Chứng nhận an ninh mạng ô tô với ENX VCS

Holger Schmeken

Chuyên gia của DQS về Bảo mật Thông tin

thg 10 11 , 2024

Các phương tiện ngày nay là những chiếc máy tính trên bánh xe; do đó, chúng phải đối mặt với rủi ro bị tấn công mạng. Các quy định mới đã được ban hành vào tháng 7 năm 2024 để đảm bảo an ninh mạng toàn diện cho ô tô trên toàn bộ chuỗi cung ứng của ngành ô tô. Hiệp hội ENX đã công bố Đánh giá an ninh mạng oto (VCSA) mới để hỗ trợ các OEM và nhà cung cấp trong việc triển khai các yêu cầu mới.

Bài viết này lần đầu tiên được xuất bản trên tạp chí "QZ - Quality and Reliability" của Đức, tập 69 (2024)

NỘI DUNG

Quy định ràng buộc về an ninh mạng
ENX VCS - chương trình đánh giá toàn cầu cho ISO/SAE 21434
Đánh giá được tiêu chuẩn hóa - kết quả có thể so sánh được
TISAX® và VCS hoạt động song hành
Bằng chứng về sự phù hợp theo ENX VCS
DQS - Đơn giản Tối ưu Bảo mật

people in a car driving down the road happily

Quá trình chuyển đổi số đã khiến các phương tiện trở nên hiệu quả hơn và an toàn hơn. Thông qua các hệ thống điều khiển điện tử và mạng lưới liên tục, chúng cũng trở thành mục tiêu của tội phạm mạng. Các hệ thống quan trọng có thể bị tấn công, với hậu quả có thể gây tử vong. Mặc dù có các tiêu chuẩn phát triển phần mềm nghiêm ngặt nhất, ngay cả trong ngành hàng không, vẫn không có gì đảm bảo phần mềm không có lỗi. Tuy nhiên, kiểm soát phần mềm cho phép phản hồi nhanh chóng với các vấn đề về chất lượng - giờ đây, các bản cập nhật có thể được thực hiện qua mạng (OTA) hầu như chỉ sau một đêm.

Quy định ràng buộc về an ninh mạng

Để chống lại các mối đe dọa mạng ngày càng gia tăng, Liên hợp quốc đã thông qua UNECE R 155 và 156, bao gồm việc triển khai Hệ thống quản lý an ninh mạng (CSMS - Cyber Security Management System) và Hệ thống quản lý cập nhật phần mềm (SUMS - Software Updates Management System) tương ứng. Các quy định này nhằm đảm bảo an ninh mạng trong toàn bộ vòng đời của một mô hình và dọc theo toàn bộ chuỗi cung ứng. Tại EU, các quy định này đã trở thành bắt buộc đối với tất cả các loại xe mới sản xuất kể từ tháng 7 năm 2024.

ENX VCS - chương trình đánh giá toàn cầu cho ISO/SAE 21434

Với ISO/SAE 21434 (Phương tiện giao thông đường bộ - Kỹ thuật an ninh mạng), một nỗ lực đã được thực hiện trong quá trình ban hành các quy định của Liên hợp quốc nhằm tạo ra một hướng dẫn và bằng chứng về sự phù hợp để tuân thủ các quy định. Tuy nhiên, trên thực tế, các chương trình đánh giá tương ứng của các nhà cung cấp dịch vụ thử nghiệm đã chứng minh là quá khác biệt - bất chấp các thông số kỹ thuật của ISO/PAS 5112. Do đó, các nhà sản xuất vẫn thiếu cơ hội cung cấp cho cơ quan lập pháp bằng chứng đáng tin cậy và có thể so sánh được về sự tuân thủ của các nhà cung cấp của họ - những người này lại gặp vấn đề trong việc chứng minh sự tuân thủ các điều khoản hợp đồng của họ trên cơ sở cơ sở thử nghiệm có thể so sánh được.

Đây là lý do tại sao Hiệp hội ENX (một hiệp hội các nhà sản xuất, nhà cung cấp và hiệp hội ô tô châu Âu) đã thiết kế chương trình đánh giá ENX VCS. ENX VCS đánh giá việc triển khai Hệ thống quản lý an ninh mạng (VCSMS - Vehicle Cyber Security Management Systems) của xe theo tiêu chuẩn ISO 21434 và ISO 5112. Ưu điểm quyết định của nó là: đánh giá VCS được chuẩn hóa trên toàn thế giới và có thể thích ứng nhanh hơn với những thách thức mới so với tiêu chuẩn ISO. Một nhóm chuyên gia quốc tế thường xuyên xem xét chương trình đánh giá để luôn cập nhật chương trình.

Bạn đã sẵn sàng cho đánh giá ENX VCS chưa?

Tìm hiểu mọi thứ về quy trình đánh giá ENX VCS và các điều kiện tiên quyết đối với nhãn VCS của bạn.

