TISAX התקן המחמיר של יצרניות הרכב
השאירו פרטים כאן לקבלת מידע טלפוני אודות TISAX או התקשרו ל-03-7176281
TISAX- התקן המחמיר של יצרניות הרכב
תעשיית הרכב היא אחת הגדולות בעולם, עם מכירות מוערכות ב-2.95 טריליון דולר לשנת 2022. זוהי גם תעשייה שעוברת שינוי עמוק הודות לשרשרות אספקה גלובליות ולטרנספורמציה דיגיטלית – מה שאומר שדרישות האבטחה והרגולציה לתעשיית הרכב הן עוברים גם שינוי עמוק.
נתחיל עם השינויים הטכנולוגיים בלבד. השינויים הללו מונעים (תרתי משמע) על ידי העלייה ביישומי נהיגה אוטונומית, מערכות קישוריות לרכב וכלי רכב חשמליים להלן "מחשב עם גלגלים". כל אלו הם שינויים מהותיים באופן שבו מכוניות פועלות, כאשר הרבה יותר מפעולות הרכב תלויות בנתונים, תוכנה וטכנולוגיה.
לצד ההתפתחות הטכנולוגית, יש עלייה בהיקף ומורכבות שרשרת האספקה העולמית.
ליצרניות רכב גדולות יש כיום אלפי ספקים ומפעלי הרכבה הפזורים ברחבי העולם; עובדה זו חושפת את היצרניות לסיכוני אבטחת מידע עוד יותר, שכן עליהן להעריך את האבטחה של כל אותם ספקים איתם לעיתים נדרש לשתף כמות עצומה של נתונים.
כלומר, הארגון יכול למקסם את ההגנה על המערכות שלו, אולם הפרצות יכולות לנבוע דווקא מספקים להם גישה למערכות או נכסי המידע שלו.
אמנם ישראל קטנה, אך נחשבת למעצמה בתחום טכנולוגיות הרכב המתקדמות, חלק מהחברות בתהליכי בשלות מתקדמים וכבר עתה מהווים חלק משרשרת האספקה של יצרניות הרכב הגדולות.
יצרניות הרכב מבינות את כל זה ולכן ניסחו לפתרון חזק, רוחבי, שיכול לשרת את כל התעשייה.
אז בואו נדבר על איך הפתרון הזה נראה: TISAX, התקן של יצרניות הרכב.
מסגרת התקן:
בגדול, TISAX היא מסגרת לניהול אבטחת מידע המותאמת לתעשיית הרכב. היא מאפשרת לחברות בסקטור האוטומוטיב להשיג סטנדרט מוכר של אבטחת מידע, כך שניתן יהיה לסמוך עליהם בשרשרת האספקה העולמית לרכב.
TISAX גם מאפשרת לחברות להעריך את האבטחה של אחרים בשרשרת האספקה, לפני החלפת מידע סודי עם אותם גורמים. מדובר למעשה על מאגר משותף וסגור לתעשייה הספציפית – ומבחינתן, "אם אתה לא שם, אתה לא קיים".
במובן זה, TISAX היא רגולציה ספציפית לתעשייה כמו רבים אחרים: PCI DSS לשירותי סליקה; HIPAA מפרט תקני פרטיות עבור שירותי בריאות; או תקן NIST 800-171 לקבלני ביטחון.
TISAX עושה את אותו הדבר עבור תעשיית הרכב.
TISAX היא יוזמה של האגודה הגרמנית לתעשיית הרכב, הידועה בשם VDA. ה-VDA פיתח את הכלי להערכת אבטחת מידע (ה-VDA ISA) בשנות ה-2010 שבה יכולים ספקים לתעשיית הרכב להשתמש כדי להוכיח את רמת האבטחה שלהם. הערכה זו התפתחה למסגרת TISAX והסמכת TISAX משמשת כעת כחותמת אישור לכל ספק בתעשיית הרכב.
התקן שונה מ-ISO 27001?
המסגרת עצמה מאמצת דרישות רוחביות מתקן ISO 27001 לאבטחת מידע, אם כי TISAX ו-ISO 27001 נבדלים זה מזה בכמה דרכים בולטות.
