Kiberbiztonság

GAP-elemzés és Kiberbiztonsági Irányítási Rendszer (CSMS) kialakítása

Az GAES által nyújtott GAP-elemzési szolgáltatás az Ön szervezetének meglévő kiberbiztonsági gyakorlatait az ISO/SAE 21434 és az UNECE R155 követelményeivel veti össze, és szisztematikusan feltárja a hiányosságokat, illetve a fejlesztendő területeket.

Az elemzés eredményeként:

• Meghatározható, hogy a jelenlegi szervezeti struktúra milyen mértékben felel meg a vonatkozó előírásoknak,
• Egyértelművé válnak a folyamatokban, dokumentációban és műszaki megoldásokban meglévő gyenge pontok,
• Stratégiai ütemterv készül a célzott megfelelési szint eléréséhez.

A GAP-elemzést követően, a feltárt megállapításokra építve szervezetre szabott CSMS-infrastruktúrát alakítunk ki. Ennek során:

• Kialakítjuk a vezetői irányelveket és a felelősségi mátrixot,
• Integráljuk a TARA (Threat Analysis and Risk Assessment) folyamatot,
• Biztosítjuk a kiberbiztonsági munkatermékek nyomon követhetőségét,
• Gondoskodunk a folyamatok ISO/SAE 21434 szerinti következetes dokumentálásáról,
• Létrehozzuk a belső audit, a helyesbítő intézkedések és a folyamatos fejlesztés mechanizmusait.

Miért fontos?

A CSMS nem csupán dokumentumok összessége, hanem egy olyan biztonsági kultúra, amely biztosítja, hogy a szervezet a jármű teljes életciklusa során rendszerszinten felkészült legyen a kiberfenyegetések kezelésére. A CSMS sikeres bevezetése az R155 típusjóváhagyás előfeltétele, és jelentős versenyelőnyt biztosít az OEM-ekkel való együttműködések során.

Freegan chia ullamco reprehenderit chicharrones, echo park esse tilde. 90’s hammock do
cupidatat, edison bulb mumblecore vape cloud bread put a bird on it dreamcatcher artisan
lomo raw denim.

Fenyegetéselemzés (TARA) alkalmazása és a kiberbiztonsági koncepció kialakítása

A modern járművekben alkalmazott elektronikus vezérlőegységek (ECU-k), vezeték nélküli kommunikációs protokollok és szoftverrendszerek egyre összetettebb fenyegetéseknek vannak kitéve. Ezért a járműfejlesztési folyamat korai szakaszában a kiberfenyegetések azonosítása és a kockázatok kontroll alá vonása a biztonság és a jogszabályi megfelelés alapfeltétele.

Az GAESnál az ISO/SAE 21434 szabvánnyal összhangban végzett TARA alkalmazások révén meghatározzuk, hogy a rendszerkomponensek milyen mértékben sebezhetők a potenciális fenyegetésekkel szemben. A folyamat során:

• Meghatározzuk a rendszereszközöket és az értékes erőforrásokat (assets),
• Modellezünk lehetséges támadási útvonalakat (attack paths),
• Káresemény-forgatókönyvek és valószínűségi elemzések alapján kockázati pontszámot számítunk,
• Az eredmények mentén kiberbiztonsági célokat (cybersecurity goals) határozunk meg és priorizálunk.

A TARA kimenetei a kiberbiztonsági mérnöki munka alapját képező munkatermékek létrehozásához szolgálnak, és az UNECE R155 Annex 5 követelményeivel összhangban kerülnek strukturálásra.

Az azonosított biztonsági kockázatok csökkentésére kidolgozott megoldásokat kiberbiztonsági koncepcióként (cybersecurity concept) integráljuk a rendszerarchitektúrába. Ennek keretében:

• Meghatározzuk a biztonsági célokhoz kapcsolódó műszaki kontrollokat és ellenintézkedéseket,
• Megoldási javaslatokat dolgozunk ki többek között a kommunikációbiztonság, az adatintegritás, a hozzáférés-vezérlés és a szoftverfrissítési mechanizmusok területén,
• Biztosítjuk a biztonsági követelmények nyomon követhetőségét a tervezési folyamat során.

Ez a megközelítés megalapozza a fenntartható kiberbiztonságot a termék teljes életciklusa alatt.

A tesztelési és validációs stratégia meghatározása és végrehajtása

A kiberbiztonsági intézkedések eredményessége nem csupán elméleti szinten meghatározott irányelveken múlik, hanem azon is, hogy ezek az intézkedések a gyakorlatban mennyire hatékonyak. Az Gaes az ISO/SAE 21434 és az UNECE R155 követelményeivel összhangban nemcsak a tesztelési stratégia kidolgozását, hanem annak professzionális végrehajtását is biztosítja, ezáltal mérhetővé téve a járművek kiberbiztonságát.

