racing cars on a track

Сертифікована кібербезпека автомобільного транспорту з ENX VCS

Хольгер Шмекен

Продакт-менеджер DQS з TISAX® та VCS
жовт. 11 , 2024

Сучасні транспортні засоби – це комп'ютери на колесах; отже, вони наражаються на ризики кібератак. У липні 2024 року з’явилися нові правила забезпечення комплексної автомобільної кібербезпеки у всьому ланцюжку постачання автомобільної промисловості. Асоціація ENX опублікувала новий Аудит кібербезпеки транспортних засобів (VCSA), щоб підтримати OEM-виробників і постачальників у впровадженні нових вимог.

Ця стаття була вперше опублікована в німецькому журналі "QZ - якість і надійність", т. 69 (2024)

Зміст

 

 

people in a car driving down the road happily

Цифрова трансформація зробила транспортні засоби ефективнішими та безпечнішими. Завдяки електронним системам контролю та постійному спілкуванню в мережі вони також стали мішенями для кіберзлочинців. Критичні системи можуть бути атаковані з потенційно летальними наслідками. Незважаючи на найсуворіші стандарти розробки програмного забезпечення, навіть в авіації немає гарантії безпомилкового програмного забезпечення. Проте програмний контроль дозволяє швидко реагувати на проблеми з якістю - оновлення тепер можна робити по повітрю (OTA - over the air) практично за ніч.

Обов'язкові правила кібербезпеки

Щоб протистояти зростаючим кіберзагрозам, Організація Об’єднаних Націй прийняла ЄЕК ООН R 155 і 156, які передбачають впровадження Системи управління кібербезпекою (CSMS - Cyber Security Management System) і Системи управління оновленнями програмного забезпечення (SUMS - Software Updates Management System ) відповідно. Правила призначені для забезпечення кібербезпеки протягом усього життєвого циклу моделей та вздовж усіх ланцюжків поставок. У ЄС ці правила стали обов’язковими для всіх нових автомобілів з липня 2024 року.

ENX VCS - всесвітня програма аудиту для ISO/SAE 21434

У стандарті ISO/SAE 21434 (Дорожні транспортні засоби – розробка кібербезпеки) у ході нормативних актів ООН була зроблена спроба створити керівні принципи та підтвердження відповідності нормативам. На практиці, однак, відповідні програми аудиту постачальників послуг тестування виявилися занадто різними - незважаючи на специфікації ISO/PAS 5112. Тому виробники все ще не мали можливості надати законодавцю надійні та порівняльні докази відповідності їхніх постачальників - які, у свою чергу, мали проблеми з підтвердженням дотримання своїх договірних положень на основі порівняльної тестової бази.

Ось чому асоціація ENX (асоціація європейських виробників, постачальників та асоціацій автомобілів) розробила програму аудиту ENX VCS. ENX VCS перевіряє впровадження систем управління кібербезпекою транспортних засобів (VCSMS) відповідно до стандартів ISO 21434 та ISO 5112. Це вирішальна перевага: аудит VCS стандартизований у всьому світі та може бути швидше адаптований до нових викликів, ніж стандарт ISO. Група міжнародних експертів регулярно перевіряє програму аудиту, щоб підтримувати її в актуальному стані.

 

Ви готові до ENX VCS?

Дізнайтеся все про процес ENX VCS і передумови для вашого маркування VCS.

Отримайте свою марку VCS тут!

Стандартизовані аудити – порівняльні результати

За допомогою стандартизованого аудиту ENX VCS компанії уникають непотрібних, не в останню чергу, фінансових витрат, які можуть виникнути в результаті багаторівневих процесів аудиту та різноманітних аудитів. Щоб забезпечити глобальне порівняння процесів у всіх постачальників аудиту, ENX також опублікувала спеціальні критерії та вимоги до постачальників аудиту (ACAR VCS) і обов’язковий каталог аудитів для аудитів кібербезпеки транспортних засобів (VCSA) під час запуску програми. Вони визначають серію обов’язкових компетенцій і обов’язкову процедурну модель для аудиторів VCS – на додаток до організаційного аудиту правил V-CSMS, наприклад, обов’язковий аудит документів і процесів – і формування орієнтованої на ризик випадкової вибірки усіх проектів, пов’язаних з кібербезпекою. Інженерні групи, відповідальні за проекти у вибірці, потім опитуються аудиторами та експертами. Результати роботи команди перевіряються, щоб переконатися, що V-CSMS дійсно використовується на практиці. Після завершення успішного тестування компанії можуть подати заявку в ENX на відповідну марку VCS і зробити її доступною для зацікавлених сторін через механізм обміну ENX.

