TABLE OF CONTENTS:
Dla osób, które nie mają zbyt dużo wspólnego z szeroko pojętym sektorem motoryzacji, może wydawać się dziwne, że międzynarodowe instytucje, takie jak Europejska Komisja Gospodarcza Organizacji Narodów Zjednoczonych, swoimi regulacjami mają wpływ na rynek producentów samochodów i bezpieczeństwo.
Mam tu na myśli znane już z naszego bloga wytyczne, kryjące się pod akronimami R155 oraz R156. Jako Certified Ethical Hacker pomagam firmom we wdrożeniu tych regulacji, a dziś podpowiem ci, kto w twojej firmie, bądź poza nią, może wesprzeć twoją organizację w zaadaptowaniu procesów do wymogów związanych z cyberbezpieczeństwem.
Regulacja R155 wprowadza i nakłada obligatoryjne zmiany na producentów z branży automotive. Dotyczy to wszystkich elementów łańcucha dostaw tej gałęzi przemysłu, a wymagania koncentrują się na zapewnieniu cyberbezpieczeństwa i podkreśleniu wysiłku, by rzeczone osiągnąć. Cyberbezpieczeństwo nie jest towarem, po który idziemy do sklepu i kupujemy na sztuki – osiąga się je zazwyczaj (ale też nie tylko) jako wynik dobrze działającej machiny – procesu, w którym jesteśmy gotowi na niespodzianki.
Samo użycie słowa proces może być mylące, bo działania te wymagają ogromnego nakładu pracy i sztuką jest zrobić to z punktu branżowego lege artis. Znamienne jest to, że organizacje, których przepisy dotyczą, mają wyznaczony termin wdrożenia regulacji na koniec roku 2023, czyli w sumie w realiach biznesowych, można bez nadużycia powiedzieć, że na już, jak nie na wczoraj.
Istnieją silne więzy pomiędzy regulacją R155 a wymienionym już standardem ISO/SAE 21434:2021. Standard specyfikuje wymagania cyberbezpieczeństwa na systemy elektryczne i elektroniczne istniejące w pojazdach, a sama norma nie określa konkretnej technologii ani nie wyszczególnia rozwiązań związanych z cyberbezpieczeństwem.
ISO/SAE 21434:2021 daje jednak wytyczne, by wprowadzić – na poziomie zarówno organizacji jak i projektu – system do zarządzania cyberbezpieczeństwem, ustanowić polityki, które adresują problemy związane z zabezpieczeniem pojazdów, ale też dokonywać ciągłych aktywności, by ukazać wysiłek, wkładany w zapewnienie bezpieczeństwa informatycznego.
Takimi aktywnościami mogą być procedury odpowiedzi na incydenty cyberbezpieczeństwa czy stosowanie sprawdzonych na rynku bezpiecznych sposobów opracowywania oprogramowania. Trzeba jednak stwierdzić, że sama norma ISO SAE 21434 nie dotyka problemu cyberbezpieczeństwa – idzie raczej w kierunku zabezpieczenia systemów komputerowych wdrożonych w pojazdach – akcentowana jest tam także potrzeba zarządzania ryzykiem cybernetycznym.
Z kolei regulacja R156 głównie koncentruje się na kwestiach związanych z samymi pojazdami (m.in. homologacji), a dokładniej oprogramowaniu, i formułuje wymagania w zakresie jego aktualizacji i ich zarządzaniu. Regulacja R156 jest zaadresowana w standardzie ISO 24089:2023.
Niczym odkrywczym jest powiedzieć, że współcześnie samochód ma więcej wspólnego z poruszającym się komputerem, niż tylko napędzanym przez paliwo pojazdem. Jakich kompetencji w zespole potrzebujesz, żeby dbać o cyberbezpieczeństwo w szeroko rozumianej branży motoryzacyjnej?
Sam dział inżynierii, który opracowuje systemy na potrzeby pojazdów, jest środowiskiem dość specyficznym i swoim zakresem obejmuje biegłość w systemach wbudowanych, a co za tym idzie, wymagana jest wiedza z zakresu mikrokontrolerów i opartych na nich realizacji asemblerowych mnemoników.
Mnogość funkcji i potrzeb przyprawia o zawrót głowy, a biorąc poprawkę na braki kadrowe na rynku IT, nabawić się można porządnej migreny. Dbanie o cyberbezpieczeństwo nie jest łatwą sprawą, jednak warto zatroszczyć się o nie wcześniej niż później. Skutki zaniedbania pojawią się bardzo szybko, a ich naprawa będzie znacznie kosztowniejsza niż doświadczony zespół, który przygotuje twoją organizację do nowej rzeczywistości, gdzie prym wiodą R155 oraz R156.
