W październiku zeszłego roku Tomasz Ramanik, Regional Competence Center Manager Head of Automotive OEM – Sales Account Manager, popełnił artykuł na temat standardu TISAX – systemu bezpiecznej wymiany informacji w branży automotive. Temat ten jest niezmiennie aktualny w branży motoryzacyjnej, dlatego jeszcze raz serdecznie zapraszamy do zapoznania się z tekstem.

 

“Możesz otrzymać samochód w każdym kolorze, pod warunkiem, że będzie to kolor czarny”

Henry Ford

Jakże nieaktualne są już dziś te słowa jednego z ojców współczesnej motoryzacji. Dziś każdy z nas może wybrać samochód o dowolnej konfiguracji. Ogrom możliwości wyboru często przekracza nasze najśmielsze oczekiwania. OEM-y prześcigają się w nowinkach technologicznych, które mają pomagać nowoczesnemu kierowcy.

Oprócz znanych już systemów, wprowadzane są kolejne, które powoli mają wręcz zastępować kierowcę i eliminować słabości istoty ludzkiej jako najbardziej wadliwej części samochodowego ekosystemu, przekazując kierownicę w „cyfrowe ręce” oprogramowania, mającego nas bezpiecznie dowieźć do celu.

Oczywiście mamy też systemy całkowicie służące rozrywce pasażerów lub poprawie ich komfortu podróżowania. Połączenie pojazdów z naszymi smartfonami daje szereg możliwości i ułatwia wiele czynności życia codziennego. Wielu z nas zadaje sobie jednak pytania czy te rozwiązania są bezpieczne? Czy jesteśmy pewni, że zastosowana technologia została opracowana w odpowiedni sposób i jest tak zabezpieczona, że możemy bezwzględnie na niej polegać?

Jak sprawić, aby technologia w samochodzie była bezpieczna dla użytkownika? Norma ISO 21434

Takie pytania stawiają nie tylko użytkownicy pojazdów, ale też wiele międzynarodowych organizacji, które zastanawiają się nad tym, w jaki sposób zapewnić bezpieczeństwo w tym wyścigu technologicznym. Przede wszystkim zaś co zrobić, aby proces wprowadzania nowych rozwiązań technologicznych gwarantował taki poziom bezpieczeństwa, abyśmy mogli na nich polegać. Ważnych jest kilka newralgicznych punktów w tym zakresie. Proces projektowania i wdrażania nowych rozwiązań, ich aktualizacji zdalnych (OTA) oraz bezpieczeństwo danych i informacji.

Temat projektowania i wdrażania nowych technologii w pojazdach jest w tej chwili jedną z ważniejszych kwestii, którymi zajmuje się UNECE (United Nations Economic Comission for Europe), czyli Europejska Komisja Gospodarcza ONZ. Częścią UNECE jest WP.29, tj. Światowe Forum ds. Harmonizacji Przepisów dotyczących Pojazdów. Do jego obowiązków należy zarządzanie wielostronnymi umowami podpisanymi w latach 1958, 1997 i 1998, w sprawie przepisów technicznych dotyczących budowy, homologacji pojazdów kołowych i ich okresowego badania technicznego.

Ciało to pracuje nad przepisami dotyczącymi bezpieczeństwa pojazdów, ochrony środowiska, efektywności energetycznej i ochroną przed kradzieżami. Prace Forum mają wpływ na projektowanie pojazdów i ułatwiają handel międzynarodowy. W swej agendzie w ostatnich latach Forum skupiło się również na obszarach związanych z nowymi technologiami. Do dnia dzisiejszego WP.29 opracowało już 158 przepisów dotyczących pojazdów. Z punktu widzenia tematyki tego artykułu istotne są dwa:

  • R155 – bezpieczeństwo cybernetyczne;
  • R156 – aktualizacje oprogramowania.

Według tych regulacji, dotyczących przede wszystkim homologacji nowych pojazdów w zakresie aut autonomicznych oraz pojazdów połączonych, każdy OEM musi posiadać certyfikowany System Zarządzania Cyberbezpieczeństwem (CSMS) oraz Cyberzabezpieczenia zgodne z wymaganiami odpowiednich typów homologacji.