ТІSAX® і VCS працюють у тандемі

Конструктивно перевірки VCS з ACAR VCS базуються на встановленому автомобільному стандарті TISAX®. Два механізми аудиту доповнюють один одного: тоді як TISAX® оцінює інформаційну безпеку в компанії, маркування VCS підтверджує кібербезпеку компонентів автомобіля. Подібно до TISAX®, аудит VCS враховує різні ролі постачальників у забезпеченні кіберважливих компонентів. Тому кожен постачальник повинен відповідати лише тим вимогам каталогу аудиту VCSA, які відповідають його фактичній, конкретній ролі. Розрізняють різні маркування:

  • Розробка VCS: Компанія здійснює безпечну розробку компонентів VCS - від інтеграції. Процес від інтеграції системи в загальну архітектуру безпеки до безпечного впровадження та безпечного переходу до виробництва.
  • Виробництво VCS: Компанія виробляє компоненти VCS та забезпечує їх безпечне налаштування та програмне обладнання.
  • Експлуатація та технічне обслуговування VCS: Компанії довірено реєстраційні дані з автопарку, які дозволяють визначити проблемні умови експлуатації або ідентифікувати конкретні інциденти безпеки. Цей ярлик також підходить для компаній, які потребують оновлення своїх компонентів VCS.
Description of the various standards for cyber security throughout a vehicle's lifecycle

Підтвердження відповідності ENX VCS

У рамках аудиту VCS OEM-виробники та постачальники можуть перевірити свій V-CSMS у схвалених постачальників аудиту та отримати маркування VCS від ENX що діє протягом трьох років. Підвищена глобальна порівнянність нових марок зміцнює впевненість у відповідності V-CSMS специфікаціям кібербезпеки ЄЕК ООН R 155, дозволяючи компаніям чітко демонструвати свою відповідність вимогам органів влади та ділових партнерів і робити внесок у комплексну кібербезпеку автомобілів. Тут варто діяти швидко: під час вступного етапу реєстрація на аудит ENX VCS безкоштовна.

DQS - Simply leveraging Security.

DQS було засновано в 1985 році як перший орган сертифікації в Німеччині. Відтоді ми є одними з провідних світових експертів з аудиту та сертифікації. Партнери-засновники DGQ (Deutsche Gesellschaft für Qualität e. V.) і DIN (Deutsches Institut für Normung e. V.) є важливими партнерами для навчання та підвищення кваліфікації, а також роботи зі стандартизації.

Ми беремо активну участь у комітетах і органах від імені наших клієнтів і вносимо наші експертні знання в наші аудити. Наша претензія починається там, де закінчуються контрольні списки аудиту. Повірте нам на слово.

Довіра та досвід

Наші тексти та брошури написані виключно нашими експертами зі стандартів або давніми аудиторами. Якщо у вас виникли запитання щодо текстового вмісту або наших послуг для нашого автора, ми з нетерпінням чекаємо на ваші запитання.

Джерело: www.qz -online.de (Провідне періодичне видання Німеччини з управління якістю).

Автор

Хольгер Шмекен

Менеджер із продуктів TISAX® та VCS, аудитор ISO/IEC 27001, експерт із програмної інженерії з понад 30-річним досвідом роботи та заступник спеціаліста з інформаційної безпеки. Хольгер Шмекен має ступінь магістра з бізнес-інформатики та має розширену компетенцію аудиту критичної інфраструктури в Німеччині (KRITIS).

 

Відповідні статті та події

Вас це також може зацікавити
Блог

IEC 81001-5-1: Новий стандарт кібербезпеки для медичного програмного забезпечення

Детальніше
Блог

Конференція DQS: Інтелектуальний світ у мережі — Надійність та Довіра 2025

Детальніше
Блог

Кризові комунікації під час атаки вірусу-здирника: Управління інформацією в надзвичайній ситуації

Детальніше