autonomous driving by a e-car, e-mobility

ENX VCS versus ISO 21434: Auditoria de cibersegurança automóvel

Holger Schmeken

Gestor de Produto DQS para TISAX® e VCS
jul. 10 , 2024

A transformação digital da indústria automóvel está em pleno andamento. Sempre que possível, a mecânica está a dar lugar à eletrónica. A instalação de mais componentes E/E torna os veículos mais potentes e aumenta a segurança da condução - mas também os expõe aos perigos dos ciberataques. Por este motivo, as Nações Unidas adoptaram a norma UN R 155, que prevê a implementação de sistemas modernos de gestão da cibersegurança (CSMS) e que entrará em vigor a partir de julho de 2024.

Com a norma ISO/SAE 21434 "Veículos rodoviários - Engenharia de cibersegurança", já existe uma diretriz que é referenciada nos requisitos oficiais, mas, na prática, esta revelou-se insuficientemente precisa. Para permitir uma implementação globalmente padronizada, a Associação ENX criou uma nova opção de certificação com as Auditorias de Cibersegurança de Veículos (VCSA). No nosso blogue, as empresas da indústria automóvel podem descobrir porque é que este programa de auditoria é mais adequado para provar a conformidade com os novos regulamentos do que a certificação puramente de acordo com a ISO/SAE 21434.

A importância dos novos regulamentos para a cibersegurança na indústria automóvel

Com os novos regulamentos de cibersegurança automóvel, serão aplicados requisitos vinculativos a todos os veículos recém-fabricados a partir de julho de 2024. Se os requisitos não forem implementados, a respectiva série de modelos não receberá aprovação de tipo. A cibersegurança holística, tal como pretendida pelas autoridades com a implementação obrigatória de um Sistema de Gestão da Cibersegurança (SGCS), abrange todos os componentes do veículo.

A maioria dos componentes instalados nos veículos provém da cadeia de abastecimento dos fabricantes de automóveis. O UN R 155 torna estes fabricantes responsáveis pela cibersegurança dos componentes que fornecem. No entanto, só podem influenciar a cibersegurança dos componentes através dos seus acordos contratuais com os fornecedores. Como parte da sua gestão de riscos, os fabricantes de automóveis dependem, por conseguinte, de contratos claros e de auditorias significativas aos seus fornecedores, a fim de garantir e manter a cibersegurança necessária a longo prazo.

Que problemas é que os novos regulamentos abordam?

A introdução do UN R 155 (e do UN R 156, que se centra nas actualizações de software) pelo legislador chama a atenção para várias questões complexas que existem em relação aos componentes controlados por software dos veículos rodoviários e à cibersegurança:

  • Como é que se pode garantir que o software para o funcionamento desses componentes é concebido, desenvolvido e implementado de forma segura?
  • Como é que um componente é equipado apenas com a versão de software pretendida no processo de produção e como é que os sistemas de produção relevantes são obrigados a equipar os componentes com proteção de software?
  • Como se pode controlar que os eventos de segurança nos componentes sejam registados e que as ameaças possam ser eficazmente corrigidas por actualizações, mesmo após dez anos?

A certificação ISO 21434 como solução?

Para responder a estas questões, o UN R 155 menciona a criação de um sistema de gestão da cibersegurança (CSMS) em conformidade com a norma ISO/SAE 21434 nos fabricantes de veículos. Um sistema de gestão é um conjunto de processos e procedimentos utilizados para gerir e controlar eficazmente uma empresa ou organização.
Para efeitos da norma, o termo "cibersegurança" na indústria automóvel refere-se especificamente à proteção dos sistemas informáticos, redes e respectivos dados nos veículos rodoviários. Isto inclui medidas e estratégias para garantir a segurança e a integridade dos sistemas digitais utilizados nos veículos.

Para garantir a cibersegurança, a norma especifica processos e procedimentos para um CSMS na conceção da segurança, no desenvolvimento do produto, na manutenção do produto, na deteção de riscos, na prevenção de perigos, na eliminação do produto e nos processos contínuos associados. Assim, a norma fornece um modelo arquitetónico abrangente de um CSMS, incluindo um modelo de processo para avaliar os riscos em matéria de cibersegurança, designado por Análise de Ameaças e Riscos (TARA).

Abaixo, pode descobrir quais os argumentos que se opõem a uma certificação ISO/SAE 21434 pura para cumprir os requisitos da UN R 155.

