najmniej jeden elektroniczny moduł sterujący.

Co obejmuje cyberbezpieczeństwo EKG ONZ zgodnie z R 155?

Rozporządzenie R 155 EKG ONZ określa wymagania dotyczące ochrony pojazdów przed cyberatakami. Kluczowym punktem jest tu wdrożenie systemu zarządzania bezpieczeństwem cybernetycznym (CSMS) we wszystkich firmach wprowadzających pojazdy na rynek. Najciekawsze jest to, że wymóg ten zmienia perspektywę producentów. Ich działania rozwojowe nie kończą się już wraz z rozpoczęciem produkcji (SOP). Zamiast tego istnieje ciągły obowiązek sprawdzania systemów bezpieczeństwa przez cały cykl życia pojazdu, w tym wprowadzania wszelkich niezbędnych ulepszeń.

W ten sposób ustawodawca uwzględnia wysoce dynamiczną naturę rozwoju oprogramowania i zapewniania oprogramowania. Ponadto system zarządzania ma zapewnić zgodność z wymogami bezpieczeństwa w całym łańcuchu dostaw. Nie jest to łatwe zadanie, zważywszy na fakt, że dostawcy stanowią obecnie ponad 70% wolumenu oprogramowania.

Regulamin ONZ nr 155 - Jednolite przepisy dotyczące homologacji pojazdów w odniesieniu do bezpieczeństwa cybernetycznego i systemu zarządzania bezpieczeństwem cybernetycznym [2021/387]. Tekst regulaminu można znaleźć tutaj.

Aby mimo tych złożoności zapewnić bezpieczeństwo od początku do końca - od projektu do gotowego pojazdu na drodze - ważne jest, aby myśleć o CSMS w sposób holistyczny. Ponadto pojazdy muszą być projektowane w oparciu o podejście "security-by-design". Chodzi o to, aby furtka dla atakujących od samego początku była jak najmniejsza.

Co to jest system zarządzania bezpieczeństwem cybernetycznym (CSMS)?

Kluczowe cechy CSMS to:

  • Zarządzanie ryzykiem: organizacja wykorzystuje procesy do identyfikacji, oceny i ograniczania ryzyka związanego z zagrożeniami cybernetycznymi.
  • Zarządzanie ryzykiem obejmuje cały cykl życia produktu - od opracowania do fazy operacyjnej u klienta końcowego.
  • Monitorowanie nowych podatności i znanych ataków w celu reagowania nowymi aktualizacjami.
  • Umożliwia niezależną ocenę przez akredytowany instytut badawczy.

Ważny plus w praktyce: usystematyzowanie cyberbezpieczeństwa, które następuje wraz z wprowadzeniem CSMS, sprawia, że firmy muszą obowiązkowo zająć się kwestią bezpieczeństwa informacji w sposób zorientowany na ryzyko.

"System zarządzania bezpieczeństwem cybernetycznym (CSMS) odnosi się do systematycznego, opartego na ryzyku podejścia do ustanowienia procesów organizacyjnych, odpowiedzialności i zarządzania w zakresie zarządzania ryzykiem związanym z zagrożeniami cybernetycznymi dla pojazdów oraz ochrony pojazdów przed atakami cybernetycznymi."

Źródło: Dziennik Urzędowy Unii Europejskiej na stronie R 155

Obejmuje to pełne zdefiniowanie i ocenę ryzyka oraz zastanowienie się, jakie jest prawdopodobieństwo jego wystąpienia. Taka ocena ryzyka stanowi solidny punkt wyjścia do ograniczenia konkretnych potencjalnych szkód do akceptowalnego poziomu - jest to sprawdzone i pragmatyczne podejście.

Cyberbezpieczeństwo w branży motoryzacyjnej: Co reguluje norma UNECE R 156?

Ponieważ w dającej się przewidzieć przyszłości w pełni autonomiczne pojazdy będą również uczestniczyć w ruchu drogowym, kluczowe znaczenie ma odpowiednia konserwacja oprogramowania pojazdu i jego stała aktualizacja, na przykład poprzez poprawki błędów lub aktualizacje. Dlatego też w dokumencie R 156 zaleca się wprowadzenie i obsługę zgodnego z normami systemu zarządzania aktualizacjami oprogramowania (SUMS) dla wszystkich pojazdów. Ma on zapewnić stałe bezpieczeństwo w całym cyklu życia pojazdu.

Nawet po wielu latach lub dziesięcioleciach musi istnieć możliwość bezpiecznego i niezawodnego instalowania aktualizacji. Ponadto rozporządzenie R 156 stwarza podstawy prawne dla tzw. aktualizacji "Over-the-Air" (O.T.A.), które umożliwiają szybkie aktualizowanie pojazdów w dowolnym czasie, niezależnie od ich lokalizacji.

