autonomous driving by a e-car, e-mobility

ENX VCS versus ISO 21434: Audit Keamanan Siber Kendaraan

Holger Schmeken

Ahli DQS untuk Keamanan Informasi
Jul 10 , 2024

Transformasi digital industri otomotif sedang berjalan lancar. Sedapat mungkin, mekanik digantikan oleh elektronik. Memasang lebih banyak komponen E/E membuat kendaraan lebih bertenaga dan meningkatkan keselamatan berkendara - tetapi juga membuat kendaraan terekspos pada bahaya serangan siber. Untuk alasan ini, Perserikatan Bangsa-Bangsa mengadopsi UN R 155, yang mengatur penerapan sistem manajemen keamanan siber (Cyber Security Management System/CSMS) modern dan akan berlaku penuh mulai Juli 2024.

Dengan standar ISO/SAE 21434 "Kendaraan di jalan raya - Rekayasa keamanan siber," sudah ada pedoman yang direferensikan dalam persyaratan resmi, tetapi dalam praktiknya, hal ini terbukti tidak cukup tepat. Untuk memungkinkan penerapan standar global, Asosiasi ENX telah menciptakan opsi sertifikasi baru dengan Audit Keamanan Siber Kendaraan (Vehicle Cyber Security Audit/VCSA). Dalam posting blog kami, perusahaan di industri otomotif dapat mengetahui mengapa program audit ini lebih cocok untuk membuktikan kepatuhan terhadap peraturan baru daripada sertifikasi yang murni sesuai dengan ISO / SAE 21434.

Pentingnya peraturan baru untuk keamanan siber di industri otomotif

Dengan peraturan keamanan siber otomotif yang baru, persyaratan yang mengikat akan berlaku untuk semua kendaraan yang baru diproduksi mulai Juli 2024. Jika persyaratan tidak diterapkan, seri model yang bersangkutan tidak akan menerima persetujuan tipe. Keamanan siber holistik, seperti yang dimaksudkan oleh pihak berwenang dengan penerapan wajib Sistem Manajemen Keamanan Siber (CSMS), mencakup semua komponen kendaraan.

Sebagian besar komponen yang dipasang di kendaraan berasal dari rantai pasokan produsen otomotif. UN R 155 membuat para produsen ini bertanggung jawab atas keamanan siber dari komponen yang mereka pasok. Namun, mereka hanya dapat memengaruhi keamanan siber komponen melalui perjanjian kontrak mereka dengan pemasok. Sebagai bagian dari manajemen risiko mereka, produsen kendaraan bergantung pada kontrak yang jelas dan audit yang berarti terhadap pemasok mereka untuk menjamin dan mempertahankan keamanan siber yang diperlukan dalam jangka panjang.

Masalah apa saja yang ditangani oleh peraturan baru ini?

Pengenalan UN R 155 (dan UN R 156, yang berfokus pada pembaruan perangkat lunak) oleh legislator menarik perhatian pada beberapa masalah kompleks yang ada dalam kaitannya dengan komponen yang dikendalikan perangkat lunak kendaraan jalan raya dan keamanan siber:

  • Bagaimana cara memastikan bahwa perangkat lunak untuk mengoperasikan komponen tersebut dirancang, dikembangkan, dan diimplementasikan dengan aman?
  • Bagaimana sebuah komponen hanya dilengkapi dengan versi perangkat lunak yang dimaksudkan dalam proses produksi, dan bagaimana sistem produksi yang relevan diperlukan untuk melengkapi komponen dengan perlindungan perangkat lunak?
  • Bagaimana cara memonitor bahwa kejadian keamanan dalam komponen dicatat dan ancaman dapat diatasi secara efektif dengan pembaruan bahkan setelah sepuluh tahun?

Sertifikasi ISO 21434 sebagai solusi?

Untuk menjawab pertanyaan-pertanyaan tersebut, UN R 155 menyebutkan untuk membangun sistem manajemen keamanan dunia maya (CSMS) sesuai dengan ISO/SAE 21434 pada produsen kendaraan. Sistem manajemen adalah seperangkat proses dan prosedur yang digunakan untuk mengelola dan mengendalikan perusahaan atau organisasi secara efektif.


Untuk tujuan standar, istilah "keamanan cyber" dalam industri otomotif secara khusus mengacu pada perlindungan sistem komputer, jaringan, dan datanya di kendaraan di jalan raya. Hal ini mencakup langkah-langkah dan strategi untuk memastikan keamanan dan integritas sistem digital yang digunakan dalam kendaraan.

Untuk memastikan keamanan siber, standar ini menetapkan proses dan prosedur untuk CSMS dalam desain keamanan, pengembangan produk, pemeliharaan produk, deteksi risiko, pencegahan bahaya, pembuangan produk, dan proses berkelanjutan yang terkait. Dengan demikian, standar ini menyediakan model arsitektur yang komprehensif dari CSMS, termasuk model proses untuk menilai risiko dalam keamanan siber, yang disebut sebagai Analisis Ancaman dan Risiko (TARA).

Di bawah ini, Anda dapat mengetahui argumen apa saja yang menentang sertifikasi ISO/SAE 21434 murni untuk memenuhi persyaratan UN R 155.