A stratégia meghatározása

A tesztelési folyamat első lépése a biztonsági követelményekhez és a rendszerarchitektúrához illeszkedő validációs tervek kialakítása. Ennek keretében:

• Minden egyes biztonsági célhoz megfelelő tesztmódszereket rendelünk,
• Azonosítjuk a kritikus rendszerkomponensek támadási felületeit (CAN, TCU, OTA, Bluetooth, Wi-Fi stb.),
• Meghatározzuk a tesztelés hatókörét, módszertanát és a sikerességi kritériumokat,
• Szükség esetén automatizációs infrastruktúrákkal optimalizáljuk az ismételt teszteléseket.

A végrehajtás

A meghatározott stratégiára építve az Gaes szakértői helyszíni vagy laboratóriumi környezetben átfogó tesztelési tevékenységeket végeznek:

• Funkcionális tesztek: Annak vizsgálata, hogy a meghatározott biztonsági követelmények a rendszerben funkcionálisan megfelelően működnek-e.
• Fuzz tesztelés: Váratlan adatbevitelek alkalmazásával mérjük a szoftverek hibatűrését az interfészeken és protokollokon.
• Penetrációs tesztek: Valós támadási technikák szimulálásával feltárjuk a rendszer sebezhetőségeit.
• OTA és vezeték nélküli biztonsági tesztek: A szoftverfrissítések, valamint a Bluetooth- és LTE-kapcsolatok titkosítási, hitelesítési és hozzáférés-vezérlési szempontból történő vizsgálata.

A biztonsági teljesítmény igazolása

A teszteredmények dokumentálása kulcsfontosságú a megrendelői bizalom erősítésében, valamint az R155 típusjóváhagyási folyamatok során a műszaki megfelelőség igazolásában. Az Gaes tesztelési szakértelme nemcsak a problémák azonosítására terjed ki, hanem fenntartható kiberbiztonságot támogató fejlesztési és javító javaslatokat is biztosít.

Beszállítói menedzsment

Az autóiparban a járműgyártók kiberbiztonsági kötelezettségei nem korlátozódnak kizárólag a saját rendszereikre. Az UNECE R155 a teljes ellátási láncra kiterjedő biztonsági megközelítést ír elő, és elvárja a gyártóktól, hogy olyan struktúrákat alakítsanak ki, amelyekkel beszállítóik folyamatait is képesek felügyelni. Ebben az összefüggésben a beszállítói menedzsment a kiberbiztonsági megfelelés szempontjából stratégiai felelősséggé válik.

Az Gaes által nyújtott beszállítói menedzsment szolgáltatás támogatja az OEM-eket és az első szintű beszállítókat abban, hogy az alvállalkozóikkal fennálló műszaki és folyamatbeli együttműködéseiket az ISO/SAE 21434 és az UNECE R155 követelményeivel összhangba hozzák. Ennek keretében:

• Meghatározzuk a beszállítókra vonatkozó megfelelési elvárásokat és a minimális biztonsági kritériumokat,
• Ellenőrizzük a munkatermékek (kiberbiztonsági célok, TARA-kimenetek, V&V dokumentációk) pontosságát és következetességét,
• Elemezzük és priorizáljuk a beszállítói kockázati szinteket,
• Kidolgozzuk az auditálási terveket és az értékelési kritériumokat,
• Lebonyolítjuk a CIA (Cybersecurity Interface Agreement) folyamatot.

Beszállítói audit és képzési támogatás

Az Gaes nem csupán a műszaki dokumentáció értékelésére szorítkozik, hanem belső auditokat, képzéseket és tudatosságnövelő programokat is szervez a beszállítók számára. Ennek eredményeként:

• Növekszik a beszállítók kiberbiztonsági érettsége,
• Erősödik a hozzájárulás az OEM-ek biztonsági céljaihoz,
• Megelőzhetők a típusjóváhagyási folyamatok során felmerülő váratlan megfelelőségi eltérések.

Előnyök és hatás

• Minimalizálhatók a beszállítói eredetű biztonsági sérülékenységek,
• A jogszabályi megfelelés az ellátási lánc teljes hosszában biztosítottá válik,
• Erősödik a beszállítók műszaki felkészültsége és felelősségtudata.

Az Gaes a beszállítói menedzsmentet nem pusztán ellenőrzési mechanizmusként kezeli, hanem a hosszú távú kiberbiztonsági kultúra szerves részeként értelmezi.