Január óta Mátyus Péter tölti be a vezérigazgatói pozíciót.
Péter 24 éves autóipari tapasztalattal rendelkezik, amelyből 14 évet a BMW müncheni központjában töltött, a közép- és kelet-európai régió beszerzési vezetőjeként. Mátyus Péter gépészmérnök végzettségű, auditori tapasztalatokkal rendelkező kollégánk, aki 8 kelet-európai országban több milliárd eurós beszerzési volumenért felelt. Szakértői területei közé tartozik az üzletfejlesztés, befektetések és felvásárlások, stratégiai beszerzés, ellátásilánc-menedzsment, interkulturális kommunikáció és hálózatépítés.
Az autóipari tesztelési, ellenőrzési és tanúsítási (TIC) szolgáltatások kulcsfontosságú szerepet játszanak a követelmények kiteljesítésében. A TIC-szolgáltatások a járművek szigorú tesztelésével, aprólékos vizsgálatával és tanúsításával, valamint a meghatározott előírásoknak és szabványoknak való megfeleléssel biztosítják, hogy az autóipari termékek és alkatrészek megfeleljenek a szükséges kritériumoknak. A legtöbb országban a tanúsítványok megszerzése nem csupán preferencia, hanem szükségszerű az autóipari alkatrészek exportjához. Ennek a komplex szolgáltatásnyújtásnak a kiszolgálására jött létre a QTICS AUTOMOTIVE.
Az ISO/SAE 21434 szabvány: A járműipari kiberbiztonság új korszakának alapja
Autóipari kiberbiztonság
A modern autóiparban a kiberbiztonság egyre nagyobb szerepet kap, mivel az autók egyre inkább összekapcsolódnak a hálózattal és egyre bonyolultabb technológiákat alkalmaznak. Az ISO/SAE 21434 szabvány célja, hogy átfogó útmutatást nyújtson a járművek kiberbiztonsági kezelési folyamataira vonatkozóan, biztosítva ezzel a járművek integritását, bizalmasságát és rendelkezésre állását. Ez a cikk részletesen bemutatja az ISO/SAE 21434 szabvány jelentőségét, célkitűzéseit, valamint alkalmazási területeit, különös tekintettel az UN R155 és UN R156 előírásokra is.
Az UN R155 és UN R156 szerepe
Az UN R155 és UN R156 rendeletek az ENSZ EGB (Európai Gazdasági Bizottság) szabályozási keretének részei, amelyek célja a járművek kiberbiztonsági és szoftverfrissítési követelményeinek meghatározása:
– UN R155 (Cybersecurity and Cyber Security Management System): Ez a rendelet előírja a járműgyártók számára, hogy kiberbiztonsági irányítási rendszert (CSMS) vezessenek be, amely biztosítja a járművek védelmét a kiberfenyegetésekkel szemben a teljes élettartamuk során. Ennek eléréséhez a legcélszerűbb az ISO 21434-es követelményeket alkalmazni.
– UN R156 (Software Update Processes and Management System): Ez a rendelet meghatározza a járművek szoftverfrissítési folyamatait és követelményeit, biztosítva ezzel a szoftverek biztonságos és hatékony frissítését.
Ezek a rendeletek a jármű és járműalkatrészek homologizációjának is meghatározó követelményei.
Az ISO/SAE 21434 szabvány és az UN R155, UN R156 rendeletek együtt biztosítják a járművek átfogó kiberbiztonsági és szoftverkezelési keretrendszerét, amely elengedhetetlen a modern járművek biztonságos üzemeltetéséhez.
A szabvány célkitűzései
Az ISO/SAE 21434 szabvány fő célkitűzései közé tartozik:
– Kiberbiztonsági kockázatok kezelése: A szabvány útmutatást nyújt a kiberbiztonsági kockázatok azonosítására, értékelésére és kezelésére a jármű teljes élettartama során.
– Biztonsági követelmények meghatározása: Meghatározza a járművek biztonsági követelményeit, biztosítva ezzel a megfelelő védelmi intézkedések alkalmazását.
– Fejlesztési folyamatok integrálása: Előírja a kiberbiztonsági szempontok integrálását a járműfejlesztési folyamatokba, beleértve a tervezést, fejlesztést, tesztelést és karbantartást.
– Kiberbiztonsági kultúra előmozdítása: Elősegíti a kiberbiztonsági tudatosság növelését és a kiberbiztonsági kultúra kialakítását az autóipari szervezetekben.
Alkalmazási területek
Az ISO/SAE 21434 szabvány alkalmazási területei széleskörűek, kiterjednek a járműipar különböző szegmenseire:
– Járműgyártók: A szabvány iránymutatást nyújt a járműgyártók számára a kiberbiztonsági követelmények integrálására a járműtervezési és fejlesztési folyamatokba.
– Beszállítók: A beszállítók számára biztosítja a megfelelő kiberbiztonsági követelmények betartását a járműalkatrészek és rendszerek fejlesztése során.
– Szolgáltatók: Az olyan szolgáltatók számára, mint a telematikai szolgáltatók és a szoftverfejlesztők, a szabvány előírja a kiberbiztonsági intézkedések bevezetését a nyújtott szolgáltatásokban.
