autonomous driving by a e-car, e-mobility

ENX VCS naspram ISO 21434: Audit sajber bezbednosti vozila

Holger Schmeken

DQS expert za bezbednost informacija
јул 10 , 2024

Digitalna transformacija automobilske industrije je u punom jeku. Gdje god je to moguće, mehanika ustupa mesto elektronici. Instaliranje više E/E komponenti čini vozila snažnijim i povećava sigurnost u vožnji - ali ih takođe izlaže opasnostima od sajber napada. Iz tog razloga, Ujedinjene nacije su usvojile UN R 155, koji predviđa implementaciju modernih sistema upravljanja sajber sigurnošću (CSMS) i stupa na snagu u potpunosti od jula 2024.


Sa standardom ISO/SAE 21434 „Drumska vozila – Inženjering sajber sigurnosti“ već postoji smernica koja se pominje u zvaničnim zahtevima, ali se u praksi pokazalo nedovoljno preciznom. Kako bi omogućila globalno standardizovanu implementaciju, ENX asocijacija je kreirala novu opciju sertifikacije sa auditima sajber sigurnosti vozila (VCSA). U našem blog postu, kompanije u automobilskoj industriji mogu saznati zašto je ovaj program audita pogodniji za dokazivanje usaglašenosti s novim propisima nego za sertifikaciju isključivo u skladu sa ISO/SAE 21434.

Značaj novih propisa za sajber bezbednost u automobilskoj industriji

Sa novim propisima o sajber bezbednosti automobila, obavezujući zahtevi će se primenjivati ​​na sva novoproizvedena vozila od jula 2024. Ako zahtevi ne budu implementirani, dotična serija modela neće dobiti odobrenje tipa. Holistička sajber bezbednost, prema vlastitoj nameri uz obaveznu implementaciju sistema upravljanja sajber bezbednošću(CSMS), obuhvata sve komponente vozila. 

Većina komponenti u građenih u vozila potiče iz lanca snabdevanja proizvođača automobila. UN R 155 čini ove proizvođače odgovornim za sajber bezbednost komponenti koje isporučuju. Međutim, oni mogu uticati na sajber bezbednost komponenti samo kroz svoje ugovorne sporazume sa dobavljačima. Kao deo svog upravljanja rizikom, proizvođači vozila stoga zavise od jasnih ugovora i smislenih audita svojih dobavljača kako bi dugoročno garantovali i održavali potrebnu sajber bezbednost.

Koje probleme adresira nova regulativa?

Uvođenje UN R 155 (i UN R 156, koji se fokusira na ažuriranje softvera) od strane zakonodavca skreće pažnju na nekoliko složenih pitanja koja postoje u vezi sa softverski kontrolisanim komponentama drumskih vozila i sajber bezbednošću:

  • Kako se može osigurati da je softver za rad sa takvim komponentama dizajniran, razvijen i sigurno implementiran?
  • Kako je komponenta opremljena samo predviđenom verzijom softvera u proizvodnom procesu i kako su relevantni proizvodni sistemi potrebni za opremanje komponenti softverskom zaštitom?
  • Kako se može pratiti da se sigurnosni događaji u komponentama snimaju i da se pretnje mogu efikasno otkloniti ažuriranjem čak i nakon deset godina?

ISO 21434 sertifikacija kao rešenje?

Da bi se odgovorilo na ova pitanja, UN R 155 pominje uspostavljanje sistema upravljanja sajber bezbednošću (CSMS) u skladu sa ISO/SAE 21434 kod proizvođača vozila. Sistem upravljanja je skup procesa i procedura koje se koriste za efikasno upravljanje i kontrolu kompanije ili organizacije.
Za potrebe standarda, termin "cyber bezbednost" u automobilskoj industriji odnosi se posebno na zaštitu kompjuterskih sistema, mreža i njihovih podataka u drumskim vozilima. Ovo uključuje mere i strategije za osiguranje sigurnosti i integriteta digitalnih sistema koji se koriste u vozilima.

Kako bi se osigurala sajber bezbednost, standard specificira procese i procedure za CSMS u sigurnosnom dizajnu, razvoju proizvoda, održavanju proizvoda, otkrivanju rizika, prevenciji opasnosti, odlaganju proizvoda i povezanim kontinuiranim procesima. Dakle, standard pruža sveobuhvatan arhitektonski model CSMS-a, uključujući model procesa za procenu rizika u sajber bezbednosti, koji se naziva analiza pretnji i rizika (TARA).