Regulamin ONZ nr 156 - Jednolite przepisy dotyczące homologacji pojazdów silnikowych w odniesieniu do aktualizacji oprogramowania i systemu zarządzania aktualizacją oprogramowania [2021/388]. Tekst regulaminu można znaleźć tutaj.

Dla porównania, obecni producenci telefonów komórkowych dają niewielkie gwarancje co do tego, ile kolejnych generacji oprogramowania będą wspierać lub w jakim okresie czasu starsze urządzenia będą nadal otrzymywać aktualizacje zabezpieczeń. Jeśli producenci telefonów komórkowych, którzy mają zamiłowanie do IT, chcą uniknąć wyzwań związanych z cyklem życia swoich produktów tak wcześnie, jak to tylko możliwe, to wyraźnie pokazuje to wyzwania związane z IT, przed którymi stoi obecnie przemysł motoryzacyjny ze swoimi długimi cyklami życia produktów.

 

Czy współczesne cyberbezpieczeństwo w przemyśle motoryzacyjnym podlega certyfikacji?

Zgodnie z przepisami UE, producenci muszą zapewnić funkcjonalność swoich systemów zarządzania przez cały czas i obszernie dokumentować status całego swojego oprogramowania.

Aby zapewnić certyfikowany standard funkcjonalności CSMS, Międzynarodowa Organizacja Normalizacyjna (ISO) wraz ze Stowarzyszeniem Inżynierów Motoryzacji (SAE) opublikowała w sierpniu 2021 r. normę ISO/SAE 21434. W kręgach zawodowych oczekuje się, że ISO/SAE 21434 będzie stanowić podstawę uznawaną przez władze homologacyjne do wdrożenia systemu zarządzania bezpieczeństwem cybernetycznym u producenta pojazdów.

Niemieckie Stowarzyszenie Przemysłu Motoryzacyjnego (VDA) stworzyło uzupełniającą podstawę testową do tej normy, którą producent pojazdów może wykorzystać do przeprowadzenia audytu CSMS swojego dostawcy lub dostawcy usług inżynieryjnych. W ten sposób CSMS producenta może mieć pozytywny wpływ w rozumieniu przepisów EKG ONZ aż do poziomu dostawcy.

Standardem dla certyfikacji systemu zarządzania aktualizacją oprogramowania ma stać się norma ISO 24089. Jednak w tym momencie (styczeń 2022) projekt jest jeszcze otwarty.

Różnica w stosunku do TISAX®

Prawdą jest, że TISAX® jest również procedurą testową w zakresie bezpieczeństwa informacji w przemyśle motoryzacyjnym. I podobnie jak w przypadku certyfikacji, spełnienie wymagań można udowodnić poprzez ocenę. Jednak TISAX® jest skierowany przede wszystkim do usługodawców i dostawców w przemyśle motoryzacyjnym, którzy muszą udowodnić swoim klientom, że spełniają określone wymagania w zakresie bezpieczeństwa informacji. Jednym z przykładów jest bezpieczna obsługa danych i informacji przekazywanych dostawcy przez klienta, na przykład na potrzeby procesu rozwoju i produkcji. Z kolei norma ISO/SAE 21434 jest skierowana do producentów pojazdów, tj. producentów oryginalnego wyposażenia (OEM).

tisax-fragen-und-antworten-dqs-sportwagen verhuellt
Loading...

TISAX® - odpowiedzi na ważne pytania

Czy musisz przedstawić dowody na bezpieczeństwo powierzonych Ci informacji zgodnie z wymogami VDA? Nasz ekspert André Säckel udziela odpowiedzi na ważne pytania.

Jak działa TISAX® - szczegóły na blogu

ISO/SAE 21434 jako czynnik zwiększający reputację

Podejście normy ISO 21434, analogiczne do powszechnie stosowanych systemów zarządzania, takich jak ISO 27001, wymaga wdrożenia procesów i procedur przy jednoczesnym uwzględnieniu zidentyfikowanego ryzyka.

Deklarowanym celem normy jest zapewnienie bezpieczeństwa wszystkich systemów elektrycznych, a przede wszystkim elektronicznych systemów przetwarzania danych, w całym cyklu życia pojazdu, aż do jego utylizacji. W ten sposób ma ona stać się uznanym i obowiązującym standardem jakości w zakresie cyberbezpieczeństwa w sektorze motoryzacyjnym.

ISO/SAE 21434:2021 - Pojazdy drogowe - Inżynieria cyberbezpieczeństwa - Data wydania 2021-08. Norma jest dostępna na stronie internetowej ISO.