– Hatóságok: A szabvány alapot nyújt a nemzeti és nemzetközi kiberbiztonsági szabályozások kidolgozásához és alkalmazásához.
Az ISO/SAE 21434 szerinti tanúsítás megszerzéséhez egy vállalatnak általában a következő lépéseket kell követnie, amelyeket a QTICS Automotive Zrt. mindenre kiterjedő konzultációs és tanúsítási feladatokkal támogat:
1. Gap elemzés: A vállalat azonosítja jelenlegi kiberbiztonsági gyakorlatait és folyamatait, majd összehasonlítja azokat az ISO/SAE 21434 előírásaival. Ez segít azonosítani azokat az esetleges hiányosságokat, amelyeket meg kell oldani a tanúsítás előtt.
2. Képzés és tájékoztatás: A dolgozók képzést és tájékoztató programokat kapnak annak érdekében, hogy megértsék az ISO/SAE 21434 fontosságát és követelményeit. Ez biztosítja, hogy mindenki a vállalatnál tisztában legyen a kiberbiztonsági intézkedésekkel.
3. Implementáció: A vállalat megkezdi a szükséges kiberbiztonsági intézkedések és gyakorlatok bevezetését az ISO/SAE 21434 irányelvei alapján. Ez lehetővé teszi a kiberbiztonsági eszközök telepítését, a szoftverek frissítését és az incidenskezelési tervek kialakítását.
4. Dokumentáció: Készül egy részletes dokumentáció az összes kiberbiztonsági folyamatról és intézkedésről, amit a tanúsítási audit során felülvizsgálnak.
5. Belső audit: A vállalat belső auditot végez annak érdekében, hogy értékelje a kiberbiztonsági intézkedések hatékonyságát és az ISO/SAE 21434-nek való megfelelést.
6. Előzetes értékelés: Az előzetes értékelés célja az, hogy felmérje a szervezet felkészültségét a hivatalos tanúsítási auditra. Az előzetes értékelés során azonosított problémákat megoldják.
7. Tanúsítási audit: Az akkreditált tanúsító szervezet végzi el a hivatalos tanúsítási auditot. Az auditor felülvizsgálja a vállalat dokumentációját, folyamatait és gyakorlatait annak érdekében, hogy ellenőrizze az ISO/SAE 21434-nek való megfelelést.
8. Korrekciós intézkedések: Ha az audit során nem megfelelőségek merülnek fel, a vállalatnak korrekciós intézkedéseket kell tennie azok kezelésére.
9. Akkreditált tanúsítvány: Ha a vállalat teljesíti az ISO/SAE 21434 követelményeit, akkor megkapja az akkreditált tanúsítványt. A tanúsítvány érvényessége 3 éves időtartamra szól, és rendszeres (éves) felügyeleti auditok kerülnek végrehajtásra annak érdekében, hogy a folyamatos megfelelést az akkreditált tanúsítóhely ellenőrizze és igazolja.
Konklúzió
Az ISO/SAE 21434 szabvány bevezetése mérföldkő az autóipari kiberbiztonság területén. Az átfogó iránymutatások és követelmények révén biztosítja a járművek védelmét a kiberfenyegetésekkel szemben, elősegítve ezzel a biztonságos és megbízható járművek fejlesztését és üzemeltetését. Az ISO/SAE 21434 és az UN R155, UN R156 rendeletek együttes alkalmazása kulcsfontosságú a járműipari szereplők számára, hogy megfeleljenek a globális kiberbiztonsági elvárásoknak és szabályozásoknak, ezzel növelve versenyképességüket és biztonsági szintjüket a globális piacon.
Kapcsolódó információ- és kiberbiztonsági szolgáltatások:
- A GDPR (General Data Protection Regulation) az Európai Unió által bevezetett adatvédelmi rendelet, amely szabályozza a személyes adatok kezelését és védelmét. Európában először mi vagyunk képesek akkreditáltan tanúsítani a GDPR-t (Europrivacy tanúsítás).
- Az ISO/IEC 27001 egy nemzetközi szabvány, amely az információbiztonsági rendszerek általános követelményeit tartalmazza.
- A TISAX (Trusted Information Security Assessment Exchange) a német VDA (Német Gépjárműipari Szövetség) követelményén alapuló egyetlen autóipariág-specifikus biztonsági keretrendszer az információbiztonság értékeléséhez.
- A NIS2 (Network and Information Systems) irányelv európai uniós szabályozás a kiberbiztonsági képességek egységesítésére a szervezetek védelmének erősítésére, amely Magyarországon is kötelező érvényű.
- Az IEC 62443 az ipari vezérlőrendszerek védelmére vonatkozó szabvány és a leghatékonyabb kiberbiztonsági megoldás az ipar 4.0 számára. A termelési eszközök fokozott összekapcsolhatóságával (IIoT) új veszélyek jelennek meg, amelyeket be kell vonni a hagyományos kockázatkezelési folyamatokba. Az ipari automatizálási vezérlőrendszer-alkatrészek gyártójának (beszállítójának) a termékfejlesztési folyamatokba be kell építenie az IEC 62443 szerinti biztonsági követelmények figyelembevételét.