U nastavku možete saznati koji argumenti se protive čistom ISO/SAE 21434 sertifikatu za ispunjavanje zahteva UN R 155.

Automobilska sajber bezbednost: novi propisi od jula 2024

Sa digitalizacijom, rizici od napada naglo su porasli. Proizvođači automobila su atraktivna meta za sajber kriminalce u mnogim aspektima. Pročitajte naš blog post da saznate koji su propisi na snazi ​​za njihovu zaštitu.

Blog

Zahtevi za audite prema ISO/PAS 5112

ISO/SAE 21434 ostavlja mnogo prostora za tumačenje u vezi sa načinom audita CSMS-a. Kako svaki provajder audita kreira sopstveni program audita za standard ISO 21434 prema propisima svog akreditacionog tela, ISO/PAS 5112 je učinio neophodnim da se standardizuje proces audita za sajber bezbednost organizacije i CSMS.

ISO/PAS 5112 sadrži opšte smernice za upravljanje programom audita i pruža organizacijama neophodne informacije o planiranju i sprovođenju audita. Takođe definiše kompetencije CSMS auditora i objašnjava kako se verifikuje implementacija zahteva standarda.

Zašto je ENX razvio VCS audit

Uprkos ovim naporima da se poboljša standardizacija, rezultirajući programi audita sajber bezbednosti u automobilskoj industriji i dalje se uveliko razlikuju.

U pozadini duboko integrisanih lanaca snabdevanja sa više ugovornih partnera, neuporedivi programi audita predstavljaju veliki problem za proizvođače vozila. Proizvođači moraju biti u mogućnosti da se oslone na rezultate audita dobavljača sistema za upravljanje sajber bezbednošću (CSMS) za svoje upravljanje rizikom.

ENX je prepoznao ovu potrebu i razvio rešenje u saradnji sa automobilskom industrijom implementirajući globalno standardizirani program audita pod nazivom ENX VCS (Vehicle Cyber ​​Security - Sajber bezbednost vozila). ENX je koristio svoju mrežu članova da prilagodi program audita specifičnim zahtevima industrije.

Istovremeno, sam ISO/SAE 21434 nije dovoljan da ispuni sve regulatorne zahteve UN R 155. Iako se UN R 155 poziva na ISO/SAE 21434 kao primer procesa CSMS-a, on takođe zahteva da se sposobnost CSMS-a mora održavati na stalnoj osnovi:

  • UN R 155, Poglavlje 7.2.2.3: Sajber pretnje i ranjivosti koje zahtevaju odgovor proizvođača vozila rešavaju se u razumnom vremenskom roku.
  • UN R 155, Poglavlje 7.2.2.4: Proizvođač vozila mora pokazati da postupci primenjeni u njegovom sistemu upravljanja sajber bezbednosti osiguravaju da se nadzor iz stava 7.2.2.2 g) odvija redovno.

 

Navedeni zahtevi mogu se dugoročno realno ispuniti samo ako se uz CSMS radi i sistem upravljanja bezbednošću informacija (ISMS), koji trajno osigurava bezbednost informacija u celoj kompaniji. Iz tog razloga, ENX VCS uvek zahteva da razvojne lokacije takođe moraju proći TISAX audit. Na ovaj način, auditirani dobavljač može na održiv način pokazati ispunjenje svojih obaveza dužne pažnje kroz svesno upravljanje rizicima i smanjenjem istih.

ISO 27001 - klasična bezbednost informacija

ISO/IEC 27001 je vodeći međunarodni standard za uvođenje holističkog sistema upravljanja za bezbednost informacija. Ovaj ISO standard je nedavno revidiran i ponovo objavljen 25. oktobra 2022.

ISO 27001 - više in­form­a­cija

Prednosti ENX VCS

1:1 implementacija ISO 21434 i ISO/PAS 5112

Prva je dobra vest da je svako ko prati ISO 21434 i ISO/PAS 5112 u smislu sajber bezbednosti automobila već na pravom putu. Zahtevi dvaju standarda su - matematički govoreći - pravi podskup VCS specifikacija. To znači da se svi zahtevi dvaju ISO standarda mogu naći 1:1 u ENX VCS (Vehicle Cyber ​​Security).