Działania zorientowane na organizację (company oriented):

  • zastosowanie CSMS we wszystkich fazach cyklu życia pojazdu;
  • OEM musi wykazać zdolność procesu w ramach CSMS (procesy identyfikacji i zarządzania ryzykiem, testy cyberbezpieczeństwa itp.);
  • zdolność OEM do wykrywania i rozwiązywania problemów z cyberbezpieczeństwem oraz ciągłego monitorowania wszystkich pojazdów;
  • zarządzanie zależnościami z dostawcami – co oznacza przeniesienie wymagań w całym łańcuchu dostaw.

Wymagania dotyczące homologacji (type approval oriented):

  • zarządzanie ryzykiem związanym z dostawcami dla homologowanego typu pojazdu;
  • obszerna analiza ryzyka dla poszczególnych elementów typów pojazdów;
  • odpowiednie zabezpieczenia przed typowymi wektorami ataków;
  • testy i weryfikacja skuteczności środków bezpieczeństwa;
  • proces zgłaszania wyników działań monitorujących.

Wszystkie te rozwiązania oparte są o nową normę ISO 21434, której publikacja odbędzie się niebawem. Całość obu regulacji R155 i R156 można podsumować poniższym schematem.

 

Bezpieczeństwo nowoczesnych technologii w motoryzacji

Jak widać obejmie to każdego dostawcę, ponieważ wszystkie wymagania musza być przenoszone w całym łańcuchu dostaw. W innym przypadku OEM nie otrzyma dopuszczenia danego pojazdu do ruchu.

Bezpieczeństwo informacji: nowy katalog VDA ISA 5.0.

Kolejną kwestię stanowi bezpieczeństwo informacji. Stanowi ono część wymagań dotyczących homologacji. Ocena TISAX, bo o niej mowa, był już przeze mnie opisywana i omawiana niejednokrotnie w poprzednich numerach niniejszego periodyku. Często, aby móc otrzymać dostęp do odpowiednich systemów, OEM musi przejść ocenę TISAX, w której ostatnio nastąpiły zmiany, warto więc poświęcić im nieco miejsca.

W lipcu tego roku został wydany nowy katalog pytań, na którym bazuje standard TISAX. Katalog VDA ISA 5.0 został zmieniony zarówno pod względem struktury, jak i zawartości oraz stał się łatwiejszy i wydajniejszy podczas oceny bezpieczeństwa informacji. Nowe wydanie obowiązuje od 1 października br., zastępując VDA ISA 4.4., co oznacza, że od tej daty wszystkie nowe oceny muszą być przeprowadzane według nowego katalogu. Trwające oceny oczywiście mogą nadal przeprowadzane według poprzedniej edycji katalogu.

Co się zmieniło?

  • obszary: Bezpieczeństwo informacji, Ochrona danych osobowych oraz Ochrona prototypów zostały zaktualizowane do obecnego stanu wiedzy;
  • zaktualizowano strukturę katalogu pytań;
  • zbędne punkty zostały usunięte w celu kompleksowej poprawy;
  • poprzednio obowiązujący cel kontroli Połączenia do stron trzecich został niejako wchłonięty przez cel Bezpieczeństwo informacji.

Jeżeli chcą być Państwo na bieżąco z tymi oraz innymi zmianami, które czekają rynek motoryzacyjny, zapraszam do śledzenia naszych profili w mediach społecznościowych oraz naszych stron internetowych i blogów, gdzie eksperci DEKRA publikują pomocne informacje. Zapraszamy również do bezpośredniego kontaktu z naszymi specjalistami w tym zakresie.

DEKRA jako globalny partner na rzecz bezpiecznego świata od 95 lat wspiera branżę motoryzacyjną w zapewnianiu najwyższych standardów jakości. Dzięki wiedzy naszych ekspertów, odpowiednim szkoleniom oraz późniejszej certyfikacji nasi klienci w efektywny sposób zapewniają rozwój swoich organizacji w nieustannie zmieniającej się branży, odpowiednio zabezpieczając swoje technologie i odpowiedzialnie wdrażając nowe rozwiązania do produkcji.

 

Autor: Tomasz Romanik, Head of Automotive OEM – Key Account Manager DEKRA CERTIFICATION Sp. z o.o.