autonomous driving by a e-car, e-mobility

ENX VCS versus ISO 21434: Audit kybernetické bezpečnosti vozidel

Holger Schmeken

Expert DQS na informační bezpečnost
čvc 10 , 2024

Digitální transformace automobilového průmyslu je v plném proudu. Všude, kde je to možné, ustupuje mechanika elektronice. Instalace většího počtu komponent E/E zvyšuje výkon vozidel a zvyšuje bezpečnost jízdy - ale také je vystavuje nebezpečí kybernetických útoků. Z tohoto důvodu přijala Organizace spojených národů směrnici UN R 155, která stanoví zavádění moderních systémů řízení kybernetické bezpečnosti (CSMS) a která začne plně platit od července 2024.

S normou ISO/SAE 21434 "Silniční vozidla - technika kybernetické bezpečnosti" již existuje směrnice, na kterou se oficiální požadavky odvolávají, ale v praxi se ukázalo, že není dostatečně přesná. Aby umožnila celosvětově standardizovanou implementaci, vytvořila asociace ENX novou možnost certifikace pomocí auditu kybernetické bezpečnosti vozidel (VCSA). V našem blogovém příspěvku se společnosti z automobilového průmyslu mohou dozvědět, proč je tento program auditů vhodnější k prokázání shody s novými předpisy než certifikace čistě podle normy ISO/SAE 21434.

Význam nových předpisů pro kybernetickou bezpečnost v automobilovém průmyslu

Díky novým předpisům pro kybernetickou bezpečnost v automobilovém průmyslu budou od července 2024 platit závazné požadavky pro všechna nově vyrobená vozidla. Pokud požadavky nebudou implementovány, příslušná modelová řada nezíská typové schválení. Holistická kybernetická bezpečnost, jak ji zamýšlejí úřady s povinnou implementací systému řízení kybernetické bezpečnosti (CSMS), zahrnuje všechny součásti vozidla.

Většina komponent instalovaných ve vozidlech pochází z dodavatelského řetězce výrobců automobilů. Podle předpisu UN R 155 jsou tito výrobci odpovědní za kybernetickou bezpečnost součástí, které dodávají. Kybernetickou bezpečnost součástí však mohou ovlivnit pouze prostřednictvím smluvních dohod s dodavateli. V rámci řízení rizik jsou proto výrobci vozidel závislí na jasných smlouvách a smysluplných auditech svých dodavatelů, aby mohli dlouhodobě zaručit a udržet potřebnou kybernetickou bezpečnost.

Jaké problémy nové předpisy řeší?

Zavedení předpisů UN R 155 (a UN R 156, který se zaměřuje na aktualizace softwaru) zákonodárcem upozorňuje na několik složitých problémů, které existují v souvislosti se softwarově řízenými součástmi silničních vozidel a kybernetickou bezpečností:

  • Jak lze zajistit, aby byl software pro ovládání těchto součástí navržen, vyvinut a implementován bezpečně?
  • Jakým způsobem je součást ve výrobním procesu vybavena pouze zamýšlenou verzí softwaru a jakým způsobem jsou příslušné výrobní systémy povinny vybavit součásti softwarovou ochranou?
  • Jak lze sledovat, aby byly bezpečnostní události v komponentách zaznamenávány a hrozby mohly být účinně odstraňovány aktualizacemi i po deseti letech?

Certifikace ISO 21434 jako řešení?

Pro zodpovězení těchto otázek UN R 155 zmiňuje zavedení systému řízení kybernetické bezpečnosti (CSMS) v souladu s normou ISO/SAE 21434 u výrobců vozidel. Systém řízení je soubor procesů a postupů, které slouží k efektivnímu řízení a kontrole podniku nebo organizace.
Pro účely této normy se pojem "kybernetická bezpečnost" v automobilovém průmyslu vztahuje konkrétně na ochranu počítačových systémů, sítí a jejich dat v silničních vozidlech. Zahrnuje opatření a strategie k zajištění bezpečnosti a integrity digitálních systémů používaných ve vozidlech.

Pro zajištění kybernetické bezpečnosti norma specifikuje procesy a postupy CSMS v oblasti návrhu zabezpečení, vývoje produktu, údržby produktu, detekce rizik, prevence nebezpečí, likvidace produktu a souvisejících průběžných procesů. Norma tedy poskytuje komplexní architektonický model CSMS, včetně procesního modelu pro posuzování rizik v oblasti kybernetické bezpečnosti, který se označuje jako analýza hrozeb a rizik (TARA).

Níže se dozvíte, jaké argumenty hovoří proti tomu, aby čistá certifikace podle normy ISO/SAE 21434 splňovala požadavky normy UN R 155.