Cibersegurança automóvel: novos regulamentos a partir de julho de 2024

Com a digitalização, os riscos de ataques aumentaram rapidamente. Os fabricantes de automóveis são, em muitos aspectos, um alvo atrativo para os cibercriminosos. Leia a nossa publicação no blogue para saber que regulamentos estão em vigor para os proteger.

Para artigo de blogue

Requisitos para auditorias que utilizam a norma ISO/PAS 5112

A norma ISO/SAE 21434 deixa muita margem para interpretação relativamente à forma de auditar um SGSC. Uma vez que cada prestador de serviços de auditoria cria o seu próprio programa de auditoria para a norma ISO 21434 ao abrigo dos regulamentos do seu organismo de acreditação, a ISO/PAS 5112 tornou necessário normalizar o processo de auditoria da cibersegurança e do CSMS de uma organização.

A ISO/PAS 5112 contém orientações gerais para a gestão de um programa de auditoria e fornece às organizações as informações necessárias sobre o planeamento e a implementação de uma auditoria. Também define as competências dos auditores do SGSC e explica como a implementação da norma pode ser verificada.

Porque é que a auditoria VCS foi desenvolvida pela ENX

Apesar destes esforços para melhorar a normalização, os programas de auditoria de cibersegurança resultantes na indústria automóvel ainda variam muito.

No contexto de cadeias de abastecimento profundamente integradas com múltiplos parceiros contratuais, os programas de auditoria não comparáveis representam um grande problema para os fabricantes de veículos. Os fabricantes precisam de poder confiar nos resultados das auditorias dos fornecedores ao sistema de gestão da cibersegurança (CSMS) para a sua gestão de riscos.

A ENX reconheceu esta necessidade e desenvolveu uma solução em cooperação com a indústria automóvel, implementando um programa de auditoria globalmente normalizado denominado ENX VCS (Vehicle Cyber Security). A ENX utilizou a sua rede de membros para adaptar o programa de auditoria aos requisitos específicos da indústria

Ao mesmo tempo, a norma ISO/SAE 21434 não é suficiente para cumprir todos os requisitos regulamentares da norma UN R 155. Embora a UN R 155 refira a ISO/SAE 21434 como um exemplo dos processos de um CSMS, também exige que as capacidades do CSMS sejam mantidas numa base contínua:

  • UN R 155, Capítulo 7.2.2.3: As ciberameaças e vulnerabilidades que exijam uma resposta do fabricante do veículo devem ser tratadas dentro de um prazo razoável.
  • UN R 155, capítulo 7.2.2.4: O fabricante do veículo deve demonstrar que os procedimentos aplicados no seu sistema de gestão da cibersegurança garantem que a monitorização referida no ponto 7.2.2.2 g) ocorre regularmente.

Os requisitos supramencionados só podem ser realisticamente cumpridos a longo prazo se, paralelamente ao SGCS, for aplicado um sistema de gestão da segurança da informação (SGSI) que garanta permanentemente a segurança da informação em toda a empresa. Por este motivo, a ENX VCS exige sempre que os locais de desenvolvimento também tenham passado por uma avaliação TISAX. Desta forma, o fornecedor auditado pode demonstrar de forma sustentável o cumprimento das suas obrigações de diligência devida através de uma gestão consciente e avessa ao risco.

ISO 27001 - segurança da informação clássica

A ISO/IEC 27001 é a principal norma internacional para a introdução de um sistema de gestão holístico para a segurança da informação. A norma ISO foi recentemente revista e republicada em 25 de outubro de 2022.

ISO 27001 - mais in­for­ma­ção

Vantagens do ENX VCS

Implementação 1:1 da ISO 21434 e ISO/PAS 5112

A primeira boa notícia é que qualquer pessoa que tenha seguido a ISO 21434 e a ISO/PAS 5112 em termos de cibersegurança automóvel já está no caminho certo. Os requisitos das duas normas são - matematicamente falando - um verdadeiro subconjunto das especificações VCS. Isto significa que todos os requisitos das duas normas ISO podem ser encontrados 1:1 no ENX VCS Vehicle Cyber Security.

No entanto, em comparação com as auditorias ISO, o ENX VCS permite um modelo de procedimento comparável. Para garantir processos comparáveis globalmente em todos os fornecedores de auditoria, a ENX também publicou "Critérios do fornecedor de auditoria e requisitos de avaliação" específicos (ACAR VCS 1.0) e um catálogo de auditoria VCSA 1.0 vinculativo no lançamento do programa. Estes incluem, entre outras coisas

  • A auditoria organizacional dos regulamentos CSMS (principalmente auditorias de documentos e processos),
  • A criação de uma amostra orientada para o risco de projectos que lidam com a segurança cibernética de componentes,
  • A amostra de projectos é utilizada para verificar se as regras do CSMS são aplicadas de forma coerente nos projectos VCS. Inclui, por exemplo, entrevistas com membros da equipa de engenharia e a análise dos resultados do seu trabalho.

