White Paper

Sistemas de Gestão de Cibersegurança para o mercado Automotivo

A nova tecnologia de veículos traz consigo crescentes ameaças à segurança, que devem ser abordadas através da integração das melhores práticas de segurança cibernética no ciclo de vida dos veículos, desde o projeto, a produção e a manutenção até o descomissionamento.

O contexto regulatório

A fim de proteger os veículos rodoviários e os seus passageiros de ameaças à segurança, a Comissão Econômica para a Europa das Nações Unidas (UNECE) introduziu requisitos de base para as práticas de cibersegurança dos veículos.

Regulamento UN-R155

Até julho de 2024, este regulamento se tornará plenamente aplicável e exigirá que todos os fabricantes de automóveis implementem e apliquem um CSM ao seu ciclo de vida do produto, incluindo os componentes fornecidos por terceiros, e forneçam prova de tal implementação durante a fase de homologação. Isto terá um efeito significativo em todo o ecossistema automóvel e nas partes interessadas, uma vez que o incumprimento dos requisitos regulamentares poderá afetar a capacidade de comercialização dos veículos.

ISO/SAE 21434

Esta é a norma referida no Regulamento UN-R155, que representa uma "diretriz" aprovada para garantir a conformidade com o R155 e, assim, obter a aprovação para a homologação de veículos, e desenvolve o conceito de um Sistema de Gestão de Segurança Cibernética.

ISO/PAS 5112

Esta norma foi lançada em 2022, a fim de fornecer diretrizes para a gestão de um programa de auditoria de segurança cibernética automotiva, fornecendo critérios específicos para a auditoria de CSMS baseados na ISO/IEC 21434.

Elementos chave do CSMS

O Sistema de Gestão de Segurança Cibernética (CSMS) é "uma abordagem sistemática baseada em risco que define processos organizacionais, responsabilidades e governança para tratar riscos associados a ameaças cibernéticas a veículos e protegê-los contra ataques cibernéticos”. Para garantir uma gestão adequada dos riscos de cibersegurança ao longo de todo o ciclo de vida do produto, o CSMS segue o Modelo V Automotivo, garantindo uma consideração adequada da cibersegurança desde a fase de conceito até a fase de desativação de sistemas elétricos e eletrônicos em veículos rodoviários, incluindo os seus componentes e interfaces.

Como podemos ajudar

A abordagem da Reply para a implementação do CSMS usa a nossa ampla experiência no setor de segurança cibernética automotiva para executar estratégias feitas sob medida e adaptadas às necessidades de nossos clientes exclusivos. Devido às nossas habilidades relacionadas a tópicos de consultoria de segurança, integração de sistemas e operações de segurança, a nossa oferta de segurança automotiva fornece serviços de consultoria e implementação de soluções integradas.

Serviços da Reply

Avaliação e definição de estratégia

  • Avaliar a atual postura de segurança cibernética para atender ao cumprimento das normas UN-R155 e UN-R156

  • Avaliar a conformidade com outros regulamentos aplicáveis (por exemplo, IATF, TISAX)

  • Fornecer uma análise detalhada de lacunas

  • Definir as estratégias e atividades de remediação para atender aos requisitos regulamentares

Atividades de apoio

Picture

Cibersegurança Engenharia
e segurança por design

Engenharia de cibersegurança do veículo em conformidade com a norma ISO/SAE 21434 e o Regulamento UNECE/WP R155.

Picture

Gestão de riscos de terceiros

Gestão dos riscos relacionados aos fornecedores ao longo do ciclo de vida do contrato (avaliação, monitorização de fornecedores,...)

Picture

Segurança ICT dos veículos conectados

Serviços de segurança relacionados ao aplicativo de back-end usado por veículos conectados (por exemplo, plataforma de prestação de serviços, diagnóstico autenticado,...)

Picture

Desenvolvimento e testes seguros

Desenvolvimento e execução seguros de testes de penetração para componentes ou redes de veículos

Picture

Segurança de fabricação

Implementação, integração e gestão do V-PKI (SW Sign, Identidade ECU, ADA)

Picture

Operação CSMS e inteligência de ameaças

  • Implementação e gestão de V-SOC e PSIRT

  • Gestão de vulnerabilidades