Kybernetická bezpečnost v automobilovém průmyslu: nové předpisy od července 2024

S digitalizací se rapidně zvýšila rizika útoků. Výrobci automobilů jsou pro kybernetické zločince v mnoha ohledech atraktivním cílem. Přečtěte si náš příspěvek na blogu a zjistěte, které předpisy je mají chránit.

K článku na blogu

Požadavky na audity podle normy ISO/PAS 5112

Norma ISO/SAE 21434 ponechává velký prostor pro interpretaci, pokud jde o způsob auditu CSMS. Vzhledem k tomu, že každý poskytovatel auditu si vytváří svůj vlastní program auditu pro normu ISO 21434 podle předpisů svého akreditačního orgánu, bylo nutné díky normě ISO/PAS 5112 standardizovat proces auditu kybernetické bezpečnosti a CSMS organizace.

Norma ISO/PAS 5112 obsahuje obecné pokyny pro řízení programu auditu a poskytuje organizacím potřebné informace o plánování a provádění auditu. Definuje také kompetence auditorů CSMS a vysvětluje, jak lze ověřit implementaci normy.

Proč byl audit VCS vyvinut společností ENX

Navzdory těmto snahám o zlepšení standardizace se výsledné programy auditu kybernetické bezpečnosti v automobilovém průmyslu stále velmi liší.

Na pozadí hluboce integrovaných dodavatelských řetězců s mnoha smluvními partnery představují nesrovnatelné programy auditu pro výrobce vozidel velký problém. Výrobci se musí při řízení rizik spolehnout na výsledky dodavatelských auditů systému řízení kybernetické bezpečnosti (CSMS).

Společnost ENX si tuto potřebu uvědomila a ve spolupráci s automobilovým průmyslem vyvinula řešení zavedením celosvětově standardizovaného auditního programu s názvem ENX VCS (Vehicle Cyber Security). Společnost ENX využila svou členskou síť k přizpůsobení programu auditu specifickým požadavkům odvětví

Současně platí, že samotná norma ISO/SAE 21434 nestačí ke splnění všech regulačních požadavků UN R 155. Ačkoli nařízení UN R 155 odkazuje na normu ISO/SAE 21434 jako na příklad procesů CSMS, požaduje také, aby byly schopnosti CSMS průběžně udržovány:

  • UN R 155, kapitola 7.2.2.3: Kybernetické hrozby a zranitelnosti vyžadující reakci výrobce vozidla musí být řešeny v přiměřeném časovém rámci.
  • UN R 155, kapitola 7.2.2.4: Výrobce vozidla musí prokázat, že postupy uplatňované v jeho systému řízení kybernetické bezpečnosti zajišťují, že monitorování uvedené v bodě 7.2.2.2 g) probíhá pravidelně.

Výše uvedené požadavky lze dlouhodobě reálně splnit pouze tehdy, pokud je vedle CSMS provozován systém řízení bezpečnosti informací (ISMS), který trvale zajišťuje bezpečnost informací v celé společnosti. Z tohoto důvodu ENX VCS vždy vyžaduje, aby vývojová pracoviště prošla také posouzením TISAX. Tímto způsobem může auditovaný dodavatel trvale prokázat splnění svých povinností náležité péče prostřednictvím řízení s vědomím a obezřetností vůči rizikům.

ISO 27001 - klasické zabezpečení informací

ISO/IEC 27001 je přední mezinárodní norma pro zavedení uceleného systému řízení bezpečnosti informací. Norma ISO byla nedávno revidována a znovu zveřejněna 25. října 2022.

ISO 27001 - více in­form­ací

Výhody systému ENX VCS

Implementace norem ISO 21434 a ISO/PAS 5112 v poměru 1:1.

Dobrou zprávou v první řadě je, že každý, kdo sleduje normy ISO 21434 a ISO/PAS 5112 z hlediska kybernetické bezpečnosti v automobilovém průmyslu, je již na správné cestě. Požadavky těchto dvou norem jsou - matematicky řečeno - skutečnou podmnožinou specifikací VCS. To znamená, že všechny požadavky těchto dvou norem ISO lze nalézt 1:1 v ENX VCS Kybernetická bezpečnost vozidel.

