Przemysł motoryzacyjny przechodzi przełomowe zmiany: Pojazdy stają się coraz bardziej wydajne i inteligentne dzięki instalacji elektronicznych systemów sterowania, inteligentnych komponentów, systemów wbudowanych i interfejsów API. Jednak wraz z niezaprzeczalnymi korzyściami płynącymi z cyfryzacji, istnieje również niebezpieczna wada: z każdym dodatkowym komponentem, który może być sterowany elektronicznie, wzrasta ryzyko i skala potencjalnego cyberataku. Szereg nowych przepisów dotyczących cyberbezpieczeństwa w branży motoryzacyjnej ma na celu ochronę zarówno dostawców, jak i ich klientów. W tym wpisie na blogu firmy motoryzacyjne mogą dowiedzieć się, z której strony są narażone na ryzyko, w jaki sposób nowe przepisy mają je chronić i dlaczego warto poddać się audytowi cyberbezpieczeństwa.
CONTENT
- Dlaczego cyberbezpieczeństwo w branży motoryzacyjnej jest tak ważne?
- Dlaczego branża motoryzacyjna znajduje się w centrum tak wielu ataków?
- Jakie są wektory ataków?
- UNECE R 155 & 156: Przepisy dotyczące cyberbezpieczeństwa w branży motoryzacyjnej
- Kogo dotyczą nowe przepisy i jakie są ich konsekwencje?
- Czym jest system zarządzania cyberbezpieczeństwem (CSMS) i jakie są jego zalety?
- Najlepsza droga do CSMS: ISO 21434 i wprowadzenie audytu cyberbezpieczeństwa pojazdów
- Jak organizacje mogą przygotować się do audytu VCS?
- Cyberbezpieczeństwo w branży motoryzacyjnej: dlaczego organizacje powinny działać już teraz?
- Pomyślna certyfikacja z DQS
Dlaczego cyberbezpieczeństwo w branży motoryzacyjnej jest tak ważne?
Rozwój i projektowanie pojazdów zmieniło się diametralnie w ostatnich latach: To, co kiedyś było mechanicznym środkiem transportu, już dawno stało się komputerem z kołami. Tam, gdzie kiedyś części pojazdu, takie jak pedał hamulca i hamulec lub układ kierowniczy i przednia oś, były fizycznie połączone, teraz komunikują się jako system wyłącznie za pośrednictwem cyfrowych sterowników, które wysyłają sygnały elektryczne do siłowników. Niemal każdy element nowoczesnego pojazdu jest połączony w sieć cyfrową, aby zapewnić optymalną wydajność i bezpieczeństwo jazdy. W rezultacie nowoczesny inteligentny samochód jest zawsze online - ale różne komputery pokładowe i systemy wspomagające są również coraz częstszym celem cyberataków.
Realistycznym i przerażającym scenariuszem jest manipulowanie silnikiem, hamulcami lub układem kierowniczym, co może stanowić zagrożenie dla życia pasażerów pojazdu i innych użytkowników dróg. Kwestia autonomicznej jazdy jest jeszcze bardziej wybuchowa: w zależności od tego, ile mocy decyzyjnej mają elektroniczne systemy sterowania, (zdalna) ingerencja w ich zachowanie podczas jazdy może mieć śmiertelne konsekwencje.
Dlaczego branża motoryzacyjna znajduje się w centrum wielu ataków?
Podczas gdy międzynarodowa norma ISO 27001 stanowi międzybranżowe podejście do bezpieczeństwa informacji, termin cyberbezpieczeństwo w branży motoryzacyjnej opisuje bezpieczeństwo systemów cyfrowych w przemyśle motoryzacyjnym. Nasze pojazdy silnikowe są w coraz większym stopniu zależne od sieciowych systemów elektronicznych i aplikacji. W rezultacie ochrona i zabezpieczenie tych komponentów staje się coraz ważniejsze - w całej branży. Zaczyna się to od producenta pojazdu, poprzez dostawców i usługodawców inżynieryjnych, aż po dostawców oprogramowania i infrastruktury teleinformatycznej. Dwa nowe rozporządzenia Organizacji Narodów Zjednoczonych, skierowane do producentów i ich dostawców, mają na celu zapewnienie bezpieczeństwa IT w branży motoryzacyjnej.