Aby sprostać temu holistycznemu podejściu, norma definiuje CSMS dla obszarów projektowania bezpieczeństwa, rozwoju produktu, utrzymania produktu, wykrywania ryzyka, łagodzenia zagrożeń, utylizacji produktu oraz powiązanych procesów bieżących. Zawiera także przepisy dotyczące odpowiedzialności w przypadku rozproszonego rozwoju produktu między producentów i dostawców, nie zalecając jednak konkretnych technologii ani rozwiązań.

Producenci i dostawcy pojazdów nie powinni traktować wdrożenia normy ISO 21434 jako dodatkowego obciążenia dla ich codziennej działalności. Wręcz przeciwnie, certyfikaty oferują rzeczywistą wartość dodaną w wielu obszarach - słowa kluczowe: ubezpieczenie od cyberprzestępczości, odpowiedzialność za cyberprzestępczość i reputacja na rynku. W rezultacie czasami mogą nawet stanowić przewagę konkurencyjną. W końcu najnowocześniejsze zabezpieczenia informatyczne potwierdzone przez niezależnych ekspertów oraz potwierdzona ochrona danych są coraz częściej uważane za ważne cechy jakościowe w branży.

 

Ekskurs: Inne ważne przepisy dotyczące branży motoryzacyjnej

 

IATF 16949

Przemysł motoryzacyjny jest przywiązany do doskonałej jakości procesów, ciągłego doskonalenia procesów, najwyższych standardów i innowacji. IATF 16949 jest standardem dla systemów zarządzania jakością dostawców w przemyśle motoryzacyjnym.

TISAX certificering van de informatiebeveiliging wordt besproken door een man en vrouw in een controlekamer
Loading...

Jakość w przemyśle motoryzacyjnym

Czy szukacie Państwo dostępu do rynku w branży motoryzacyjnej lub chcecie go uzyskać jako czołowy dostawca? Producenci z branży motoryzacyjnej oczekują od Państwa wymiernego dowodu Państwa zdolności jakościowej: certyfikatu zgodnego z IATF 16949.

Jakość w przemyśle motoryzacyjnym

Czy szukasz dostępu do rynku w branży motoryzacyjnej lub chciałbyś go uzyskać jako najlepszy dostawca? Producenci z branży motoryzacyjnej oczekują od Ciebie znaczącego dowodu potwierdzającego Twoje możliwości w zakresie jakości: certyfikatu zgodnego z normą IATF 16949.

TISAX®

TISAX® to wspólna procedura testowania i wymiany dla sektora motoryzacyjnego. Opiera się ona na kwestionariuszu "ISA - Ocena Bezpieczeństwa Informacji" opracowanym przez Niemieckie Stowarzyszenie Przemysłu Motoryzacyjnego (VDA). Ten z kolei zawiera istotne aspekty międzynarodowej normy ISO/IEC 27001 i rozszerza je o model dojrzałości.

TISAX® - Bezpieczeństwo informacji w przemyśle motoryzacyjnym

Jako usługodawca lub dostawca w przemyśle motoryzacyjnym musisz udowodnić swoim klientom, że spełniasz wymagania dotyczące bezpieczeństwa informacji.

ISO 26262

Wdrożenie normy ma na celu zapewnienie bezpieczeństwa funkcjonalnego systemu z elementami elektrycznymi lub elektronicznymi w pojeździe silnikowym. Norma składa się z dwunastu części. Część 1: Słownictwo, Część 2: Zarządzanie bezpieczeństwem funkcjonalnym, Część 3: Faza koncepcyjna, Część 4: Rozwój produktu na poziomie systemu, Część 5: Rozwój produktu na poziomie sprzętu, Część 6: Rozwój produktu na poziomie oprogramowania, Część 7: Produkcja, eksploatacja, serwis i wycofanie z eksploatacji, Część 8: Procesy wspomagające, Część 9: Analiza poziomu integralności bezpieczeństwa pojazdu (ASIL) zorientowana na bezpieczeństwo, Część 10: Wytyczne dotyczące normy ISO 26262, Część 11: Wytyczne dotyczące zastosowania normy ISO 26262 do półprzewodników oraz Część 12: Dostosowanie do motocykli.

ISO 26262-1(bis 12):2018-12 - Pojazdy drogowe - Bezpieczeństwo funkcjonalne. Normy są dostępne na stronie internetowej ISO.

Listy kontrolne: czy spełniasz wymagania UNECE Automotive Security?

Katalog wymagań UNECE jest obszerny i na pierwszy rzut oka może być przytłaczający. Poniższe trzy listy kontrolne powinny dać Państwu zwięzły przegląd przepisów - i pierwsze wrażenie, czy Państwa istniejące systemy zarządzania są już zgodne z przepisami UNECE.