Competências normalizadas

O ACAR também define requisitos de competência globalmente padronizados e descrições de funções para auditores e peritos:

  • Auditor Líder de VCS
  • Perito VCS

O conhecimento de um perito VCS deve estar sempre representado na equipa de auditoria VCS. Durante a fase de entrevista, o perito assume a conversa com as equipas de engenharia para fazer uma avaliação profissional das actividades e resultados de trabalho possíveis.

Auditoria orientada para a função

Na tradição do TISAX®, o ENX VCS também considera as várias funções que os fornecedores podem desempenhar no fornecimento de componentes relevantes para a segurança cibernética sob a forma de um novo sistema de etiquetas VCS. Desta forma, um fornecedor apenas tem de cumprir os requisitos do catálogo de avaliação VCSA que são adequados à sua respectiva função:

  • Desenvolvimento de VCS
  • Produção VCS
  • Operações e manutenção VCS

Esforços comparáveis

Os rótulos ENX VCS são válidos por três anos e não requerem auditorias de controlo. Em contrapartida, as auditorias em conformidade com a norma ISO/SAE 21434 exigem uma auditoria de (re)certificação durante três anos e duas auditorias de controlo anuais com as correspondentes despesas de deslocação.

Agilidade

Em contraste com a norma ISO, o ENX VCS também promete maior agilidade na adaptação a novos requisitos. Os regulamentos ACAR são normalmente objeto de uma revisão obrigatória uma vez por ano, que deve ser implementada por todos os prestadores de auditoria VCS.

vcs-iso21434-grafik-dqs-schmeken-s.jpg

Conclusão: O ENX VCS é uma forma sensata de definir o rumo

Em resumo, o programa de auditoria ENX VCS permite uma implementação globalmente melhorada da auditoria, em conformidade com os requisitos da ISO/SAE 21434 e da ISO/PAS 5112. A maior comparabilidade global do novo rótulo garante uma confiança significativamente maior na certificação e na implementação dos requisitos de segurança cibernética da norma UN R 155.

DQS: o seu parceiro fiável para a certificação

Como um dos mais experientes prestadores de serviços alemães para a certificação de sistemas de gestão, a DQS trabalha com a ENX há muitos anos e também esteve diretamente envolvida no desenvolvimento do novo programa de auditoria. Durante o longo período de desenvolvimento que levou à publicação do programa, a DQS adquiriu uma experiência valiosa num grande número de auditorias experimentais e está, por isso, idealmente preparada para auditar o seu CSMS com base nas especificações VCS.

Tire partido dos conhecimentos dos nossos especialistas e saiba tudo o que precisa sobre o ENX VCS e a sua importância para a sua empresa. Com mais de 35 anos de experiência e o know-how de 2.500 auditores em todo o mundo, somos o seu parceiro de certificação competente e damos resposta a todas as questões relacionadas com a proteção de dados e a segurança da informação.

questions-answers-dqs-question mark on wooden dice on table

Teremos todo o prazer em responder às suas perguntas

Quais são os requisitos para a certificação ISO 27001, IATF 16949, ENX VCS ou uma avaliação TISAX®? E qual é o esforço esperado? Descubra por si próprio. Não vinculativo e gratuito.

Aguardamos com expectativa o seu contacto!
Autor
Holger Schmeken

Gestor de produtos para TISAX® e VCS, Auditor para ISO/IEC 27001, Perito em Engenharia de Software com mais de 30 anos de experiência e Diretor Adjunto de Segurança da Informação. Holger Schmeken tem um mestrado em informática empresarial e possui competências alargadas de auditoria para infra-estruturas críticas na Alemanha (KRITIS).

Artigos e eventos relevantes

Você pode também estar interessado em
Blog
experience-with iso-27001-dqs-enterbrain-software-ag server cabinets

Lições aprendidas com a ISO 27001 - um estudo de caso da ENTERBRAIN Software

Leia mais
Blog
Mixing console in a recording studio with sliders at different heights

Gestão da configuração na segurança da informação

Leia mais
Blog
a young woman sits at a desk in front of a screen with a reference to cloud storage

Segurança na nuvem com a ISO 27001:2022

Leia mais

Alguma pergunta?

Estamos aqui para si.
Contacte-nos