racing cars on a track

Cibersegurança automotiva certificada com ENX VCS

Holger Schmeken

Gerente de Produto da DQS para TISAX® e VCS
out. 11 , 2024

Os veículos de hoje são computadores sobre rodas, portanto, estão expostos aos riscos de um ciberataque. Novas regulamentações emergiram em julho de 2024 para garantir a cibersegurança automotiva abrangente em toda a cadeia de suprimentos da indústria automotiva. A ENX Association publicou a nova Auditoria de Cibersegurança Veicular (VCSA) para apoiar os OEMs (Fabricantes de Equipamentos Originais) e fornecedores na implementação destes novos requisitos.

Este artigo foi publicado pela primeira vez no periódico alemão "QZ - Quality and Reliability", vol. 69 (2024)

Lista de Conteúdos

people in a car driving down the road happily

A transformação digital tornou os veículos mais eficientes e seguros. Por meio de sistemas de controle eletrônico e constante conectividade, eles também se tornaram alvos para os cibercriminosos. Sistemas críticos dos veículos poderiam ser atacados, com consequências potencialmente fatais. Apesar dos mais rigorosos padrões de desenvolvimento de software, mesmo na aviação, não há garantia de software sem erros. No entanto, o controle de software permite uma rápida resposta a problemas de qualidade - atualizações podem agora ser feitas via wireless (OTA) virtualmente da noite para o dia.

Regulamentações obrigatórias de cibersegurança

Para combater as crescentes ameaças cibernéticas, as Nações Unidas adotaram a UNECE R 155 e 156, que incluem a implementação de um Sistema de Gestão de Cibersegurança (CSMS) e um Sistema de Gestão de Atualizações de Software (SUMS), respectivamente. As regulamentações têm como objetivo garantir a cibersegurança ao longo de todo o ciclo de vida de um modelo e para toda a cadeia de fornecedores. Na UE, as regulamentações são obrigatórias para todos os veículos novos fabricados a partir julho de 2024.

ENX VCS - ENX VCS - Programa de auditoria mundial para ISO/SAE 21434

Com a ISO/SAE 21434 (Veículos Rodoviários - Engenharia de Cibersegurança), foi feita uma tentativa no escopo das regulamentações da ONU, de criar uma diretriz e uma comprovação de conformidade para o cumprimento das regulamentações. Na prática, no entanto, os respectivos programas de auditoria dos prestadores de serviços de teste mostraram-se muito diferentes - apesar das especificações da ISO/PAS 5112. Portanto, os fabricantes ainda não conseguiam a oportunidade de fornecer ao legislador evidências confiáveis e comparáveis da conformidade de seus fornecedores - que, por sua vez, tinham problemas para comprovar a conformidade com suas disposições contratuais tendo com parâmetro uma base de teste comparável.

É por isso que a ENX Association (uma associação de fabricantes, fornecedores e associações automotivas europeias) projetou o programa de auditoria ENX VCS. A ENX VCS audita a implementação de Sistemas de Gestão de Cibersegurança de Veículos (VCSMS) de acordo com a ISO 21434 e a ISO 5112. Sua vantagem decisiva: a auditoria VCS é padronizada mundialmente e pode ser adaptada mais rapidamente a novos desafios do que uma norma ISO. Um grupo de especialistas internacionais revisa regularmente o programa de auditoria para sempre mantê-lo atualizado.

Você está pronto para a ENX VCS?

Aprenda tudo sobre o processo ENX VCS e os pré-requisitos para seu label VCS.

Obtenha seu label VCS aqui!

Auditorias padronizadas - resultados comparáveis

Com a auditoria padronizada ENX VCS, as empresas evitam despesas desnecessárias, incluindo, entre outras, custos financeiros que podem surgir de processos de auditoria em várias etapas e divergentes. Para garantir processos globalmente comparáveis entre todos os provedores de auditoria, a ENX também publicou Critérios para Provedores de Auditoria e Requisitos de Avaliação específicos (ACAR VCS) e um catálogo de auditoria obrigatório para Auditorias de Cibersegurança Veicular (VCSA) no lançamento do programa. Estes definem uma série de competências obrigatórias e um modelo procedimental vinculativo para os auditores VCS – além da auditoria organizacional das regulamentações do V-CSMS, por exemplo, uma auditoria obrigatória de documentos e processos – e a formação de uma amostra orientada por riscos de todos os projetos relevantes para a cibersegurança. As equipes de engenharia responsáveis pelos projetos da amostra são então entrevistadas pelos auditores e especialistas. Os resultados do trabalho da equipe são revisados para garantir que o V-CSMS está sendo efetivamente utilizado na prática. Após a conclusão bem-sucedida do teste, as empresas podem solicitar à ENX um LAbel VCS correspondente e disponibilizá-lo para as partes interessadas através do mecanismo de troca da ENX.

