autonomous driving by a e-car, e-mobility

ENX VCS versus ISO 21434: Auditoria de cibersegurança de veículos

Holger Schmeken

Gerente de Produto da DQS para TISAX® e VCS
jul. 10 , 2024
# Cibersegurança automotiva

A transformação digital da indústria automotiva está a todo vapor. Sempre que possível, a mecânica está dando lugar à eletrônica. A instalação de mais componentes E/E (elétricos/eletrônicos) torna os veículos mais potentes e aumenta a segurança na condução - mas também os expõe aos perigos dos ataques cibernéticos. Por esta razão, as Nações Unidas adotaram a UN R 155, que prevê a implementação de modernos sistemas de gestão de cibersegurança (CSMS) e entrou em vigor em de julho de 2024.

Com a norma ISO/SAE 21434 “Veículos rodoviários – Engenharia de cibersegurança”, já existe uma diretriz que é referenciada nos requisitos oficiais, mas na prática, esta revelou-se insuficientemente precisa. Para permitir uma implementação padronizada globalmente, a Associação ENX criou uma nova opção de certificação com as Auditorias de Segurança Cibernética de Veículos (VCSA). Na nossa publicação no blog, as empresas da indústria automotiva podem descobrir porque é que este programa de auditoria é mais adequado para comprovar a conformidade com os novos regulamentos do que a certificação puramente de acordo com a ISO/SAE 21434.

A importância das novas regulamentações para segurança cibernética na indústria automotiva

Com os novos regulamentos de cibersegurança automotivo, requisitos vinculativos serão aplicados a todos os veículos recém-fabricados a partir de julho de 2024. Se os requisitos não forem implementados, a respetiva série de modelos não receberá homologação. A cibersegurança abrangente, tal como pretendida pelas autoridades com a implementação obrigatória de um Sistema de Gestão de Cibersegurança (CSMS), abrange todos os componentes do veículo.

A maior parte dos componentes instalados nos veículos é originária da cadeia de fornecimento dos fabricantes automotivos. A UN R 155 responsabiliza estes fabricantes pela cibersegurança dos componentes que fornecem. No entanto, só podem influenciar a cibersegurança dos componentes através dos seus acordos contratuais com os fornecedores. Como parte da sua gestão de riscos, os fabricantes de veículos dependem, portanto, de contratos claros e de auditorias significativas aos seus fornecedores, a fim de garantir e manter a cibersegurança necessária a longo prazo.

Que problemas os novos regulamentos abordam?

A introdução da UN R 155 (e da UN R 156, com foco nas atualizações de software) pelo legislador chama a atenção para várias questões complexas que existem em relação aos componentes controlados por software dos veículos rodoviários e à segurança cibernética:

  • Como garantir que o software para operar tais componentes seja projetado, desenvolvido e implementado de forma segura?
  • Como um componente é equipado apenas com a versão de software pretendida no processo de produção e como os sistemas de produção relevantes são necessários para equipar os componentes com proteção de software?
  • Como monitorar se os eventos de segurança nos componentes são registrados e se as ameaças podem ser efetivamente remediadas por atualizações, mesmo após dez anos?

Certificação ISO 21434 como solução?

Para responder a estas questões, a ONU R 155 menciona o estabelecimento de um sistema de gestão de cibersegurança (CSMS) de acordo com a ISO/SAE 21434 nos fabricantes de veículos. Um sistema de gestão é um conjunto de processos e procedimentos usados para gerenciar e controlar uma empresa ou organização de forma eficaz.
Para efeitos da norma, o termo “cibersegurança” na indústria automotiva refere-se especificamente à proteção de sistemas tecnológicos, redes e seus dados em veículos rodoviários. Isto inclui medidas e estratégias para garantir a segurança e integridade dos sistemas digitais utilizados nos veículos.

Para garantir a segurança cibernética, a norma especifica processos e procedimentos para um CSMS em design de segurança, desenvolvimento de produtos, manutenção de produtos, detecção de riscos, prevenção de perigos, descarte de produtos e os processos contínuos associados. Assim, a norma fornece um modelo arquitetônico abrangente de um CSMS, incluindo um modelo de processo para avaliar riscos em cibersegurança, denominado Análise de Ameaças e Riscos (TARA).

Abaixo, você pode descobrir quais argumentos se opõem a uma certificação ISO/SAE 21434 pura para cumprir os requisitos da UN R 155.

