„Každé auto je jezdící počítač a pokud je něco jezdící počítač nebo jakýkoliv počítač, tak je šance, že se dá zneužít, že se do něj dá nabourat. Nemyslím fyzicky, ale na dálku,“ upozorňuje na rostoucí rizika kybernetických útoků Jaromír Tvrzník v pořadu Audit na platfotmě FocusOn.cz. Nový standard TISAX® pro kybernetickou bezpečnost v automobilovém průmyslu se za posledních 5 let masivně rozšířil a v roce 2025 by ho měl doplnit další standard VCS pro komplexní ochranu vozidel. Pořadem provází Pavol Plevják ze společnosti DQS.
Kybernetická nebo informační bezpečnost v automobilovém průmyslu je téma, které v posledních pěti letech výrazně rezonuje v celém odvětví. Podle Jaromíra Tvrzníka, odborníka na informační bezpečnost, existuje několik klíčových standardů, které firmy v tomto sektoru musí dodržovat.
„Základní standard je ISO 27001, který pokrývá informační bezpečnost v jakémkoliv odvětví. Tato norma je obecná, dá se aplikovat na pekárnu i na automobilovou výrobu,“ vysvětluje Tvrzník. Existuje již od roku 2005, přičemž její nejnovější revize proběhla před dvěma lety. Hlavní změny v aktuální verzi se týkají nových technologií, jako jsou cloudové služby, které v předchozí revizi z roku 2013 ještě nebyly tak rozšířené.
Automobilový průmysl si však podle Tvrzníka vytvořil vlastní specifický standard. „Automobilový průmysl obecně nevěří moc ISO normám, rád si vydává své standardy. V roce 2018 přišla první masověji rozšířená verze systému TISAX® ve verzi čtyři. Dnes už máme verzi šest,“ popisuje expert.
Speciální standard pro automobilový průmysl
TISAX® (Trusted Information Security Assessment Exchange) vychází z ISO 27001, ale je modifikovaný speciálně pro automobilový průmysl. Standard určuje, co jsou chráněné informace, přičemž vždy zahrnuje osobní údaje a prototypová data. Za posledních pět let došlo k masivnímu rozšíření tohoto standardu.
„V první vlně šly firmy, které pracovaly s prototypy, dnes už je to požadováno i od ostatních. Doba v informační bezpečnosti pokročila a přišlo se na to, že nejen síť, výrobu a celkové prostředí firmy je potřeba chránit, ale že každé auto je jezdící počítač,“ zdůrazňuje Tvrzník a dodává: „Pokud je něco jezdící počítač, tak je šance, že se to dá hacknout, zneužít a nabourat.„
Nové automobily v Evropské unii musí mít asistenty s SOS tlačítky a být připojeny k internetu, což zvyšuje riziko jejich zneužití. Proto byly vydány další standardy, které tuto problematiku řeší: ISO 21434 a TISAX®VCS (Vehicle Cyber Security).
Nový standard VCS pro kyberbezpečnost vozidel
V rozhovoru Tvrzník vysvětlil vztah mezi dvěma standardy pro kybernetickou bezpečnost vozidel: ISO 21434 a VCS. „Je to stejné jako s ISO 27001 a s klasickým TISAX®. ISO 21434 je norma, která přišla první a popisuje obecně procesy, a VCS ji vzalo a modifikovalo pro potřeby automobilového průmyslu, respektive pro to, aby to bylo konzistentní s TISAX®,“ říká expert.
