racing cars on a track

Certyfikowane cyberbezpieczeństwo motoryzacyjne z ENX VCS

Holger Schmeken

Ekspert DQS ds. bezpieczeństwa informacji
paź 11 , 2024

Dzisiejsze pojazdy to komputery na kołach, dlatego są narażone na ryzyko cyberataku. W lipcu 2024 r. pojawiły się nowe przepisy mające na celu zapewnienie kompleksowego cyberbezpieczeństwa w branży motoryzacyjnej w całym łańcuchu dostaw. Stowarzyszenie ENX opublikowało nowy audyt cyberbezpieczeństwa pojazdów (VCSA), aby wesprzeć producentów OEM i dostawców we wdrażaniu nowych wymagań.

Ten artykuł został po raz pierwszy opublikowany w niemieckim czasopiśmie "QZ - Quality and Reliability", vol. 69 (2024).

Spis treści

people in a car driving down the road happily

Cyfrowa transformacja sprawiła, że pojazdy stały się bardziej wydajne i bezpieczniejsze. Dzięki elektronicznym systemom sterowania i stałej łączności sieciowej stały się one również celem cyberprzestępców. Krytyczne systemy mogą zostać zaatakowane, z potencjalnie śmiertelnymi konsekwencjami. Pomimo najbardziej rygorystycznych standardów rozwoju oprogramowania
, nawet w lotnictwie nie ma gwarancji bezbłędnego oprogramowania.
Kontrola oprogramowania pozwala jednak na szybką reakcję na problemy z jakością - aktualizacje mogą być teraz dokonywane bezprzewodowo (OTA) praktycznie z dnia na dzień.

Wiążące przepisy dotyczące cyberbezpieczeństwa

W celu przeciwdziałania rosnącym zagrożeniom cybernetycznym, Organizacja Narodów Zjednoczonych przyjęła UNECE R 155 i 156, które obejmują wdrożenie odpowiednio Systemu Zarządzania Cyberbezpieczeństwem (CSMS) i Systemu Zarządzania Aktualizacjami Oprogramowania (SUMS). Regulacje te mają na celu zapewnienie cyberbezpieczeństwa w całym cyklu życia modelu i w całym łańcuchu dostaw. W UE przepisy te są obowiązkowe dla wszystkich nowo wyprodukowanych pojazdów od lipca 2024 r.

ENX VCS - ogólnoświatowy program audytu dla ISO/SAE 21434

W ramach normy ISO/SAE 21434 (Pojazdy drogowe - Inżynieria cyberbezpieczeństwa) podjęto próbę stworzenia wytycznych i dowodu zgodności z przepisami ONZ. W praktyce jednak okazało się, że odpowiednie programy audytowe dostawców usług testowych są zbyt różne - pomimo specyfikacji ISO/PAS 5112. W związku z tym producenci nadal nie mieli możliwości dostarczenia ustawodawcy wiarygodnych i porównywalnych dowodów zgodności swoich dostawców - którzy z kolei mieli problemy z udowodnieniem zgodności z postanowieniami umownymi w oparciu o porównywalną podstawę testową.

Dlatego też Stowarzyszenie ENX (zrzeszające europejskich producentów, dostawców i stowarzyszenia motoryzacyjne) opracowało program audytu ENX VCS. ENX VCS przeprowadza audyty wdrożenia systemów zarządzania cyberbezpieczeństwem pojazdów (VCSMS) zgodnie z normami ISO 21434 i ISO
5112. Jego decydującą zaletą jest to, że audyt VCS jest ustandaryzowany na całym świecie i może być szybciej dostosowany do nowych wyzwań niż standard ISO. Grupa międzynarodowych ekspertów regularnie dokonuje przeglądu programu audytu, aby zapewnić jego aktualność.

Czy jesteś gotowy na ENX VCS?

Dowiedz się wszystkiego o procesie ENX VCS i warunkach uzyskania etykiety VCS.

Pobierz swoją etyki­etę VCS tutaj!

Standaryzowane audyty - porównywalne wyniki

Dzięki znormalizowanemu audytowi ENX VCS firmy unikają niepotrzebnych, nie tylko finansowych, wydatków, które mogą wynikać z wielopłaszczyznowych procesów audytowych i rozbieżnych audytów. Aby zapewnić globalnie porównywalne procesy u wszystkich dostawców usług audytowych, ENX opublikował również konkretne kryteria i wymagania dotyczące oceny dostawców usług audytowych (ACAR VCS) oraz wiążący katalog audytów dla audytów cyberbezpieczeństwa pojazdów (VCSA) w momencie uruchomienia programu. Określają one szereg obowiązkowych kompetencji i wiążący model proceduralny dla audytorów VCS - oprócz audytu organizacyjnego przepisów V-CSMS, na przykład obowiązkowego audytu dokumentów i procesów - oraz tworzenia zorientowanej na ryzyko losowej próby wszystkich projektów związanych z bezpieczeństwem cybernetycznym. Zespoły inżynieryjne odpowiedzialne za projekty w próbie są następnie przesłuchiwane przez audytorów i ekspertów. Wyniki pracy zespołu są weryfikowane w celu zapewnienia, że V-CSMS jest faktycznie wykorzystywany w praktyce. Po pomyślnym zakończeniu testu, firmy mogą złożyć wniosek do ENX o przyznanie odpowiedniej etykiety V-CSMS i udostępnić ją zainteresowanym stronom za pośrednictwem mechanizmu wymiany ENX.

