autonomous driving by a e-car, e-mobility

ENX VCS verzus ISO 21434: Audit kybernetickej bezpečnosti vozidla

Holger Schmeken

Expert DQS pre informačnú bezpečnosť
júl 10 , 2024

Digitálna transformácia automobilového priemyslu je v plnom prúde. Všade, kde je to možné, ustupuje mechanika elektronike. Inštalácia väčšieho počtu komponentov E/E zvyšuje výkon vozidiel a zvyšuje bezpečnosť jazdy - ale zároveň ich vystavuje nebezpečenstvu kybernetických útokov. Z tohto dôvodu prijala Organizácia Spojených národov nariadenie UN R 155, ktoré stanovuje zavedenie moderných systémov riadenia kybernetickej bezpečnosti (CSMS) a ktoré nadobudne plnú účinnosť od júla 2024.

S normou ISO/SAE 21434 "Cestné vozidlá - inžinierstvo kybernetickej bezpečnosti" už existuje usmernenie, na ktoré sa v oficiálnych požiadavkách odkazuje, ale v praxi sa ukázalo, že nie je dostatočne presné. S cieľom umožniť celosvetovo štandardizovanú implementáciu vytvorilo združenie ENX novú možnosť certifikácie pomocou auditu kybernetickej bezpečnosti vozidiel (VCSA). V našom blogovom príspevku sa spoločnosti v automobilovom priemysle môžu dozvedieť, prečo je tento program auditov vhodnejší na preukázanie súladu s novými predpismi ako certifikácia čisto podľa normy ISO/SAE 21434.

Význam nových predpisov pre kybernetickú bezpečnosť v automobilovom priemysle

Vďaka novým predpisom o kybernetickej bezpečnosti v automobilovom priemysle budú od júla 2024 platiť záväzné požiadavky pre všetky novo vyrobené vozidlá. Ak požiadavky nebudú implementované, príslušné modelové rady nedostanú typové schválenie. Holistická kybernetická bezpečnosť, ako ju zamýšľajú orgány s povinnou implementáciou systému riadenia kybernetickej bezpečnosti (CSMS), zahŕňa všetky komponenty vozidla.

Väčšina komponentov inštalovaných vo vozidlách pochádza z dodávateľského reťazca výrobcov automobilov. Podľa UN R 155 sú títo výrobcovia zodpovední za kybernetickú bezpečnosť komponentov, ktoré dodávajú. Kybernetickú bezpečnosť komponentov však môžu ovplyvniť len prostredníctvom svojich zmluvných dohôd s dodávateľmi. Výrobcovia vozidiel sú preto v rámci riadenia rizík závislí od jasných zmlúv a zmysluplných auditov svojich dodávateľov, aby mohli zaručiť a dlhodobo udržiavať potrebnú kybernetickú bezpečnosť.

Aké problémy riešia nové nariadenia?

Zavedením nariadenia UN R 155 (a nariadenia UN R 156, ktoré sa zameriava na aktualizácie softvéru) zákonodarca upozorňuje na niekoľko zložitých problémov, ktoré existujú v súvislosti so softvérovo riadenými komponentmi cestných vozidiel a kybernetickou bezpečnosťou:

  • Ako možno zabezpečiť, aby bol softvér na ovládanie takýchto komponentov navrhnutý, vyvinutý a implementovaný bezpečne?
  • Ako sa vo výrobnom procese vybaví komponent len zamýšľanou verziou softvéru a ako sa vyžaduje, aby príslušné výrobné systémy vybavili komponenty softvérovou ochranou?
  • Ako sa dá sledovať, aby sa bezpečnostné udalosti v komponentoch zaznamenávali a hrozby sa dali účinne odstrániť aktualizáciami aj po desiatich rokoch?

Certifikácia ISO 21434 ako riešenie?

Na zodpovedanie týchto otázok sa v nariadení UN R 155 uvádza zavedenie systému riadenia kybernetickej bezpečnosti (CSMS) v súlade s normou ISO/SAE 21434 u výrobcov vozidiel. Systém riadenia je súbor procesov a postupov používaných na efektívne riadenie a kontrolu spoločnosti alebo organizácie.
Na účely tejto normy sa pojem "kybernetická bezpečnosť" v automobilovom priemysle vzťahuje konkrétne na ochranu počítačových systémov, sietí a ich údajov v cestných vozidlách. Zahŕňa opatrenia a stratégie na zaistenie bezpečnosti a integrity digitálnych systémov používaných vo vozidlách.

Na zabezpečenie kybernetickej bezpečnosti norma špecifikuje procesy a postupy CSMS v oblasti bezpečnostného návrhu, vývoja výrobku, údržby výrobku, zisťovania rizík, prevencie nebezpečenstiev, likvidácie výrobku a súvisiacich nepretržitých procesov. Norma teda poskytuje komplexný architektonický model CSMS vrátane procesného modelu na posudzovanie rizík v oblasti kybernetickej bezpečnosti, ktorý sa označuje ako analýza hrozieb a rizík (TARA).