Cibersegurança automotiva: novas regulamentações a partir de julho de 2024

Com a digitalização, os riscos de ataques aumentaram rapidamente. Os fabricantes de automóveis são um alvo atraente para os criminosos cibernéticos em muitos aspectos. Leia nossa postagem no blog para descobrir quais regulamentações estão em vigor para protegê-los.

Para o artigo do blog

Requisitos para auditorias usando ISO/PAS 5112

A ISO/SAE 21434 deixa muito espaço para interpretação sobre como auditar um CSMS. Como cada fornecedor de auditoria cria seu próprio programa de auditoria para a norma ISO 21434 de acordo com os regulamentos de seu organismo de acreditação, a ISO/PAS 5112 tornou necessário padronizar o processo de auditoria para a cibersegurança e o CSMS de uma organização.

A ISO/PAS 5112 contém diretrizes gerais para gerenciar um programa de auditoria e fornece às organizações as informações necessárias sobre o planejamento e implementação de uma auditoria. Também define as competências dos auditores do CSMS e explica como a implementação da norma pode ser verificada.

Por que a auditoria VCS foi desenvolvida pela ENX

Apesar destes esforços para melhorar a normalização, os programas de auditoria de cibersegurança resultantes na indústria automotiva ainda variam amplamente.

No contexto de cadeias de abastecimento profundamente integradas com múltiplos parceiros contratuais, os programas de auditoria não comparáveis representam um grande problema para os fabricantes de veículos. Os fabricantes precisam poder confiar nos resultados das auditorias dos fornecedores do sistema de gestão de cibersegurança (CSMS) para a sua gestão de riscos.

A ENX reconheceu esta necessidade e desenvolveu uma solução em cooperação com a indústria automotiva, implementando um programa de auditoria globalmente padronizado denominado ENX VCS (Vehicle Cyber Security). A ENX utilizou sua rede de membros para adaptar o programa de auditoria aos requisitos específicos da indústria.

Ao mesmo tempo, a ISO/SAE 21434 por si só não é suficiente para atender a todos os requisitos regulatórios da UN R 155. Embora a UN R 155 se refira à ISO/SAE 21434 como um exemplo dos processos de um CSMS, ela também exige que as capacidades do CSMS deve ser mantido de forma contínua:

  • UN R 155, Capítulo 7.2.2.3: As ameaças e vulnerabilidades cibernéticas que exigem uma resposta por parte do fabricante do veículo devem ser abordadas dentro um prazo razoável .
  • UN R 155, Capítulo 7.2.2.4: O fabricante do veículo deve demonstrar que os procedimentos aplicados no seu sistema de gestão de cibersegurança garantem que o monitoramento referido no parágrafo 7.2.2.2 g) ocorre regularmente.

 

Os requisitos acima mencionados só podem ser realisticamente cumpridos a longo prazo se um sistema de gestão da segurança da informação (SGSI) for operado juntamente com o SGCS, que garanta permanentemente a segurança da informação em toda a empresa. Por esta razão, a ENX VCS sempre exige que os locais de desenvolvimento também tenham passado por uma avaliação TISAX®. Desta forma, o fornecedor auditado pode demonstrar de forma sustentável o cumprimento das suas obrigações de due diligence através de uma gestão consciente e avessa ao risco.

ISO 27001 – segurança da informação clássica

A ISO/IEC 27001 é a norma internacional líder para a introdução de um sistema de gestão abrangente para segurança da informação. A norma ISO foi recentemente revisada e republicada em 25 de outubro de 2022.

ISO 27001 - mais in­for­ma­ções

Vantagens do ENX VCS

Implementação 1:1 da ISO 21434 e ISO/PAS 5112

A boa notícia é que quem segue a ISO 21434 e a ISO/PAS 5112 em termos de cibersegurança automotiva já está no caminho certo. Os requisitos das duas normas são - matematicamente falando - um subconjunto genuíno das especificações do VCS. Isso significa que todos os requisitos das duas normas ISO podem ser encontrados 1:1 no ENX VCS Vehicle Cyber Security.

Em comparação com as auditorias ISO, no entanto, o ENX VCS permite um modelo de procedimento comparável. A fim de garantir processos comparáveis globalmente entre todos os provedores de auditoria, a ENX também publicou "Critérios e Requisitos de Avaliação de Provedores de Auditoria" específicos (ACAR VCS 1.0) e um catálogo de auditoria VCSA 1.0 vinculativo no lançamento do programa. Estes incluem, entre outras coisas:

  • A auditoria organizacional dos regulamentos do CSMS (principalmente auditorias de documentos e processos),
  • A criação de uma amostra de projetos orientados ao risco que tratam da cibersegurança de componentes,
  • A amostra de projetos é usada para verificar se os regulamentos do CSMS são aplicados de forma consistente em projetos de VCS. Inclui, por exemplo, entrevistas com membros da equipe de engenharia e a revisão dos resultados de seus trabalhos.