Standard VCS je relativně nový, vyšel v roce 2024, proto zatím nemá mnoho klientů. ,,Do budoucna se počítá s tím, že všichni, kteří se zabývají elektrickými a elektronickými součástkami či systémy do aut, budou muset tyto požadavky plnit,“ vysvětluje Tvrzník. Dodává, že firmám vyrábějícím neelektronické komponenty bude stačit klasický TISAX®. „Pokud jsem firma vyrábějící blatníky, tak mě to nezajímá, stačí mi klasický TISAX®. Ale v momentě, kdy vyrábím jakýkoliv software do aut nebo součástky ovládající řídicí jednotky, tak na mě dříve či později VCS dopadne.„
Harmonogram zavádění a očekávaný vývoj standardů
Podle Tvrzníka zatím neexistuje oficiální harmonogram zavádění standardu VCS, pouze neoficiální odhady. „Říká se, že by v roce 2025 měl startovat, čili letos, ale o TISAX®jsem také slyšel už v roce 2018, když jsem s tím začínal, že do dvou let budou všichni v automotivu mít TISAX®. A reálně to až v roce 2020 začalo být masově rozšířené,“ uvádí Tvrzník.
Zajímavým aspektem standardu VCS je, že se více blíží produktové certifikaci než klasickému systémovému standardu. „Oproti TISAX®klasickému nebo oproti systému jakémukoliv, tak tohle by se dalo přirovnat více k produktové certifikaci. Tady tolik neřeším, jakým způsobem klasifikuji informace a jakým způsobem mám systémové procesy,“ vysvětluje expert a dodává, že nutnou podmínkou pro VCS je mít TISAX®.
VCS se zaměřuje na ochranu dílu v rámci jeho životního cyklu. „Když dělám řídicí jednotku, tak musím zabezpečit, že v jakékoliv fázi životního cyklu té součástky nebo té jednotky se tam nikdo nemůže modifikovat a hacknout a dát tam nějaký nástroj, který by byl škodlivý,“ popisuje Tvrzník a dodává, že audity budou probíhat spíše v provozu než v kanceláři.
Které automobilky budou standard VCS vyžadovat?
Na otázku, které automobilky budou vyžadovat nový standard VCS, Tvrzník odpovídá: „Já si osobně myslím, že do budoucna se k tomu přidají všichni ti hlavní výrobci v rámci těch automobilek, nicméně zatím samozřejmě to budou německé automobilky, to znamená, tak jako u TISAX® – Volkswagen Group, BMW, Mercedes, Daimler.„
Zajímavé je, že požadavky na kybernetickou bezpečnost se začínají objevovat i u japonských výrobců. „Už máme klienta, který chce zavádět ISO 21434 a ten dodává Toyotě, takže japonský trh,“ uvádí Tvrzník. Předpokládá se však, že v budoucnu se standardy sjednotí a dodavatelé nebudou muset implementovat více různých norem současně.
Legislativní požadavky a NIS2
Kromě standardů pro automotive musí organizace řešit i legislativní požadavky v oblasti kybernetické bezpečnosti. Nejdůležitějším tématem je v současnosti evropská směrnice NIS2, která se postupně implementuje do národních legislativ.
„Situace je jiná než u GDPR, což bylo nařízení, takže když jsme nestihli tu lokální legislativu vydat, tak platilo to nařízení v evropském směru. Nyní to je o to o tom, že bez té transpozice do lokálního práva ta směrnice pro nás neplatí,“ vysvětluje Tvrzník s tím, že v České republice, narozdíl od Slovenska, ještě nebyl přijat nový zákon o kybernetické bezpečnosti.
Původně měl zákon platit v roce 2023, pak byl posunut na leden 2025, a nyní se mluví o druhé polovině 2025, ale vzhledem k tomu, že v České republice je volební rok, může dojít k dalšímu zpoždění. Jedním z problematických bodů při zavádění požadavků směrnice je dodavatelský řetězec. „NIS2, stejně tak jako ISO, stejně tak jako TISAX®, mluví o dodavatelském řetězci, ale nikdo není schopen dát jasné instrukce k tomu, do kterého kolena má firma ten dodavatelský řetězec řešit,“ popisuje expert.