Ve srovnání s audity ISO však ENX VCS umožňuje srovnatelný model postupu. Aby byly zajištěny srovnatelné postupy v celosvětovém měřítku u všech poskytovatelů auditů, zveřejnila společnost ENX při spuštění programu také specifická "Kritéria a požadavky na poskytovatele auditu" (ACAR VCS 1.0) a závazný katalog auditů VCSA 1.0. Ty mimo jiné zahrnují:

  • Organizační audit předpisů CSMS (především audity dokumentů a procesů),
  • Vytvoření rizikově orientovaného vzorku projektů, které se zabývají kybernetickou bezpečností složek,
  • Vzorek projektů slouží ke kontrole, zda jsou předpisy CSMS v projektech VCS důsledně uplatňovány. Zahrnuje například rozhovory s členy týmu inženýrů a přezkoumání výsledků jejich práce.

Standardizované kompetence

ACAR rovněž definuje globálně standardizované požadavky na kompetence a popisy rolí auditorů a expertů:

  • Vedoucí auditor VCS
  • Expert VCS

V auditorském týmu VCS musí být vždy zastoupeny znalosti experta VCS. Během fáze rozhovoru přebírá expert rozhovor s inženýrskými týmy, aby bylo možné odborně posoudit činnosti a výsledky práce.

Audit zaměřený na role

V tradici systému TISAX® bere ENX VCS v úvahu také různé role, které mohou dodavatelé hrát při poskytování komponent relevantních pro kybernetickou bezpečnost v podobě nového systému pro označení VCS. Dodavatel tak musí splnit pouze ty požadavky katalogu hodnocení VCSA, které odpovídají jeho příslušné roli:

  • Vývoj VCS
  • Výroba VCS
  • VCS provoz a údržba

Srovnatelné úsilí

Značky ENX VCS jsou platné po dobu tří let a nevyžadují dozorové audity. Naproti tomu audity podle normy ISO/SAE 21434 vyžadují (re)certifikační audit v průběhu tří let a dva roční dozorové audity s příslušnými cestovními náklady.

Agility

Na rozdíl od normy ISO slibuje ENX VCS také větší agilitu při přizpůsobování se novým požadavkům. Předpisy ACAR obvykle podléhají povinné revizi jednou ročně, kterou musí provést všichni poskytovatelé auditů VCS.

vcs-iso21434-grafik-dqs-schmeken-s.jpg

Závěr: ENX VCS jako rozumný způsob nastavení kurzu

Souhrnně lze říci, že program auditu ENX VCS umožňuje globálně zlepšit provádění auditů v souladu s požadavky norem ISO/SAE 21434 a ISO/PAS 5112. Zvýšená globální srovnatelnost nového označení zajišťuje výrazně vyšší důvěru v certifikaci a v implementaci požadavků na kybernetickou bezpečnost UN R 155.

DQS: váš spolehlivý partner pro certifikaci

Společnost DQS jako jeden z nejzkušenějších německých poskytovatelů služeb v oblasti certifikace systémů řízení spolupracuje se společností ENX již řadu let a přímo se podílela i na vývoji nového programu auditů. Během dlouhého vývojového období, které vedlo ke zveřejnění programu, získala společnost DQS cenné zkušenosti s velkým počtem zkušebních auditů, a je proto ideálně připravena na audit vašeho CSMS na základě specifikací VCS.

Využijte znalostí našich odborníků a zjistěte vše potřebné o systému ENX VCS a jeho významu pro vaši společnost. Díky více než 35 letům zkušeností a know-how 2 500 auditorů po celém světě jsme vaším kompetentním certifikačním partnerem a poskytneme vám odpovědi na všechny otázky týkající se ochrany dat a bezpečnosti informací.

questions-answers-dqs-question mark on wooden dice on table

Rádi zodpovíme vaše dotazy

Jaké jsou požadavky na certifikaci podle norem ISO 27001, IATF 16949, ENX VCS nebo posouzení TISAX®? A s jakým úsilím musíte počítat? Zjistěte si to sami. Nezávazně a zdarma.

Těšíme se na vaše odpovědi!
Autor
Holger Schmeken

Produktový manažer a expert na bezpečnost informací a vývoj softwaru. Holger Schmeken přispívá svými odbornými znalostmi také jako auditor pro ISO 27001 s kompetencí pro auditní postupy KRITIS.

Relevantní články a události

Mohlo by vás také zajímat toto
Blog
Mixing console in a recording studio with sliders at different heights

Řízení konfigurace v bezpečnosti informací

Přečtěte si více
Blog
a young woman sits at a desk in front of a screen with a reference to cloud storage

Zabezpečení cloudu podle normy ISO 27001:2022

Přečtěte si více
Blog
vda-isa-5-dqs-auto in einer wolke von elektronik

Nový katalog ISA 6.0 platný od 1. dubna 2024.

Přečtěte si více

Jakékoli dotazy?

Jsme tu pro vás.
Kontaktujte nás