Competências padronizadas

A ACAR também define requisitos de competência padronizados globalmente e descrições de funções para auditores e especialistas:

  • Auditor Líder VCS
  • Especialista em VCS

O conhecimento de um especialista em VCS deve estar sempre representado na equipe de auditoria da VCS. Durante a fase de entrevista, o especialista assume a conversa com as equipes de engenharia para possibilitar uma avaliação profissional das atividades e dos resultados do trabalho.

Auditoria orientada a funções

Na tradição da TISAX®, a ENX VCS também considera as diversas funções que os fornecedores podem desempenhar no fornecimento de componentes relevantes para a cibersegurança na forma de um novo sistema para labels VCS. Desta forma, um fornecedor só precisa atender aos requisitos do catálogo de avaliação VCSA que sejam adequados à sua respectiva função:

  • Desenvolvimento de VCS
  • Produção de VCS
  • Operações e Manutenção VCS

Esforços comparáveis

Os labels ENX VCS são válidos por três anos e não exigem auditorias de manutenção. Em contraste, as auditorias de acordo com a ISO/SAE 21434 exigem uma auditoria de (re)certificação durante três anos e duas auditorias de manutenção anuais com despesas de viagem correspondentes.

Agilidade

Diferentemente da norma ISO, a ENX VCS também promete maior agilidade na adaptação a novos requisitos. Os regulamentos da ACAR estão normalmente sujeitos a uma revisão obrigatória uma vez por ano, que deve ser implementada por todos os fornecedores de auditoria de VCS.

 

vcs-iso21434-grafik-dqs-schmeken-s.jpg

Conclusão: ENX VCS como uma forma sensata de definir o destino

Em resumo, o programa de auditoria ENX VCS permite uma implementação globalmente melhorada de auditoria de acordo com os requisitos da ISO/SAE 21434 e ISO/PAS 5112. A maior comparabilidade global do novo selo garante um aumento significativo da confiança na certificação e na implementação dos requisitos de cibersegurança da UN R 155.

DQS: o seu parceiro confiável para certificação

Como um dos prestadores de serviços alemães mais experientes na certificação de sistemas de gestão, a DQS trabalha com a ENX há muitos anos e também esteve diretamente envolvida no desenvolvimento do novo programa de auditoria. Durante o longo período de desenvolvimento que antecedeu a publicação do programa, a DQS ganhou experiência valiosa em um grande número de auditorias experimentais e está, portanto, idealmente preparada para auditar seu CSMS com base nas especificações da VCS.

Aproveite o conhecimento de nossos especialistas e aprenda tudo o que você precisa sobre a ENX VCS e sua importância para sua empresa. Com mais de 35 anos de experiência e o know-how de 2.500 auditores em todo o mundo, somos o seu parceiro de certificação competente e fornecemos respostas a todas as questões relacionadas com a proteção de dados e segurança da informação.

questions-answers-dqs-question mark on wooden dice on table

Ficaremos felizes em responder as suas perguntas

Quais são os requisitos para certificação ISO 27001, IATF 16949, ENX VCS ou um TISAX ® avaliação ? E que esforço você deve esperar? Descubra por si mesmo. Não vinculativo e gratuito.

Estamos ansiosos para ouvir de você!
Autor
Holger Schmeken

Gerente de Produto para TISAX® e VCS, Auditor para ISO/IEC 27001, Especialista em Engenharia de Software com mais de 30 anos de experiência e Diretor Adjunto de Segurança da Informação. Holger Schmeken possui mestrado em Informática Empresarial e possui competências ampliadas de auditoria para infraestruturas críticas na Alemanha (KRITIS).

Eventos e artigos relevantes

Você também pode se interessar por
Blog
experience-with iso-27001-dqs-enterbrain-software-ag server cabinets

Lições aprendidas com a ISO 27001 – um estudo de caso da ENTERBRAIN Software

Leia mais
Blog
Mixing console in a recording studio with sliders at different heights

Gestão da configuração na segurança da informação

Leia mais
Blog
a young woman sits at a desk in front of a screen with a reference to cloud storage

Segurança na nuvem com ISO 27001:2022

Leia mais

Alguma pergunta?

Estamos aqui para você
Contate-nos