Nižšie sa dozviete, aké argumenty sú proti čistej certifikácii podľa normy ISO/SAE 21434 na splnenie požiadaviek normy UN R 155.

Kybernetická bezpečnosť v automobilovom priemysle: nové predpisy od júla 2024

S digitalizáciou sa rapídne zvýšili riziká útokov. Výrobcovia automobilov sú v mnohých ohľadoch atraktívnym cieľom pre kybernetických zločincov. Prečítajte si náš blogový príspevok, v ktorom sa dozviete, aké predpisy sú zavedené na ich ochranu.

K článku na blogu

Požiadavky na audity s použitím normy ISO/PAS 5112

Norma ISO/SAE 21434 ponecháva veľký priestor na interpretáciu, pokiaľ ide o spôsob auditu CSMS. Keďže každý poskytovateľ auditu si vytvára vlastný program auditu pre normu ISO 21434 podľa predpisov svojho akreditačného orgánu, norma ISO/PAS 5112 si vyžiadala štandardizáciu procesu auditu kybernetickej bezpečnosti a CSMS organizácie.

Norma ISO/PAS 5112 obsahuje všeobecné usmernenia pre riadenie programu auditu a poskytuje organizáciám potrebné informácie o plánovaní a realizácii auditu. Definuje tiež kompetencie audítorov CSMS a vysvetľuje, ako možno overiť implementáciu normy.

Prečo bol audit VCS vyvinutý spoločnosťou ENX

Napriek týmto snahám o zlepšenie štandardizácie sa výsledné programy auditu kybernetickej bezpečnosti v automobilovom priemysle stále veľmi líšia.

Na pozadí hlboko integrovaných dodávateľských reťazcov s viacerými zmluvnými partnermi predstavujú neporovnateľné programy auditu pre výrobcov vozidiel veľký problém. Výrobcovia sa pri riadení rizík musia môcť spoľahnúť na výsledky dodávateľských auditov systému riadenia kybernetickej bezpečnosti (CSMS).

Spoločnosť ENX si túto potrebu uvedomila a v spolupráci s automobilovým priemyslom vyvinula riešenie zavedením celosvetovo štandardizovaného programu auditu s názvom ENX VCS (Vehicle Cyber Security). Spoločnosť ENX využila svoju členskú sieť na prispôsobenie programu auditu špecifickým požiadavkám odvetvia

Zároveň samotná norma ISO/SAE 21434 nestačí na splnenie všetkých regulačných požiadaviek UN R 155. Hoci sa v UN R 155 odkazuje na ISO/SAE 21434 ako na príklad procesov CSMS, vyžaduje sa v ňom aj to, aby sa schopnosti CSMS priebežne udržiavali:

  • UN R 155, kapitola 7.2.2.3: Kybernetické hrozby a zraniteľnosti vyžadujúce reakciu výrobcu vozidla sa musia riešiť v primeranom časovom rámci.
  • UN R 155, kapitola 7.2.2.4: Výrobca vozidla musí preukázať, že postupy uplatňované v jeho systéme riadenia kybernetickej bezpečnosti zabezpečujú pravidelné monitorovanie uvedené v bode 7.2.2.2 g).

Uvedené požiadavky sa dajú dlhodobo reálne splniť len vtedy, ak sa popri CSMS prevádzkuje systém riadenia bezpečnosti informácií (ISMS), ktorý trvalo zabezpečuje bezpečnosť informácií v celej spoločnosti. Z tohto dôvodu ENX VCS vždy vyžaduje, aby vývojové pracoviská prešli aj posúdením TISAX. Takto môže auditovaný dodávateľ trvalo preukázať plnenie svojich povinností náležitej starostlivosti prostredníctvom riadenia, ktoré si uvedomuje riziká a vyhýba sa im.

ISO 27001 - klasická bezpečnosť informácií

Norma ISO/IEC 27001 je vedúcou medzinárodnou normou na zavedenie komplexného systému riadenia informačnej bezpečnosti. Norma ISO bola nedávno revidovaná a opätovne zverejnená 25. októbra 2022.

ISO 27001 - viac in­formá­cií

Výhody systému ENX VCS

Implementácia noriem ISO 21434 a ISO/PAS 5112 v pomere 1:1

Dobrou správou v prvom rade je, že každý, kto sleduje normy ISO 21434 a ISO/PAS 5112 z hľadiska kybernetickej bezpečnosti v automobilovom priemysle, je už na správnej ceste. Požiadavky týchto dvoch noriem sú - z matematického hľadiska - skutočnou podmnožinou špecifikácií VCS. To znamená, že všetky požiadavky týchto dvoch noriem ISO možno nájsť 1:1 v ENX VCS Kybernetická bezpečnosť vozidiel.