Lấy nhãn VCS của bạn ngay bây giờ

Đánh giá được tiêu chuẩn hóa - kết quả có thể so sánh được

Với đánh giá ENX VCS được tiêu chuẩn hóa, các công ty tránh được các chi phí không cần thiết, nhất là về mặt tài chính, có thể phát sinh từ các quy trình đánh giá khác nhau. Để đảm bảo các quy trình có thể so sánh trên toàn cầu giữa tất cả các nhà cung cấp dịch vụ đánh giá, ENX cũng đã công bố Tiêu chí đánh giá và tiêu chí cụ thể của nhà cung cấp dịch vụ đánh giá (ACAR VCS) và danh mục đánh giá ràng buộc dành cho Đánh giá an ninh mạng phương tiện (VCSA - Vehicle Cyber Security Audits) khi ra mắt chương trình. Những điều này xác định một loạt năng lực bắt buộc và mô hình thủ tục ràng buộc đối với đánh giá viên VCS - ngoài việc đánh giá tổ chức về các quy định V-CSMS, chẳng hạn như kiểm tra tài liệu và quy trình bắt buộc - và hình thành một mẫu ngẫu nhiên theo định hướng rủi ro của tất cả các dự án liên quan đến an ninh mạng. Sau đó, các đánh giá viên và chuyên gia sẽ phỏng vấn các nhóm kỹ thuật chịu trách nhiệm cho các dự án trong mẫu. Kết quả công việc của nhóm được xem xét để đảm bảo rằng V-CSMS thực sự được sử dụng trong thực tế. Sau khi hoàn tất thử nghiệm thành công, các công ty có thể đăng ký ENX để có nhãn VCS tương ứng và cung cấp nhãn này cho các bên quan tâm thông qua cơ chế trao đổi ENX.

TISAX® và VCS hoạt động song hành

Về mặt cấu trúc, các cuộc đánh giá VCS bằng ACAR VCS dựa trên tiêu chuẩn ô tô TISAX® đã được thiết lập. Hai cơ chế đánh giá bổ sung cho nhau: trong khi TISAX® đánh giá tính bảo mật thông tin trong một công ty, nhãn VCS xác nhận tính bảo mật mạng của các bộ phận trên xe. Tương tự như TISAX®, quá trình đánh giá VCS tính đến các vai trò khác nhau của nhà cung cấp trong việc cung cấp các thành phần liên quan đến mạng. Do đó, mỗi nhà cung cấp chỉ phải đáp ứng các yêu cầu của danh mục đánh giá VCSA tương ứng với vai trò cụ thể, thực tế của họ. Sự khác biệt được thực hiện giữa các nhãn khác nhau:

Phát triển VCS: Công ty thực hiện việc phát triển an toàn các thành phần VCS - từ quá trình tích hợp. Quá trình tích hợp hệ thống vào kiến trúc an toàn chung thông qua việc triển khai an toàn và chuyển tiếp an toàn sang sản xuất.
Sản xuất VCS: Công ty sản xuất các thành phần VCS và đảm bảo cấu hình an toàn và thiết bị phần mềm của chúng.
Hoạt động & Bảo trì VCS: Công ty được giao phó dữ liệu nhật ký từ đội xe, cho phép xác định các điều kiện vận hành có vấn đề hoặc xác định các sự cố bảo mật cụ thể. Nhãn này cũng phù hợp với những công ty cần luôn cập nhật các thành phần VCS của mình.

Description of the various standards for cyber security throughout a vehicle's lifecycle

Bằng chứng về sự phù hợp theo ENX VCS

Là một phần của cuộc đánh giá VCS, các OEM và nhà cung cấp có thể yêu cầu các nhà cung cấp đánh giá được phê duyệt đánh giá V-CSMS của họ và nhận được nhãn VCS từ ENX có hiệu lực trong ba năm. Khả năng so sánh toàn cầu ngày càng tăng của các nhãn mới củng cố niềm tin về sự phù hợp của V-CSMS với thông số kỹ thuật an ninh mạng UNECE R 155, cho phép các công ty thể hiện rõ ràng sự tuân thủ của mình với chính quyền và đối tác kinh doanh, đồng thời góp phần đảm bảo an ninh mạng toàn diện cho ô tô. Hãy hành động nhanh chóng tại đây: Trong giai đoạn giới thiệu, việc đăng ký đánh giá ENX VCS là miễn phí.

DQS - Đơn giản Tối ưu Bảo mật

DQS được thành lập vào năm 1985 với tư cách là tổ chức chứng nhận đầu tiên của CHLB Đức. Kể từ đó, chúng tôi đã trở thành một trong những chuyên gia đánh giá và chứng nhận hàng đầu thế giới. Các đối tác sáng lập DGQ (Deutsche Gesellschaft für Qualität e. V.) và DIN (Deutsches Institut für Normung e. V.) là những đối tác quan trọng trong đào tạo và giáo dục nâng cao cũng như công tác chuẩn hóa.

Chúng tôi tích cực tham gia vào các ủy ban và cơ quan thay mặt cho khách hàng và đóng góp kiến thức chuyên môn của mình vào các cuộc đánh giá. Tuyên bố của chúng tôi bắt đầu khi danh sách đánh giá kết thúc. Hãy tin vào lời chúng tôi nói.

Niềm tin và chuyên môn

Các văn bản và tài liệu quảng cáo của chúng tôi được viết độc quyền bởi các chuyên gia về tiêu chuẩn hoặc các đánh giá viên lâu năm. Nếu bạn có bất kỳ câu hỏi nào về nội dung văn bản hoặc dịch vụ của chúng tôi đối với tác giả, chúng tôi mong muốn được lắng nghe từ bạn.

Nguồn: www.qz-online.de (tạp chí hàng đầu của Đức về quản lý chất lượng).

Tác giả

Holger Schmeken

Giám đốc sản phẩm và chuyên gia về bảo mật thông tin và phát triển phần mềm. Holger Schmeken cũng đóng góp chuyên môn của mình với tư cách là chuyên gia đánh giá ISO 27001 với năng lực thủ tục đánh giá KRITIS và Giám đốc An ninh Thông tin của DQS BIT GmbH.