Integrace bezpečnostních standardů v organizacích
Pro firmy je důležité, jakým způsobem mohou integrovat různé bezpečnostní standardy ve své organizaci. Tvrzník vysvětluje, že to je možné, ale není to tak jednoduché, jak by se mohlo zdát.
„Občas jsem slýchával – dobře, zavedu si ISO 27001, nechám si ho certifikovat a mám hotovo i s novým kyberzákonem dle NIS2. Není to tak, jsou tam rozdílné věci,“ upozorňuje expert. Zatímco ISO 27001 je akreditovaný standard, NIS2 je legislativa, která podléhá výkladu zákona.
Tvrzník však doporučuje integraci: „Velmi to doporučuji integrovat a udělat nějakou nadstavbu pro NIS2 nad požadavky ISO, protože jsem přesvědčený, že naprostou většinu požadavků už firma plní díky tomu, že má kvalitně zavedený ISMS podle ISO 27001 či TISAX®.„
Nejčastější nedostatky v kybernetické bezpečnosti
Z pohledu auditora jsou nejčastějšími nedostatky v kybernetické bezpečnosti organizací následující problémy: nedostatek financí v IT, nezastupitelnost IT specialistů a opomíjení zabezpečení nástrojů pro vzdálenou správu.
„Nejčastější chyby – nedostatek financí v IT, to je zásadní problém. IT specialisté si mi pak stěžují a chtějí, abych napsal neshody nebo zjištění, protože nemohou přesvědčit management, že server, který provozují a je těsně před koncem životnosti, potřebují vyměnit, ale nejsou na to peníze,“ popisuje Tvrzník.
Dalším problémem je nezastupitelnost IT specialistů, zejména v menších a středních organizacích. „Nejsou dost velké na to, aby zaplatily dva lidi na plný úvazek, takže to řeší často externím dodavatelem nebo kamarádem na IČO, ale vůbec si neuvědomují, jak velké riziko to pro ně představuje,“ varuje expert.
Business kontinuita a kybernetická bezpečnost v automotive
V závěru rozhovoru Tvrzník zdůraznil důležitost správného řízení business kontinuity v kontextu kybernetické bezpečnosti. Podle něj si lidé často pletou havarijní plány z pohledu IT a business kontinuity management.
„U business kontinuity managementu řeším i to, že mi vypadne výrobní linka, že budu mít málo lidí, nebo že se mi ajťák vybourá v autě a půl roku nebude, a já za něj ve firmě nemám zástup,“ vysvětluje expert. Naproti tomu havarijní plány většinou řeší pouze situace, kdy někdo smaže data nebo zaútočí hacker.
V automobilovém průmyslu je business kontinuita zásadní, protože výpadky výroby mohou mít obrovské finanční dopady. „Spousta firem, které dodávají do Škodovky nějaké zásadní díly a v případě výpadku by zastavily linku Škodovce, tak dobře ví, jak vysoké pokuty za to jsou. Pak jsou to takové historky, že se lítá pro díl vrtulníkem do Německa, protože zastavit linku Škodovce jsou desetitisíce euro za půl hodiny,“ uzavírá Tvrzník.
Celý rozhovor si můžete poslechnout jako video nebo podcast:
- Jak probíhá kvalifikace auditora pro kybernetickou bezpečnost v automotive?
- Jaké jsou zkušenosti z auditů TISAX® v různých zemích světa, včetně překvapivě vysoké úrovně zabezpečení v Jihoafrické republice?
- Jak lze efektivně implementovat standardy informační bezpečnosti v menších firmách s omezenými zdroji?
- Jaký je přístup ke kybernetické bezpečnosti u čínských výrobců automobilů vstupujících na evropský trh?
- Jak se budou vyvíjet požadavky na kybernetickou bezpečnost v souvislosti s umělou inteligencí v automobilech?
Autor: redakce
FocusOn je zpravodajský web zaměřený na nové trendy v ekonomice s důrazem na využívání moderních technologií.