Zgodnie z rozporządzeniem EKG ONZ w sprawie bezpieczeństwa cybernetycznego i systemów zarządzania bezpieczeństwem cybernetycznym, aby uzyskać homologację typu, producenci muszą spełnić następujące wymagania.

Wymagania Systemy zarządzania bezpieczeństwem cybernetycznym.

  • CSMS jest wdrożony i może być stosowany w fazach rozwoju, produkcji i poprodukcyjnej pojazdów drogowych.
  • Przeprowadzono analizy oceny ryzyka, które spełniają swoje zadanie.
  • Określono środki ograniczania ryzyka.
  • Funkcjonalność środków ograniczania ryzyka można zweryfikować poprzez testy.
  • Istnieją środki umożliwiające identyfikację ataków cybernetycznych i obronę przed nimi.
  • Metodyczna analiza kryminalistyczna danych umożliwia analizę udanych ataków.
  • Istnieją środki wspierające monitorowanie istotnych zagrożeń, podatności i ataków cybernetycznych.
  • Producent pojazdów składa sprawozdania organowi udzielającemu homologacji co najmniej raz w roku.

Zgodnie z regulaminem EKG ONZ dotyczącym aktualizacji oprogramowania i systemów zarządzania aktualizacją oprogramowania, aby uzyskać homologację typu, producenci muszą spełnić następujące wymagania.

Wymagania Systemy zarządzania aktualizacją oprogramowania

  • Istnieje system zarządzania aktualizacjami oprogramowania, który może być stosowany w pojazdach drogowych.
  • Producent w pełni dokumentuje aktualizacje.
  • Mechanizm dostarczania aktualizacji jest zabezpieczony przed ingerencją osób niepowołanych i można zapewnić integralność i autentyczność aktualizacji.
  • Numery identyfikacyjne oprogramowania lub wersje oprogramowania są chronione przed nieuprawnioną modyfikacją.
  • Numer identyfikacyjny oprogramowania jest możliwy do odczytania z pojazdu za pośrednictwem interfejsu.

Wymagania dotyczące aktualizacji oprogramowania "over-the-air

  • W przypadku niepowodzenia aktualizacji dostępna jest funkcja odzyskiwania.
  • Oprogramowanie jest aktualizowane tylko wtedy, gdy dostępne jest wystarczające zasilanie.
  • Można zagwarantować bezpieczne wykonanie aktualizacji.
  • Użytkownicy są powiadamiani o każdej aktualizacji i o jej zakończeniu.
  • Aktualizacje są wykonywane tylko wtedy, gdy pojazd jest do tego zdolny (np. niektóre aktualizacje nie mogą być wykonywane podczas jazdy).
  • Użytkownicy są informowani, gdy potrzebny jest mechanik.

Wyznacz kurs dla pomyślnej certyfikacji z DQS

Bezpieczeństwo informacji i ochrona danych to złożone zagadnienia, które wykraczają daleko poza bezpieczeństwo IT. Obejmują one aspekty techniczne, organizacyjne i infrastrukturalne oraz dotykają wymogów prawnych. Skuteczne środki ochronne zapewnia system zarządzania bezpieczeństwem informacji (ISMS) zgodny z normą ISO/IEC 27001, który można idealnie uzupełnić o system zarządzania informacjami o ochronie prywatności (PIMS) zgodny z normą ISO/IEC 27701. Z kolei norma ISO 21434 może stać się podstawą systemu zarządzania bezpieczeństwem cybernetycznym (CSMS), który wkrótce będzie wymagany przez organy wydające licencje.

DQS jest Państwa specjalistą w zakresie audytów i certyfikacji systemów i procesów zarządzania. Dzięki naszym produktom dla przemysłu motoryzacyjnego, takim jak zarządzanie jakością zgodnie z IATF 16949 lub ochrona prototypów u dostawców zgodnie z TISAX®, my i nasi audytorzy zdobyliśmy już rozległą wiedzę branżową. Dzięki ponad 35-letniemu doświadczeniu i wiedzy 2500 audytorów na całym świecie jesteśmy Państwa kompetentnym partnerem w zakresie certyfikacji i udzielamy odpowiedzi na wszystkie pytania związane z ochroną danych i bezpieczeństwem informacji.

fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch
Loading...

Chętnie odpowiemy na Państwa pytania

Jakie są wymagania dotyczące certyfikacji na zgodność z ISO 27001, ISO 27701, IATF 16949 lub oceny TISAX®? I jak dużego nakładu pracy należy się spodziewać? Dowiedz się. Bezpłatnie i bez zobowiązań.

Autor
Holger Schmeken

Menedżer produktu i ekspert ds. bezpieczeństwa informacji i rozwoju oprogramowania. Holger Schmeken wnosi również swoją wiedzę jako audytor ISO 27001 z kompetencjami w zakresie procedur audytowych KRITIS.

Loading...