Međutim, u poređenju sa ISO proverama, ENX VCS omogućava uporediv model procedure. Kako bi osigurao uporedive procese na globalnom nivou za sve pružaoce audita, ENX je takođe objavio specifične "Kriterijume i zahteve za provajdere audita" (ACAR VCS 1.0) i obavezujući VCSA katalog audita 1.0 na pokretanju programa. To uključuje, između ostalog:

  • Organizacioni audit CSMS zahteva (prvenstveno audite dokumenata i procesa),
  • Kreiranje uzorka orijentisanog na rizike projekata koji se bave sajber bezbednošću komponenti,
  • Uzorak projekata se koristi za proveru da li se CSMS propisi dosledno primenjuju u VCS projektima. Uključuje, na primer, intervjue sa članovima inženjerskog tima i pregled rezultata njihovog rada.

Standardizovane kompetencije

ACAR također definiše globalno standardizovane zahteve za kompetencijama i opise uloga za auditore i eksperte:

  • VCS Lead auditor
  • VCS ekspert

Znanje VCS eksperta mora uvek biti zastupljeno u timu audita VCS. U fazi intervjua ekspert preuzima razgovor sa inženjerskim timovima kako bi omogućio profesionalnu procenu aktivnosti i rezultata rada.

Auditiranje orjentisano na uloge

U tradiciji TISAX®, ENX VCS takođe razmatra različite uloge koje dobavljači mogu imati u obezbeđivanju komponenti relevantnih za sajber bezbednost u obliku novog sistema za VCS etikete. Na ovaj način, dobavljač mora ispuniti samo one zahteve VCSA kataloga ocene koji su prikladni za njegovu odgovarajuću ulogu:

  • VCS razvoj
  • VCS proizvodnja
  • VCS operacije & održavanje

Uporedivi napori

ENX VCS oznake važe tri godine i ne zahtevaju nadzorne audite. Nasuprot tome, auditi u skladu sa ISO/SAE 21434 zahtevaju (ponovnu) sertifikaciju u trajanju od tri godine i dva godišnja nadzorna audita s odgovarajućim putnim troškovima.

Agilnost

Za razliku od ISO standarda, ENX VCS takođe obećava veću agilnost pri prilagođavanju novim zahtevima. ACAR propisi obično podležu obaveznom auditu jednom godišnje, koje moraju implementirati svi pružaoci audita VCS.

 

Diagram showing the interplay of the various VCS standards and programs

Zaključak: ENX VCS kao razuman način za postavljanje kursa

Ukratko, program provere ENX VCS omogućava globalno poboljšanu implementaciju audita u skladu sa zahtevima ISO/SAE 21434 i ISO/PAS 5112. Povećana globalna uporedivost nove oznake osigurava značajno povećano poverenje u sertifikaciju i implementaciju zahteva za sajber sigurnost UN R 155.

DQS: vaš pouzdan partner za sertifikaciju

Kao jedan od najiskusnijih nemačkih pružatelja usluga za sertifikaciju sistema upravljanja, DQS već dugi niz godina radi sa ENX-om, a takođe je bio direktno uključen u razvoj novog programa audita. Tokom dugog perioda razvoja koji je doveo do objavljivanja programa, DQS je stekao dragoceno iskustvo u velikom broju probnih audita i stoga je idealno spreman za audit vašeg CSMS-a na osnovu VCS specifikacija.

Iskoristite znanje naših stručnjaka i naučite sve što vam je potrebno o ENX VCS i njegovom značaju za vašu kompaniju. Sa više od 35 godina iskustva i znanjem 2.500 auditora širom sveta, mi smo vaš kompetentan partner za sertifikaciju i pružamo odgovore na sva pitanja koja se odnose na zaštitu podataka i bezbednost informacija.

questions-answers-dqs-question mark on wooden dice on table

Rado ćemo odgovoriti na vaša pitanja

Koji su zahtevi za sertifikaciju prema ISO 27001, IATF 16949, ENX VCS ili TISAX®? I kakav trud treba da očekujete? Saznajte sami. Neobavezujuće i besplatno.

Radujemo se razgo­voru s vama
Autor

Holger Schmeken

Produkt menadžer za TISAX® i VCS, Auditor za ISO/IEC 27001, Ekspert za Software Engineering sa više od 30 godina iskustva, i takođe Deputy Information Security Officer. Holger Schmeken Važi za Master's in Business Informatics, a svoje kompetencije je proširio i na Critical Infrastructures in Germany (KRITIS).

Relevantni članci i događaji

Možda će vas interesovati i:
Blog

Nove TISAX® oznake: šta treba uzeti u obzir

Pročitaj više
Blog

Upravljanje konfiguracijom u bezbednosti informacija

Pročitaj više
Blog

Bezbednost informacija u oblaku sa ISO 27001:2022

Pročitaj više