TISAX ® e VCS trabalham em conjunto

Estruturalmente, as auditorias VCS com o ACAR VCS são baseadas na avaliação TISAX®. Os dois mecanismos de auditoria se complementam: enquanto a TISAX® avalia a segurança da informação em uma empresa, o label VCS confirma a cibersegurança dos componentes veiculares. Similar a TISAX®, a auditoria VCS leva em consideração os diversos papéis dos fornecedores na prestação de componentes relevantes para a cibersegurança. Cada fornecedor, portanto, precisa atender apenas aos requisitos do catálogo de auditoria VCSA que correspondem ao seu papel específico. É feita uma distinção entre diferentes labels:

  • Desenvolvimento VCS: A empresa realiza o desenvolvimento seguro de componentes VCS - desde a integração. O processo de integração do sistema na arquitetura geral de segurança até a implementação segura e a transição segura para a produção.
  • Produção VCS: A empresa produz componentes VCS e garante sua configuração segura e equipamentos de software.
  • Operações e Manutenção VCS: A empresa é encarregada de dados de log da frota de veículos, o que permite identificar condições operacionais problemáticas ou identificar incidentes de segurança específicos. Este label também é adequado para empresas que precisam manter seus componentes VCS atualizados.
Description of the various standards for cyber security throughout a vehicle's lifecycle

Prova de conformidade de acordo com a ENX VCS

Como parte da auditoria VCS, os OEMs e fornecedores podem ter seus V-CSMS auditados por organismos de certificação aprovados e receber um label VCS de ENX que é válido por três anos. A maior comparabilidade global dos novos labels fortalece a confiança na conformidade do V-CSMS com as especificações de cibesegurança UNECE R 155, permitindo que as empresas demonstrem claramente sua conformidade às autoridades e parceiros de negócios e contribuam para a cibesegurança automotiva abrangente.

É vantajoso agir rapidamente: Durante a fase inicial, o registro para a auditoria VCS da ENX é gratuito.

DQS - Simply leveraging Security

A DQS foi fundada em 1985 como o primeiro organismo de certificação da Alemanha. Desde então, somos um dos principais especialistas mundiais em auditoria e certificação. Os parceiros fundadores, DGQ (Sociedade Alemã para Qualidade) e DIN (Instituto Alemão de Normatização), são parceiros importantes na formação, educação continuada e no trabalho de normalização.

Estamos ativamente envolvidos em comitês e órgãos em nome de nossos clientes, trazendo nosso conhecimento especializado para as auditorias. Nossa missão começa onde os checklists de auditoria terminam. Conte conosco.

Confiança e competência

Nossos textos e folhetos são escritos exclusivamente por nossos especialistas em normas ou auditores experientes. Se você tiver alguma dúvida sobre o conteúdo do texto ou nossos serviços para nosso autor, aguardamos o seu contato.

Fonte: www.qz -online.de (O principal periódico da Alemanha sobre gestão da qualidade).

Autor

Holger Schmeken

Gerente de Produto para TISAX® e VCS, Auditor para ISO/IEC 27001, Especialista em Engenharia de Software com mais de 30 anos de experiência e Diretor Adjunto de Segurança da Informação. Holger Schmeken possui mestrado em Informática Empresarial e possui competências ampliadas de auditoria para infraestruturas críticas na Alemanha (KRITIS).

Eventos e artigos relevantes

Você também pode se interessar por
Blog

Comunicação de crise durante um ataque de ransomware: Gerir a informação numa emergência

Leia mais
Blog

A DTNA solicita TISAX® labels aos fornecedores

Leia mais
Blog

Desbloqueando uma IA confiável: o que você precisa saber sobre a certificação ISO/IEC 42001

Leia mais