Keamanan siber otomotif: peraturan baru mulai Juli 2024

Dengan digitalisasi, risiko serangan telah meningkat dengan cepat. Produsen mobil merupakan target yang menarik bagi penjahat siber dalam banyak hal. Baca artikel blog kami untuk mengetahui peraturan yang berlaku untuk melindungi mereka.

Ke artikel blog

Persyaratan untuk audit menggunakan ISO/PAS 5112

ISO / SAE 21434 menyisakan banyak ruang untuk interpretasi mengenai cara mengaudit CSMS. Karena setiap penyedia audit membuat program auditnya sendiri untuk standar ISO 21434 di bawah peraturan badan akreditasinya, ISO/PAS 5112 membuatnya menjadi penting untuk menstandarkan proses audit untuk keamanan siber dan CSMS organisasi.

ISO/PAS 5112 berisi pedoman umum untuk mengelola program audit dan memberikan informasi yang diperlukan organisasi dalam merencanakan dan melaksanakan audit. Standar ini juga mendefinisikan kompetensi auditor CSMS dan menjelaskan bagaimana penerapan standar dapat diverifikasi.

Mengapa audit VCS dikembangkan oleh ENX

Terlepas dari upaya-upaya untuk meningkatkan standarisasi, program audit keamanan siber yang dihasilkan dalam industri otomotif masih sangat bervariasi.

Dengan latar belakang rantai pasokan yang sangat terintegrasi dengan beberapa mitra kontrak, program audit yang tidak sebanding menimbulkan masalah besar bagi produsen kendaraan. Produsen harus dapat mengandalkan hasil audit pemasok terhadap sistem manajemen keamanan siber (CSMS) untuk manajemen risiko mereka.

ENX telah menyadari kebutuhan ini dan mengembangkan solusi melalui kerja sama dengan industri otomotif dengan menerapkan program audit berstandar global yang disebut ENX VCS (Vehicle Cyber Security). ENX telah menggunakan jaringan anggotanya untuk menyesuaikan program audit dengan kebutuhan spesifik industri.

Pada saat yang sama, ISO / SAE 21434 saja tidak cukup untuk memenuhi semua persyaratan peraturan UN R 155. Meskipun UN R 155 mengacu pada ISO/SAE 21434 sebagai contoh proses CSMS, UN R 155 juga mensyaratkan bahwa kemampuan CSMS harus dipertahankan secara berkelanjutan:

  • UN R 155, Bab 7.2.2.3: Ancaman dan kerentanan dunia maya yang memerlukan tanggapan oleh produsen kendaraan harus ditangani dalam jangka waktu yang wajar.
  • UN R 155, Bab 7.2.2.4: Produsen kendaraan harus menunjukkan bahwa prosedur yang diterapkan dalam sistem manajemen keamanan sibernya memastikan bahwa pemantauan sebagaimana dimaksud dalam paragraf 7.2.2.2 g) dilakukan secara teratur.

 

Persyaratan yang disebutkan di atas hanya dapat dipenuhi secara realistis dalam jangka panjang jika sistem manajemen keamanan informasi (ISMS) dioperasikan bersama dengan CSMS, yang secara permanen memastikan keamanan informasi di seluruh perusahaan. Untuk alasan ini, ENX VCS selalu mensyaratkan bahwa lokasi pengembangan juga harus lulus penilaian TISAX. Dengan cara ini, pemasok yang diaudit dapat secara berkelanjutan menunjukkan pemenuhan kewajiban uji tuntas melalui manajemen yang sadar risiko dan menghindari risiko.

ISO 27001 - keamanan informasi klasik

ISO/IEC 27001 adalah standar internasional terkemuka untuk pengenalan sistem manajemen holistik untuk keamanan informasi. Standar ISO baru-baru ini direvisi dan diterbitkan ulang pada tanggal 25 Oktober 2022.

ISO 27001 - in­formasi lebih lanjut

Keuntungan dari ENX VCS

Implementasi 1:1 dari ISO 21434 dan ISO/PAS 5112

Kabar baiknya, pertama, siapa pun yang telah mengikuti ISO 21434 dan ISO/PAS 5112 dalam hal keamanan siber otomotif sudah berada di jalur yang benar. Persyaratan dari kedua standar tersebut - secara matematis - merupakan bagian asli dari spesifikasi VCS. Artinya, semua persyaratan dari kedua standar ISO tersebut dapat ditemukan 1:1 dalam ENX VCS Vehicle Cyber Security.

Dibandingkan dengan audit ISO, bagaimanapun, ENX VCS memungkinkan model prosedur yang sebanding. Untuk memastikan proses yang dapat dibandingkan secara global di semua penyedia audit, ENX juga menerbitkan "Kriteria Penyedia Audit & Persyaratan Penilaian" (ACAR VCS 1.0) yang spesifik dan katalog audit VCSA 1.0 yang mengikat pada saat peluncuran program. Hal ini mencakup, antara lain:

  • Audit organisasi terhadap peraturan CSMS (terutama audit dokumen dan proses),
  • Pembuatan sampel proyek yang berorientasi pada risiko yang berhubungan dengan keamanan cyber komponen,
  • Sampel proyek digunakan untuk memeriksa apakah peraturan CSMS diterapkan secara konsisten dalam proyek-proyek VCS. Hal ini mencakup, misalnya, wawancara dengan anggota tim teknik dan peninjauan hasil kerja mereka.

