Co to jest standard TISAX®? Ochrona informacji w branży automotive

W sektorze automotive wyłącznie podmioty, które są w stanie zapewnić wysoki poziom bezpieczeństwa informacji, są wartościowymi partnerami biznesowymi. Dotyczy do podwykonawców, dostawców surowców, biur projektowych czy finalnych producentów aut. Chcąc uniknąć wielokrotnej kosztownej weryfikacji kontrahentów, branża przyjęła standard TISAX®. Jakie zapewnia korzyści? Jakie są poziomy kontroli? Przekonajmy się.

Co to jest standard TISAX®?

Niemalże co trzeci patent motoryzacyjny pochodzi z Europy. Wartość 10 największych europejskich firm z branży automotive sięga 200 mld euro, a sam sektor – pośrednio i bezpośrednio – daje zatrudnienie blisko 6% wszystkich pracujących Europejczyków. Według analizy firmy McKinsey roczne wydatki na badania i rozwój w tym sektorze przekraczają 60 miliardów euro i stanowią 30% wszystkich europejskich wydatków na tego typu cele. Czy powinno nas więc dziwić, że bezpieczeństwo informacji i zaufanie są jednymi z najważniejszych kwestii branych pod uwagę przy wyborze potencjalnych kontrahentów? W żadnym wypadku.

Inicjatywa w tej kwestii wyszła ze strony Niemieckiego Stowarzyszenia Przemysłu Motoryzacyjnego (VDA), co również nie powinno dziwić – w 2022 roku prawie co 4 auto wyprodukowane w Europie pochodziło właśnie z tego kraju. W odpowiedzi na potrzeby branży w 2015 roku stowarzyszenie opracowało i opublikowało pierwszy katalog pytań VDA ISA, który stał się podstawą dla standardu TISAX®.

Rdzeniem katalogu VDA ISA są normy bezpieczeństwa ISO/IEC 27001 oraz ISO/IEC 27002. Powstał on w celu ujednolicenia praktyk dotyczących bezpieczeństwa informacji w branży motoryzacyjnej. Jego udoskonalona wersja służy obecnie do oceny potencjalnych kontrahentów dla firm z sektora automotive. Jest on także wykorzystywany do celów wewnętrznych – na jego podstawie przeprowadza się audyty, które pomagają udoskonalić procesy związane z ochroną danych.

Chociaż katalog VDA ISA odniósł sukces i został pozytywnie przyjęty przez branżę, każdorazowe przeprowadzanie audytów wiązało się z wysokimi kosztami. Niemieckie Stowarzyszenie Przemysłu Motoryzacyjnego poradziło sobie jednak także z tym problemem. W 2017 roku przedstawiło oparty na katalogu VDA ISA standard TISAX® (Trusted Information Security Assessment Exchange). Rozwiązanie to umożliwia firmom z sektora motoryzacyjnego ustandaryzowaną ocenę poziomu bezpieczeństwa informacji i wymianę wyników przeprowadzonych audytów.

Jak odbywa się wymiana informacji w ramach TISAX®?

Do wymiany informacji wykorzystywana jest platforma stowarzyszenia ENX (European Network Exchange), które jest też właścicielem praw do znaku TISAX®. Jest ona otwarta dla wszystkich podmiotów działających w sektorze automotive lub współpracujących z nimi. Wyniki audytu mogą być opublikowane na platformie i będą tam dostępne dla przyszłych kontrahentów. Sprawia to, że nie trzeba za każdym razem ponownie sprawdzać, czy wybrana firma jest godna zaufania.

Wymiana informacji na platformie ENX odbywa się na dwa sposoby:

• kontrahent zleca wykonanie audytu w formie, z którą chce nawiązać współpracę,
• firma udostępnia wyniki przeprowadzonego u siebie audytu i udostępnia je:
  • wskazanym partnerom biznesowym,
  • wszystkim członkom TISAX®.

Decyzja o tym, komu i w jakim zakresie platforma udostępni informacje o wyniku audytu, należy do firmy, która była poddawana kontroli.

Poziomy oceny w standardzie TISAX®

Zlecając audyt, firma może określić, jak bardzo szczegółowa ma być kontrola. Działania wymagające przetwarzania najbardziej wrażliwych i poufnych danych wymagają najwyższego poziomu ochrony danych.

• Poziom AL1 – osoba odpowiedzialna za współpracę z TISAX wypełnia kwestionariusz VDA ISA. Na tej podstawie podmiot może ocenić, czy potrzebuje dalszych działań, które pozwolą mu osiągnąć wyższy poziom bezpieczeństwa informacji.
• Poziom AL2 – kontrolę przeprowadzają zewnętrzni audytorzy. Weryfikują oni informacje podane przez audytowany podmiot. Działania kontrolerów mają formę zdalną.
• Poziom AL3 – zewnętrzny audytor przeprowadza kontrolę w formie stacjonarnej. Weryfikuje przedstawione przez firmę informacje oraz rozmawia z pracownikami.

Poziom kontroli powinien być dobrany odpowiednio do poufności i wagi informacji przetwarzanych przez podmiot. Niektóre z nich mogą zapewniać firmom przewagę konkurencyjną lub być objęte ochroną patentową, a ich wyciek mógłby stanowić poważny cios dla przedsiębiorstwa. Certyfikat uzyskany po przejściu kontroli jest ważny przez 3 lata.

TISAX® 6.0 – jakie zmiany wprowadza? Od kiedy obowiązuje?

Na przestrzeni lat VDA doskonaliło swój katalog ISA, dostosowując go do nowych wyzwań i oczekiwań branży. Od 1 kwietnia 2024 roku audyty prowadzone w ramach TISAX® opierają się na wersji 6.0 VDA ISA.

Co obejmują zmiany w wersji 6.0?

• Odświeżony katalog ochrony danych.
• Większy nacisk na cyberbezpieczeństwo, w tym nowe odniesienia do normy ISO/IEC 27001 oraz NIST Cybersecurity Framework 1.1.
• Angielski stał się językiem wiodącym.
• Większa kontrola dostępności środowisk IT i OT.

Nie są to jednak wszystkie zmiany wprowadzone przez nową wersję. Chociaż unijne prawodawstwo stara się dostosować regulacje do nowych zagrożeń związanych z cyberbezpieczeństwem, VDA uznało, że branża automotive wymaga dodatkowych rozwiązań. Dlatego nowa wersja VDA ISA w szczególny sposób porusza zagadnienia związane z cyberbezpieczeństwem, takie jak:

• wykrywanie i reagowanie na incydenty,
• czas reakcji i stopień koordynacji odpowiedzi na ataki cybernetyczne,
• wzrost odporności na cyberataki,
• możliwość szybkiego odzyskania zdolności po zaistniałym incydencie.

W przyszłości można spodziewać się dalszych zmian, których celem będzie poprawa bezpieczeństwa informacji w cyberprzestrzeni.

Artykuł powstał przy współpracy z serwisem https://swiattechnologii.pl/.

Powiązane wpisy:

Czym jest i jak stworzyć drzewko decyzyjne? Blockchain w logistyce i zarządzaniu łańcuchem dostaw – realne zastosowania i przyszłość