Os veículos actuais são computadores sobre rodas; por conseguinte, estão expostos aos riscos de um ciberataque. Em julho de 2024, surgiram novos regulamentos para garantir uma cibersegurança automóvel abrangente em toda a cadeia de abastecimento da indústria automóvel. A Associação ENX publicou a nova Auditoria de Cibersegurança Automóvel (VCSA) para apoiar os OEM e os fornecedores na implementação dos novos requisitos.

Este artigo foi publicado pela primeira vez na revista alemã "QZ - Quality and Reliability", vol. 69 (2024)

people in a car driving down the road happily
Loading...

A transformação digital tornou os veículos mais eficientes e mais seguros. Através dos sistemas de controlo eletrónico e da constante ligação em rede, tornaram-se também alvos de cibercriminosos. Os sistemas críticos podem ser atacados, com consequências potencialmente fatais. Apesar das normas mais rigorosas de desenvolvimento de software, mesmo na aviação, não há garantia de software isento de erros. No entanto, o controlo do software permite uma resposta rápida a problemas de qualidade - as actualizações podem agora ser feitas por via aérea (OTA) praticamente de um dia para o outro.

Regulamentação vinculativa em matéria de cibersegurança

Para fazer face às crescentes ameaças cibernéticas, as Nações Unidas adoptaram os regulamentos UNECE R 155 e 156, que incluem a implementação de um sistema de gestão da cibersegurança (CSMS) e de um sistema de gestão das actualizações de software (SUMS), respetivamente. Os regulamentos destinam-se a garantir a cibersegurança ao longo de todo o ciclo de vida de um modelo e ao longo de toda a cadeia de abastecimento. Na UE, os regulamentos são obrigatórios para todos os veículos recém-fabricados desde julho de 2024.

ENX VCS - programa de auditoria mundial para ISO/SAE 21434

Com a ISO/SAE 21434 (Veículos rodoviários - Engenharia de cibersegurança), foi feita uma tentativa no decurso dos regulamentos da ONU para criar uma diretriz e prova de conformidade para o cumprimento dos regulamentos. Na prática, porém, os respectivos programas de auditoria dos prestadores de serviços de ensaio revelaram-se demasiado diferentes - apesar das especificações da norma ISO/PAS 5112. Por conseguinte, os fabricantes continuavam a não ter a possibilidade de fornecer ao legislador provas fiáveis e comparáveis da conformidade dos seus fornecedores - que, por sua vez, tinham problemas em provar o cumprimento das suas disposições contratuais com base em ensaios comparáveis.

É por esta razão que a Associação ENX (uma associação de fabricantes, fornecedores e associações europeias do sector automóvel) concebeu o programa de auditoria ENX VCS. O ENX VCS audita a implementação de um sistema de gestão da cibersegurança automóvel (VCSMS) em conformidade com a ISO 21434 e a ISO
5112. A sua vantagem decisiva: a auditoria VCS é padronizada a nível mundial e pode ser adaptada mais rapidamente a novos desafios do que uma norma ISO. Um grupo de peritos internacionais revê regularmente o programa de auditoria para o manter atualizado.

Está preparado para o ENX VCS?

Saiba tudo sobre o processo ENX VCS e os pré-requisitos para o seu rótulo VCS.

Obtenha o seu rótulo VCS aqui!

Auditorias padronizadas - resultados comparáveis

Com a auditoria ENX VCS normalizada, as empresas evitam despesas desnecessárias, nomeadamente financeiras, que podem surgir de processos de auditoria multiplano e auditorias divergentes. Para garantir processos globalmente comparáveis em todos os fornecedores de auditoria, a ENX também publicou critérios específicos para fornecedores de auditoria e requisitos de avaliação (ACAR VCS) e um catálogo de auditoria vinculativo para auditorias de segurança cibernética de veículos (VCSA) no lançamento do programa. Estes definem uma série de competências obrigatórias e um modelo de procedimento vinculativo para os auditores VCS - para além da auditoria organizacional dos regulamentos V-CSMS, por exemplo, uma auditoria obrigatória de documentos e processos - e a formação de uma amostra aleatória orientada para o risco de todos os projectos relevantes para a cibersegurança. As equipas de engenharia responsáveis pelos projectos da amostra são então entrevistadas pelos auditores e peritos. Os resultados do trabalho da equipa são analisados para garantir que o V-CSMS é efetivamente utilizado na prática. Uma vez concluído o teste com êxito, as empresas podem solicitar à ENX um rótulo VCS correspondente e disponibilizá-lo às partes interessadas através do mecanismo de intercâmbio da ENX.