"System zarządzania cyberbezpieczeństwem (CSMS) odnosi się do systematycznego, opartego na ryzyku podejścia do ustanawiania procesów organizacyjnych, obowiązków i zarządzania w zakresie zarządzania ryzykiem związanym z cyberzagrożeniami dla pojazdów i ochrony pojazdów przed cyberatakami".
Źródło: Dziennik Urzędowy Unii Europejskiej pod numerem R 155
Czym są wektory ataku?
Nowoczesny pojazd może stać się celem ataku hakerów na wiele różnych sposobów. Oto kilka przykładów:
- Być może najbardziej niebezpiecznymi bramami do systemu pojazdu i ECU są funkcje łączności nowoczesnych pojazdów, zwłaszcza interfejsy bezprzewodowe przez Bluetooth i WLAN. Oprócz systemu informacyjno-rozrywkowego, istotną podatnością jest również rozprzestrzenianie się aplikacji towarzyszących, które mogą być wykorzystywane do kontrolowania krytycznych funkcji.
- Coraz więcej producentów samochodów polega na bezprzewodowych aktualizacjach, aby chronić siebie i swoich klientów przed czasochłonnymi wycofaniami i kosztownymi wizytami serwisowymi. Jednak pojazdy, które mogą otrzymywać aktualizacje bezprzewodowe, są również bardziej podatne na infiltrację przez złośliwe podmioty. Aktualizacje OTA stwarzają najwyższe ryzyko cyberataków na dużą skalę, których celem są całe linie modeli.
- Łączność pojazd-wszystko (V2X) również będzie wymagać większej uwagi w przyszłości. V2X odnosi się do stałej komunikacji między pojazdami i podmiotami w ich otoczeniu, takimi jak same pojazdy, w celu uniknięcia korków i wypadków poprzez porównywanie ich lokalizacji.
- Rosnący wpływ sztucznej inteligencji jest już widoczny. Metody oparte na sztucznej inteligencji sprawiają, że atakujący są szybsi i bardziej kreatywni. Należy temu przeciwdziałać za pomocą solidnej reakcji, takiej jak prewencyjne skanowanie luk w zabezpieczeniach oparte na sztucznej inteligencji.
- Czasami zagrożenie jest znacznie bardziej namacalne: na przykład systemy dostępu bezkluczykowego stwarzają ryzyko kradzieży pojazdu poprzez przechwytywanie lub fałszowanie sygnałów.
ISO 27001 - oryginał dotyczący bezpieczeństwa informacji
ISO/IEC 27001 to wiodąca międzynarodowa norma wprowadzająca całościowy system zarządzania bezpieczeństwem informacji. Norma ISO została właśnie zmieniona i ponownie opublikowana 25 października 2022 r.
UNECE R 155 & 156: Przepisy dotyczące cyberbezpieczeństwa w branży motoryzacyjnej
Aby stawić czoła rosnącym zagrożeniom dla przemysłu motoryzacyjnego, latem 2020 r. ONZ wprowadziła dwa ważne nowe przepisy: UNECE R 155 i UNECE R 156.
- UNECE R 155 określa wymagania dotyczące ochrony pojazdów przed cyberatakami i podkreśla kluczową rolę starannie wdrożonego systemu zarządzania cyberbezpieczeństwem (CSMS).
- Z kolei UNECE R 156 koncentruje się na zapewnieniu ciągłego bezpieczeństwa przez cały cykl życia pojazdu i nakazuje wdrożenie i obsługę zgodnego ze standardami systemu zarządzania aktualizacjami oprogramowania (SUMS).
Oba przepisy wejdą w życie na początku 2021 r., a zgodność z nimi jest obowiązkowa dla nowych typów pojazdów dopiero od lipca 2022 r. Ostatecznie, do 1 lipca 2024 r., przepisy będą miały zastosowanie do wszystkich nowo wyprodukowanych pojazdów.
Chociaż nie ma wątpliwości, że nowe przepisy są ogólnie rozsądne, wiele organizacji szybko skrytykowało nowe zasady: Były one zbyt ogólne i oferowały niewiele konkretnych zaleceń dotyczących działań. Przyjrzyjmy się zatem bliżej nowym przepisom.
Regulamin ONZ nr 155 - Jednolite przepisy dotyczące homologacji pojazdów w odniesieniu do cyberbezpieczeństwa i systemu zarządzania cyberbezpieczeństwem [2021/387]. Tekst regulaminu można znaleźć tutaj.