Kompetensi standar

ACAR juga mendefinisikan persyaratan kompetensi yang terstandardisasi secara global dan deskripsi peran untuk auditor dan tenaga ahli:

  • Auditor Utama VCS
  • Pakar VCS

Pengetahuan seorang ahli VCS harus selalu terwakili dalam tim audit VCS. Selama tahap wawancara, ahli mengambil alih percakapan dengan tim teknik untuk membuat penilaian profesional terhadap kegiatan dan hasil kerja.

Audit yang berorientasi pada peran

Dalam tradisi TISAX®, ENX VCS juga mempertimbangkan berbagai peran yang dapat dilakukan oleh pemasok dalam menyediakan komponen yang relevan dengan keamanan siber dalam bentuk sistem baru untuk label VCS. Dengan cara ini, pemasok hanya perlu memenuhi persyaratan katalog penilaian VCSA yang sesuai dengan perannya masing-masing:

  • Pengembangan VCS
  • Produksi VCS
  • Operasi & Pemeliharaan VCS

Upaya yang sebanding

Label VCS ENX berlaku selama tiga tahun dan tidak memerlukan audit pengawasan. Sebaliknya, audit sesuai dengan ISO/SAE 21434 memerlukan audit sertifikasi (ulang) selama tiga tahun dan dua audit pengawasan tahunan dengan biaya perjalanan yang sesuai.

Kelincahan

Berbeda dengan standar ISO, ENX VCS juga menjanjikan kelincahan yang lebih besar saat beradaptasi dengan persyaratan baru. Peraturan ACAR biasanya tunduk pada revisi wajib setahun sekali, yang harus diterapkan oleh semua penyedia audit VCS.

 

vcs-iso21434-grafik-dqs-schmeken-s.jpg

Kesimpulan: ENX VCS sebagai cara yang masuk akal untuk menentukan arah

Singkatnya, program audit ENX VCS memungkinkan implementasi audit yang lebih baik secara global sesuai dengan persyaratan ISO/SAE 21434 dan ISO/PAS 5112. Peningkatan komparabilitas global dari label baru ini memastikan peningkatan kepercayaan diri yang signifikan dalam sertifikasi dan dalam penerapan persyaratan keamanan dunia maya UN R 155.

DQS: mitra terpercaya Anda untuk sertifikasi

Sebagai salah satu penyedia layanan Jerman yang paling berpengalaman untuk sertifikasi sistem manajemen, DQS telah bekerja sama dengan ENX selama bertahun-tahun dan juga terlibat langsung dalam mengembangkan program audit yang baru. Selama periode pengembangan yang panjang menjelang publikasi program, DQS memperoleh pengalaman berharga dalam sejumlah besar audit uji coba dan oleh karena itu, sangat siap untuk mengaudit CSMS Anda berdasarkan spesifikasi VCS.

Manfaatkan pengetahuan para ahli kami dan pelajari semua yang Anda butuhkan tentang ENX VCS dan signifikansinya bagi perusahaan Anda. Dengan pengalaman lebih dari 35 tahun dan pengetahuan dari 2.500 auditor di seluruh dunia, kami adalah mitra sertifikasi yang kompeten dan memberikan jawaban untuk semua pertanyaan yang berkaitan dengan perlindungan data dan keamanan informasi.

questions-answers-dqs-question mark on wooden dice on table

Kami akan dengan senang hati menjawab pertanyaan Anda

Apa saja persyaratan untuk mendapatkan sertifikasi ISO 27001, IATF 16949, ENX VCS atau penilaian TISAX®? Dan upaya apa yang harus Anda lakukan? Mari selami topik ini bersama DQS.

Kami menantikan berkomunikasi dengan Anda
Penulis
Holger Schmeken

Manajer Produk untuk TISAX® dan VCS, Auditor untuk ISO/IEC 27001, Ahli Rekayasa Perangkat Lunak dengan pengalaman lebih dari 30 tahun, dan Wakil Petugas Keamanan Informasi. Holger Schmeken memegang gelar Magister Informatika Bisnis dan telah memperluas kompetensi audit untuk Infrastruktur Kritis di Jerman (KRITIS).

Artikel dan event terkait

Anda mungkin juga tertarik dengan ini
Blog
experience-with iso-27001-dqs-enterbrain-software-ag server cabinets

Pelajaran yang dipetik dari ISO 27001 - studi kasus Perangkat Lunak ENTERBRAIN

Lebih lanjut
Blog
Mixing console in a recording studio with sliders at different heights

Manajemen konfigurasi dalam keamanan informasi

Lebih lanjut
Blog
a young woman sits at a desk in front of a screen with a reference to cloud storage

Keamanan cloud dengan ISO 27001:2022

Lebih lanjut

Ada Pertanyaan?

Kami siap membantu.
Hubungi Kami