Loading...

TISAX® e VCS trabalham em conjunto

Estruturalmente, as auditorias VCS com o ACAR VCS baseiam-se na norma automóvel estabelecida TISAX®. Os dois mecanismos de auditoria complementam-se mutuamente: enquanto o TISAX®avalia a segurança da informação numa empresa, o rótulo VCS confirma a segurança cibernética dos componentes dos veículos. À semelhança do TISAX®, a auditoria VCS tem em conta os diferentes papéis dos fornecedores no fornecimento de componentes ciber-relevantes. Por conseguinte, cada fornecedor só deve cumprir os requisitos do catálogo de auditoria VCSA que correspondem à sua função específica atual. É feita uma distinção entre diferentes rótulos:

  • Desenvolvimento VCS: A empresa efectua o desenvolvimento seguro de componentes VCS - a partir da integração. O processo de integração do sistema na arquitetura geral de segurança até à implementação segura e à transição segura para a produção.
  • Produção VCS: A empresa produz componentes VCS e garante a sua configuração segura e equipamento de software.
  • Operações e manutenção do VCS: A empresa é responsável pelos dados de registo da frota de veículos, o que permite identificar condições de funcionamento problemáticas ou incidentes de segurança específicos. Este rótulo também é adequado para empresas que precisam de manter os seus componentes VCS actualizados.
Description of the various standards for cyber security throughout a vehicle's lifecycle
Loading...

Prova de conformidade de acordo com o ENX VCS

Como parte da auditoria VCS, os OEM e os fornecedores podem ter o seu V-CSMS auditado por fornecedores de auditoria aprovados e receber uma etiqueta VCS da ENX válida por três anos. A maior comparabilidade global dos novos rótulos reforça a confiança na conformidade do V-CSMS com as especificações de cibersegurança UNECE R 155, permitindo às empresas demonstrar claramente a sua conformidade às autoridades e aos parceiros comerciais e contribuir para uma cibersegurança automóvel abrangente. Neste caso, vale a pena atuar rapidamente: Durante a fase introdutória, o registo para a auditoria ENX VCS é gratuito.

DQS - Simplesmente alavancar a Segurança

A DQS foi fundada em 1985 como o primeiro organismo de certificação da Alemanha. Desde então, temos sido um dos principais especialistas em auditoria e certificação do mundo. Os parceiros fundadores DGQ (Deutsche Gesellschaft für Qualität e. V.) e DIN (Deutsches Institut für Normung e. V.) são parceiros importantes para a formação e educação contínua, bem como para o trabalho de normalização.

Estamos ativamente envolvidos em comités e organismos em nome dos nossos clientes e contribuímos com os nossos conhecimentos especializados para as nossas auditorias. A nossa reivindicação começa onde terminam as listas de controlo de auditoria. Acredite na nossa palavra.

Confiança e competência

Os nossos textos e brochuras são redigidos exclusivamente pelos nossos peritos em normas ou por auditores de longa data. Se tiver alguma questão sobre o conteúdo do texto ou sobre os nossos serviços ao nosso autor, teremos todo o gosto em ouvi-lo.

Fonte: www.qz-online.de (o principal periódico alemão para a gestão da qualidade).

Autor
Holger Schmeken

Gestor de produtos para TISAX® e VCS, Auditor para ISO/IEC 27001, Perito em Engenharia de Software com mais de 30 anos de experiência e Diretor Adjunto de Segurança da Informação. Holger Schmeken tem um mestrado em informática empresarial e possui competências alargadas de auditoria para infra-estruturas críticas na Alemanha (KRITIS).

Loading...

Artigos e eventos relevantes

Você pode também estar interessado em
Blog
autonomous driving by a e-car, e-mobility
Loading...

ENX VCS versus ISO 21434: Auditoria de cibersegurança automóvel

Blog
experience-with iso-27001-dqs-enterbrain-software-ag server cabinets
Loading...

Lições aprendidas com a ISO 27001 - um estudo de caso da ENTERBRAIN Software

Blog
Mixing console in a recording studio with sliders at different heights
Loading...

Gestão da configuração na segurança da informação