Regulamin ONZ nr 156 - Jednolite przepisy dotyczące homologacji pojazdów silnikowych w odniesieniu do aktualizacji oprogramowania i systemu zarządzania aktualizacją oprogramowania [2021/388]. Tekst regulaminu można znaleźć tutaj.
Kogo dotyczą nowe przepisy i jakie są ich konsekwencje?
Nowe przepisy mają zastosowanie do wszystkich organizacji, które wprowadzają samochody i inne pojazdy na rynek i zobowiązują je do zapewnienia cyberbezpieczeństwa swoich produktów i systemów w całym łańcuchu dostaw. Producenci OEM są również odpowiedzialni za swoich dostawców - i obecnie zobowiązują ich umownie do wdrożenia nowych wymogów.
W niedawnej przeszłości kilku producentów samochodów zostało zmuszonych do całkowitego zaprzestania produkcji niektórych starszych modeli. Nie dlatego, że nie odniosły one sukcesu, ale dlatego, że zagwarantowanie aktualizacji oprogramowania przez cały cykl życia tych starszych modeli było po prostu niewykonalne (lub niemożliwe do wyegzekwowania na mocy umowy).
Powód: pojazd ma zazwyczaj znacznie dłuższy cykl życia niż aplikacje. Zdolność do zapewnienia aktualizacji w ciągu 10 lub więcej lat nie wydawała się zapewniona dla wycofywanych produktów. Wielu producentów OEM i dostawców nie wzięło pod uwagę kosztów, które mogą wyniknąć z nowych obowiązków należytej staranności UNECE R 155 w cyklu życia pojazdu. Nowe wymagania dotyczące CSMS i aktualizacji oprogramowania mają na celu zapewnienie, że obowiązki w zakresie cyberbezpieczeństwa są uzgodnione w umowie oraz że niezbędne umiejętności i kompetencje są dostępne w typowym 15-letnim cyklu życia pojazdu. Organizacje mogą uzyskać dowód zgodności dla swoich CSMS poprzez audyt VCS przeprowadzony przez DQS.
Co to jest system zarządzania bezpieczeństwem cybernetycznym (CSMS) i jakie są jego zalety?
Celem wdrożenia CSMS jest usystematyzowanie cyberbezpieczeństwa w organizacji i dostosowanie go do ustalonych standardów krajowych lub międzynarodowych. Kluczowe aspekty pomyślnego wdrożenia CSMS to
- Organizacja musi posiadać aktualny system zarządzania ryzykiem i zdefiniowane solidne procesy identyfikacji ryzyka, oceny ryzyka i ograniczania ryzyka cyberzagrożeń.
- Zarządzanie ryzykiem obejmuje cały cykl życia produktu - od rozwoju, produkcji i eksploatacji po utylizację.
- Kompleksowe monitorowanie nowych luk w zabezpieczeniach i znanych ataków umożliwia szybkie reagowanie na cyberataki za pomocą ukierunkowanych aktualizacji.
CSMS oferuje organizacjom szereg korzyści wykraczających poza ograniczanie ryzyka i zgodność z przepisami: Główną z nich jest to, że cyberbezpieczeństwo organizacji jest mierzalne - zazwyczaj w ramach niezależnej oceny przeprowadzanej przez autoryzowanego dostawcę usług audytowych. Organizacja wie, na czym stoi i może to udowodnić w dowolnym momencie. Ponadto zewnętrzne audyty zapewniają bezstronną otwartość na te aspekty cyberbezpieczeństwa, które nadal wymagają wzmocnienia.
Ponadto w ramach tego procesu dostawcy motoryzacyjni muszą przyjąć dogłębne i zorientowane na ryzyko podejście do utrzymania bezpieczeństwa informacji pojazdu przez cały cykl jego życia, zwiększając w ten sposób świadomość cyberbezpieczeństwa na wszystkich poziomach hierarchii.
Najlepsza droga do CSMS: ISO 21434 i wprowadzenie audytu cyberbezpieczeństwa pojazdów
W sierpniu 2021 r. Międzynarodowa Organizacja Normalizacyjna (ISO) i Stowarzyszenie Inżynierów Motoryzacji (SAE) opublikowały normę ISO/SAE 21434, zawierającą obowiązujące na całym świecie wytyczne dotyczące wdrażania CSMS, które organizacje mogą wykorzystywać jako punkt odniesienia.