V porovnaní s auditmi ISO však ENX VCS umožňuje porovnateľný model postupu. S cieľom zabezpečiť porovnateľné postupy na celom svete u všetkých poskytovateľov auditu zverejnila spoločnosť ENX pri spustení programu aj špecifické "Kritériá a požiadavky na poskytovateľov auditu" (ACAR VCS 1.0) a záväzný katalóg auditov VCSA 1.0. Medzi ne patria okrem iného:

  • Organizačný audit predpisov CSMS (predovšetkým audity dokumentov a procesov),
  • vytvorenie rizikovo orientovanej vzorky projektov, ktoré sa zaoberajú kybernetickou bezpečnosťou komponentov,
  • Vzorka projektov slúži na kontrolu toho, či sa predpisy CSMS dôsledne uplatňujú v projektoch VCS. Zahŕňa napríklad rozhovory s členmi inžinierskeho tímu a preskúmanie výsledkov ich práce.

Štandardizované kompetencie

ACAR definuje aj globálne štandardizované požiadavky na kompetencie a opisy úloh audítorov a expertov:

  • Vedúci audítor VCS
  • Expert VCS

V audítorskom tíme VCS musia byť vždy zastúpené znalosti experta VCS. Počas fázy rozhovoru expert preberá rozhovor s inžinierskymi tímami, aby bolo možné odborne posúdiť činnosti a výsledky práce.

Audit orientovaný na úlohy

V tradícii systému TISAX® ENX VCS zohľadňuje aj rôzne úlohy, ktoré môžu dodávatelia zohrávať pri poskytovaní komponentov relevantných z hľadiska kybernetickej bezpečnosti vo forme nového systému označovania VCS. Dodávateľ tak musí spĺňať len tie požiadavky katalógu hodnotenia VCSA, ktoré zodpovedajú jeho príslušnej úlohe:

  • Vývoj VCS
  • Výroba VCS
  • Prevádzka a údržba VCS

Porovnateľné úsilie

Značky ENX VCS sú platné tri roky a nevyžadujú si audity dohľadu. Naopak, audity v súlade s normou ISO/SAE 21434 si vyžadujú (re)certifikačný audit počas troch rokov a dva ročné dozorné audity so zodpovedajúcimi cestovnými nákladmi.

Agility

Na rozdiel od normy ISO sľubuje ENX VCS aj väčšiu agilitu pri prispôsobovaní sa novým požiadavkám. Predpisy ACAR zvyčajne podliehajú povinnej revízii raz ročne, ktorú musia vykonať všetci poskytovatelia auditu VCS.

vcs-iso21434-grafik-dqs-schmeken-s.jpg

Záver: ENX VCS ako rozumný spôsob stanovenia kurzu

Súhrnne možno konštatovať, že program auditu ENX VCS umožňuje globálne zlepšiť vykonávanie auditu v súlade s požiadavkami noriem ISO/SAE 21434 a ISO/PAS 5112. Zvýšená globálna porovnateľnosť nového označenia zabezpečuje výrazne zvýšenú dôveru v certifikáciu a v implementáciu požiadaviek na kybernetickú bezpečnosť UN R 155.

DQS: váš spoľahlivý partner pre certifikáciu

Spoločnosť DQS ako jeden z najskúsenejších nemeckých poskytovateľov služieb v oblasti certifikácie systémov manažérstva spolupracuje so spoločnosťou ENX už mnoho rokov a priamo sa podieľala aj na vývoji nového programu auditu. Počas dlhého obdobia vývoja, ktoré viedlo k zverejneniu programu, získala spoločnosť DQS cenné skúsenosti s veľkým počtom skúšobných auditov, a preto je ideálne pripravená na audit vášho CSMS na základe špecifikácií VCS.

Využite znalosti našich odborníkov a dozviete sa všetko potrebné o systéme ENX VCS a jeho význame pre vašu spoločnosť. Vďaka viac ako 35 rokom skúseností a know-how 2 500 audítorov po celom svete sme vaším kompetentným certifikačným partnerom a poskytneme vám odpovede na všetky otázky týkajúce sa ochrany údajov a bezpečnosti informácií.

questions-answers-dqs-question mark on wooden dice on table

Radi vám odpovieme na vaše otázky

Aké sú požiadavky na certifikáciu podľa noriem ISO 27001, IATF 16949, ENX VCS alebo posúdenie TISAX®? A aké úsilie musíte očakávať? Zistite si to sami. Nezáväzne a bezplatne.

Tešíme sa na vaše správy!
Autor
Holger Schmeken

Produktový manažér a expert na informačnú bezpečnosť a vývoj softvéru. Holger Schmeken prispieva svojimi odbornými znalosťami aj ako audítor pre ISO 27001 s kompetenciou pre audítorské postupy KRITIS.

Relevantné články a udalosti

Možno vás bude zaujímať aj toto
Blog
Mixing console in a recording studio with sliders at different heights

Riadenie konfigurácie v informačnej bezpečnosti

Prečítajte si viac
Blog
a young woman sits at a desk in front of a screen with a reference to cloud storage

Zabezpečenie cloudu podľa normy ISO 27001:2022

Prečítajte si viac
Blog
vda-isa-5-dqs-auto in einer wolke von elektronik

Nový katalóg ISA 6.0 platný od 1. apríla 2024

Prečítajte si viac

Akékoľvek otázky?

Sme tu pre vás.
Kontaktujte nás