TISAX® i VCS działają w tandemie

Strukturalnie, audyty VCS z ACAR VCS są oparte na uznanym standardzie motoryzacyjnym TISAX®. Oba mechanizmy audytu wzajemnie się uzupełniają: podczas gdy TISAX®ocenia bezpieczeństwo informacji w firmie, etykieta VCS potwierdza cyberbezpieczeństwo komponentów pojazdu. Podobnie jak w przypadku TISAX®, audyt VCS uwzględnia różne role dostawców w dostarczaniu komponentów istotnych dla cyberbezpieczeństwa. Każdy dostawca musi zatem spełniać tylko te wymagania katalogu audytu VCSA, które odpowiadają jego rzeczywistej, konkretnej roli. Rozróżnia się różne etykiety:

  • VCS Development: Firma przeprowadza bezpieczny rozwój komponentów VCS - od integracji. Proces integracji systemu z ogólną architekturą bezpieczeństwa, aż do bezpiecznego wdrożenia i bezpiecznego przejścia do produkcji.
  • Produkcja VCS: Firma produkuje komponenty VCS i zapewnia ich bezpieczną konfigurację oraz wyposażenie w oprogramowanie.
  • Operacje i konserwacja VCS: Firmie powierzane są dane dziennika z floty pojazdów, co pozwala na identyfikację problematycznych warunków operacyjnych lub identyfikację konkretnych incydentów bezpieczeństwa. Ta etykieta jest również odpowiednia dla firm, które muszą aktualizować swoje komponenty VCS.
Description of the various standards for cyber security throughout a vehicle's lifecycle

Dowód zgodności z ENX VCS

W ramach audytu VCS, producenci OEM i dostawcy mogą poddać swoje systemy V-CSMS audytowi przez zatwierdzonych dostawców usług audytowych i otrzymać etykietę VCS od ENX, która jest ważna przez trzy lata. Zwiększona globalna porównywalność nowych etykiet wzmacnia zaufanie do zgodności V-CSMS ze specyfikacjami cyberbezpieczeństwa UNECE R 155, umożliwiając firmom wyraźne wykazanie zgodności z przepisami władzom i partnerom biznesowym oraz przyczyniając się do kompleksowego cyberbezpieczeństwa w branży motoryzacyjnej. W tym przypadku opłaca się działać szybko: W fazie wstępnej rejestracja do audytu ENX VCS jest bezpłatna.

DQS - Po prostu wykorzystując bezpieczeństwo

Firma DQS została założona w 1985 roku jako pierwsza niemiecka jednostka certyfikująca. Od tego czasu jesteśmy jednym z wiodących światowych ekspertów w dziedzinie audytu i certyfikacji. Partnerzy założyciele DGQ (Deutsche Gesellschaft für Qualität e. V.) i DIN (Deutsches Institut für Normung e. V.) są ważnymi partnerami w zakresie szkoleń i dalszej edukacji, a także prac normalizacyjnych.

Aktywnie uczestniczymy w komitetach i organach w imieniu naszych klientów i wnosimy naszą wiedzę ekspercką do naszych audytów. Nasze roszczenia zaczynają się tam, gdzie kończą się listy kontrolne audytu. Zaufaj nam na słowo.

Zaufanie i wiedza specjalistyczna

Nasze teksty i broszury są pisane wyłącznie przez naszych ekspertów ds. standardów lub wieloletnich audytorów. Jeśli masz jakiekolwiek pytania dotyczące treści tekstu lub naszych usług dla naszego autora, czekamy na wiadomość od Ciebie.

Źródło: www.qz-online.de (wiodący niemiecki periodyk poświęcony zarządzaniu jakością).

Autor

Holger Schmeken

Menedżer produktu TISAX® i VCS, audytor ISO/IEC 27001, ekspert ds. inżynierii oprogramowania z ponad 30-letnim doświadczeniem oraz zastępca urzędnika ds. bezpieczeństwa informacji. Holger Schmeken posiada tytuł magistra informatyki biznesowej i rozszerzone kompetencje w zakresie audytu infrastruktury krytycznej w Niemczech (KRITIS).

Powiązane artykuły i wydarzenia

Możesz być również zainteresowany tym
Blog

Komunikacja kryzysowa podczas ataku ransomware: Zarządzanie informacjami w sytuacji kryzysowej

Czytaj więcej
Blog

DTNA wymaga etykiet TISAX® od dostawców

Czytaj więcej
Blog

Odblokowanie godnej zaufania sztucznej inteligencji: co należy wiedzieć o certyfikacji ISO/IEC 42001

Czytaj więcej