Zgodnie z oczekiwaniami, standard ten był jednak różnie interpretowany w praktyce. Ponieważ znaczenie spójnych środków bezpieczeństwa jest szczególnie wysokie w przemyśle motoryzacyjnym z jego głęboko zintegrowanymi łańcuchami dostaw, ENX niezwłocznie wprowadził ulepszenia: dzięki audytom Vehicle Cyber Security (VCS) przedstawił nową opcję potwierdzenia zgodności, która jest bardziej jednolita i jeszcze lepiej dostosowana do wymagań branży.
Globalnie znormalizowany audyt VCS nadal opiera się na normie ISO 21434, ale został uzupełniony o szereg niezbędnych rozszerzeń w ścisłej współpracy z organizacjami z branży motoryzacyjnej. Patrząc w przyszłość, katalog audytów został zaprojektowany tak, aby można go było szybko aktualizować w razie potrzeby, aby szybciej reagować na nowe zmiany w branży motoryzacyjnej lub cyberzagrożenia.
ISO/SAE 21434:2021 - Pojazdy drogowe - Inżynieria cyberbezpieczeństwa - Data wydania 2021-08. Norma jest dostępna na stronie internetowej ISO.
Cyberbezpieczeństwo w branży motoryzacyjnej: Co reguluje norma UNECE R 156?
Ponieważ w dającej się przewidzieć przyszłości w pełni autonomiczne pojazdy będą również uczestniczyć w ruchu drogowym, kluczowe znaczenie ma odpowiednia konserwacja oprogramowania pojazdu i jego stała aktualizacja, na przykład poprzez poprawki błędów lub aktualizacje. Dlatego też w dokumencie R 156 zaleca się wprowadzenie i obsługę zgodnego z normami systemu zarządzania aktualizacjami oprogramowania (SUMS) dla wszystkich pojazdów. Ma on zapewnić stałe bezpieczeństwo w całym cyklu życia pojazdu.
Nawet po wielu latach lub dziesięcioleciach musi istnieć możliwość bezpiecznego i niezawodnego instalowania aktualizacji. Ponadto rozporządzenie R 156 stwarza podstawy prawne dla tzw. aktualizacji "Over-the-Air" (O.T.A.), które umożliwiają szybkie aktualizowanie pojazdów w dowolnym czasie, niezależnie od ich lokalizacji.
Regulamin ONZ nr 156 - Jednolite przepisy dotyczące homologacji pojazdów silnikowych w odniesieniu do aktualizacji oprogramowania i systemu zarządzania aktualizacją oprogramowania [2021/388]. Tekst regulaminu można znaleźć tutaj.
Dla porównania, obecni producenci telefonów komórkowych dają niewielkie gwarancje co do tego, ile kolejnych generacji oprogramowania będą wspierać lub w jakim okresie czasu starsze urządzenia będą nadal otrzymywać aktualizacje zabezpieczeń. Jeśli producenci telefonów komórkowych, którzy mają zamiłowanie do IT, chcą uniknąć wyzwań związanych z cyklem życia swoich produktów tak wcześnie, jak to tylko możliwe, to wyraźnie pokazuje to wyzwania związane z IT, przed którymi stoi obecnie przemysł motoryzacyjny ze swoimi długimi cyklami życia produktów.
Czy współczesne cyberbezpieczeństwo w przemyśle motoryzacyjnym podlega certyfikacji?
Zgodnie z przepisami UE, producenci muszą zapewnić funkcjonalność swoich systemów zarządzania przez cały czas i obszernie dokumentować status całego swojego oprogramowania.
Aby zapewnić certyfikowany standard funkcjonalności CSMS, Międzynarodowa Organizacja Normalizacyjna (ISO) wraz ze Stowarzyszeniem Inżynierów Motoryzacji (SAE) opublikowała w sierpniu 2021 r. normę ISO/SAE 21434. W kręgach zawodowych oczekuje się, że ISO/SAE 21434 będzie stanowić podstawę uznawaną przez władze homologacyjne do wdrożenia systemu zarządzania bezpieczeństwem cybernetycznym u producenta pojazdów.
Niemieckie Stowarzyszenie Przemysłu Motoryzacyjnego (VDA) stworzyło uzupełniającą podstawę testową do tej normy, którą producent pojazdów może wykorzystać do przeprowadzenia audytu CSMS swojego dostawcy lub dostawcy usług inżynieryjnych. W ten sposób CSMS producenta może mieć pozytywny wpływ w rozumieniu przepisów EKG ONZ aż do poziomu dostawcy.
Standardem dla certyfikacji systemu zarządzania aktualizacją oprogramowania ma stać się norma ISO 24089. Jednak w tym momencie (styczeń 2022) projekt jest jeszcze otwarty.
Różnica w stosunku do TISAX®
Prawdą jest, że TISAX® jest również procedurą testową w zakresie bezpieczeństwa informacji w przemyśle motoryzacyjnym. I podobnie jak w przypadku certyfikacji, spełnienie wymagań można udowodnić poprzez ocenę. Jednak TISAX® jest skierowany przede wszystkim do usługodawców i dostawców w przemyśle motoryzacyjnym, którzy muszą udowodnić swoim klientom, że spełniają określone wymagania w zakresie bezpieczeństwa informacji. Jednym z przykładów jest bezpieczna obsługa danych i informacji przekazywanych dostawcy przez klienta, na przykład na potrzeby procesu rozwoju i produkcji. Z kolei norma ISO/SAE 21434 jest skierowana do producentów pojazdów, tj. producentów oryginalnego wyposażenia (OEM).
TISAX® - odpowiedzi na ważne pytania
Czy musisz przedstawić dowody na bezpieczeństwo powierzonych Ci informacji zgodnie z wymogami VDA? Nasz ekspert André Säckel udziela odpowiedzi na ważne pytania.
ISO/SAE 21434 jako czynnik zwiększający reputację
Podejście normy ISO 21434, analogiczne do powszechnie stosowanych systemów zarządzania, takich jak ISO 27001, wymaga wdrożenia procesów i procedur przy jednoczesnym uwzględnieniu zidentyfikowanego ryzyka.
Deklarowanym celem normy jest zapewnienie bezpieczeństwa wszystkich systemów elektrycznych, a przede wszystkim elektronicznych systemów przetwarzania danych, w całym cyklu życia pojazdu, aż do jego utylizacji. W ten sposób ma ona stać się uznanym i obowiązującym standardem jakości w zakresie cyberbezpieczeństwa w sektorze motoryzacyjnym.
ISO/SAE 21434:2021 - Pojazdy drogowe - Inżynieria cyberbezpieczeństwa - Data wydania 2021-08. Norma jest dostępna na stronie internetowej ISO.
Jak organizacje mogą przygotować się do audytu VCS?
Warunkiem wstępnym audytu VCS jest ocena TISAX®, która potwierdza zgodność centralnego ISMS z TISAX®. ISMS zapewnia przestrzeganie podstawowych zasad i procedur bezpiecznego przetwarzania informacji. Liczba lokalizacji objętych audytem VCS musi być podzbiorem lokalizacji objętych oceną TISAX®. Ponadto w organizacji musi być wdrożony centralny system zarządzania jakością (możliwe standardy: IATF 16949, ISO 10007, Automotive SPICE®, ISO/IEC 330xx, ISO/IEC/IEEE 15288 lub ISO/IEC/IEEE 12207).
Organizacja musi określić, którą etykietę musi dostarczyć producentom OEM lub innym dostawcom. Te wymagania dotyczące etykiet określają, które konkretne wymagania katalogu testów VCSA muszą zostać spełnione:
1. Rozwój VCS: organizacja jest odpowiedzialna za działania związane z rozwojem VCS aż do osiągnięcia gotowości produkcyjnej.
2. Produkcja VCS: organizacja produkuje wstępnie skonfigurowane komponenty VCS w bezpieczny sposób.
3. VCS Operations & Maintenance: organizacja monitoruje bezpieczne działanie komponentów VCS i zarządza incydentami bezpieczeństwa, na przykład poprzez opracowywanie aktualizacji i dostarczanie ich za pośrednictwem centralnego systemu zarządzania flotą OEM.
Proces audytu VCS składa się z następujących etapów:
1. Na początku audytor wiodący VCS szczegółowo przedstawia proces i formułuje swoje oczekiwania dotyczące wkładu zaangażowanych osób i lokalizacji. Na tym etapie audytor wiodący określa liczbę projektów VCS w organizacji i ich ocenę ryzyka.
2. Organizacja przeprowadza samoocenę centralnego systemu CSMS w oparciu o katalog audytów ENX VCSA i przedkłada audytorowi wiodącemu wynik, w tym powiązane dokumenty CSMS.
3. W lokalizacji, w której utrzymywany jest centralny CSMS, zgodność polityk i procesów jest weryfikowana na miejscu w oparciu o dowody.
4. Audytor wiodący wybiera próbę opartą na ryzyku ze zbioru projektów VCS. Ryzyko może pochodzić z wyników wewnętrznej oceny projektu zwanej Analizą Zagrożeń i Oceną Ryzyka (TARA). Jeśli próba jest wyjątkowo większa niż pierwotne oszacowanie, oszacowanie DQS zostanie skorygowane w celu odzwierciedlenia zwiększonego wysiłku.
5. Projekty VCS w próbie określają, które zespoły programistyczne w których lokalizacjach VCS są konkretnie uwzględnione.
6. Z wybranymi zespołami deweloperskimi zostanie przeprowadzony zdalny wywiad z udziałem eksperta VCS w celu ustalenia, w jaki sposób projekt VCS został wdrożony i czy wymagania CSMS zostały spełnione we wszystkich fazach cyklu życia komponentu VCS.
Podobnie jak w przypadku TISAX®, klient, który pomyślnie przeszedł audyt VCS, otrzymuje wyżej wymienione etykiety w bazie danych ENX i może udostępniać wyniki zainteresowanym stronom (producentom OEM i klientom). Etykiety VCS są ważne przez 3 lata.
Cyberbezpieczeństwo w branży motoryzacyjnej: dlaczego organizacje powinny działać już teraz?
Jak wspomniano powyżej, nowe przepisy wejdą w życie 1 lipca 2024 r. dla wszystkich nowo wyprodukowanych pojazdów. W najgorszym przypadku producenci, którzy nie spełnią wymogów CSMS i aktualizacji oprogramowania, będą narażeni na ryzyko nieotrzymania homologacji dla odpowiednich typów pojazdów. Z drugiej strony certyfikacja zgodnie z nowym audytem VCS wysyła silny sygnał do organów regulacyjnych i partnerów biznesowych, poświadcza wdrożenie wszystkich aspektów związanych z bezpieczeństwem i zapewnia długoterminowe zaufanie przez cały cykl życia pojazdu.
Jakość w przemyśle motoryzacyjnym
Czy szukacie Państwo dostępu do rynku w branży motoryzacyjnej lub chcecie go uzyskać jako czołowy dostawca? Producenci z branży motoryzacyjnej oczekują od Państwa wymiernego dowodu Państwa zdolności jakościowej: certyfikatu zgodnego z IATF 16949.
Pomyślna certyfikacja z DQS
DQS jest specjalistą w zakresie audytów i certyfikacji systemów zarządzania i procesów. Jako uznany dostawca usług audytowych stowarzyszenia ENX, oferujemy akredytacje dla wszystkich istotnych standardów w branży motoryzacyjnej. Dzięki naszym produktom, takim jak zarządzanie jakością zgodnie z IATF 16949 lub nasze oceny TISAX®, my i audytorzy DQS zdobyliśmy już rozległą wiedzę branżową.
Skorzystaj z wiedzy naszych ekspertów i uzyskaj szczegółowe informacje na temat nowych przepisów dotyczących cyberbezpieczeństwa w branży motoryzacyjnej oraz ich wpływu na Twoją organizację. Dzięki ponad 35-letniemu doświadczeniu i wiedzy 2500 audytorów na całym świecie jesteśmy kompetentnym partnerem certyfikacyjnym i udzielamy odpowiedzi na wszystkie pytania dotyczące ochrony danych i bezpieczeństwa informacji.
Chętnie odpowiemy na Państwa pytania
Jakie są wymagania dotyczące certyfikacji ISO 27001, IATF 16949, ENX VCS lub oceny TISAX®? I jak dużego wysiłku należy się spodziewać? Dowiedz się. Bezpłatnie i bez zobowiązań.
Newsletter DQS
Holger Schmeken
Menedżer produktu TISAX® i VCS, audytor ISO/IEC 27001, ekspert ds. inżynierii oprogramowania z ponad 30-letnim doświadczeniem oraz zastępca urzędnika ds. bezpieczeństwa informacji. Holger Schmeken posiada tytuł magistra informatyki biznesowej i rozszerzone kompetencje w zakresie audytu infrastruktury krytycznej w Niemczech (KRITIS).