לדוגמה, ISO 27001 הוא תקן גנרי, לכל העולם ולכל התעשיות; משמעות הדבר היא שהעדכונים בו נמשכים לאט, הגרסה האחרונה שלו פורסמה ב 2013, ורק עכשיו כעשור אחרי פורסמה מהדורה חדשה.
בינתיים, עולם אבטחת המידע השתנה, האיומים, הסיכונים והטכנולוגיות השתנו ללא היכר לצד מגמה למעבר לשרותי ענן.
TISAX לעומת זאת, מנוהל על ידי גוף פרטי וקטן בהרבה, כך שהדרישות שלו נבדקות (ומתעדכנות לפי הצורך) מדי שנה.
שתי המסגרות דורשות ביקורת, אבל TISAX נותנת לחברות יותר חופש לבחור את סוג הביקורת ואת רמת הציות שאתה רוצה להשיג.
ISO 27001 מאפשר רק מודל ביקורת יחיד ואחיד.
TISAX קיים במיוחד כדי ליצור אמצעי בטוח ומאובטח לחילופי מידע בשרשרת האספקה של הרכב. ברגע שספק אושר כתואם TISAX, הוא יכול לתפקד בצורה יעילה יותר בתוך שרשרת האספקה הזו, ולהעביר נתונים רגישים כמו אבות טיפוס עיצוב, מפרטי רכיבים, תוצאות מבחני ריסוק, אלגוריתמי תוכנה, נתונים אישיים ועוד.
ההצדקה העסקית להסמכת TISAX היא גבוהה. מדובר על הסמכה שיכולה לפתוח דלתות חדשות ליצרנים ולספקי שירותים שרוצים להיכנס לפעילות ישירות מול היצרניות. עם כל מה שנאמר, השגת הסמכת TISAX עדיין דורשת תכנון ותשומת לב לפרטים.
אבני הדרך עיקריות בתהליך:
מסע הציות של הארגון ל TISAX בנוי ממספר שלבים:
- הגדרת רמת תאימות
- הגדרת סקופ
- ביצוע הערכה עצמית ראשונית
- מעבר מבדק
- טיפול בליקויים
- הצגת ראיות לתיקון
עם זאת, לתאימות TISAX יש כמה מאפיינים ייחודיים. ENX מגדיר את היקף הביקורות של TISAX, ולא הארגון. כלומר, מבוצע תהליך אפיון הבקרות הישימות לארגון. לכן, חברה המבקשת הסמכה לתאימות TISAX חייבת תחילה להירשם ב-ENX, ולהגיש הערכה עצמית של אבטחת מידע על סמך שאלון שפותח על ידי ה-VDA.
בשלב ההתחלתי הזה הארגון נדרש להחליט איזו רמה של תאימות TISAX היא רוצה להשיג. יש שש רמות, מ-0 עד 5, אבל הסמכה פורמלית מתחילה רק ברמה 3 ומעלה. הרמה שתבחר מכתיבה את מספר הבקרות שתצטרך ליישם, לבדוק ולתעד.
תאימות TISAX מחייבת גם ביקורת בלתי תלויה של מבקר TISAX מאושר. כלומר צד ג', שהוסמך ע"י איגוד ENX.
תחילת העבודה עם TISAX:
החדשות הטובות הן שרבים מהבקרות הכלולות ב-TISAX מוכרות מתקן ISO 27001, לביסוס ISMS, באופן דומה למגוון רחב של רגולציות.
עם זאת, ישנן בקרות ייחודיות לתחום הרכב, ישנו הבדל ברמת "הקשחת" הדרישות, וכן בהעמקת הבדיקה.
השאלה המעשית יותר עבור CISOs היא שאלת הניהול הכולל וסנכרון הדרישות. מרבית מהארגונים פועלים בשווקים שונים, ונתונים לרגולציות שונות, בינלאומיות ומקומיות.
האתגר האופרטיבי הוא לנהל מספר מערכות תקינה ברמה גבוהה, באופן שיודע לסנכרן דרישות דומות ומצד שני לטפל בצורה מיטבית בדלתאות.
ניהול פרויקט בצורה משולבת הינו קריטי ל-CISO שמצד אחד צריך לדאוג לטיפול בכל הבקרות, ומצד שני לנטר את אפקטיביות היישום וההטמעה.
Gilad Beery
לכל המאמרים שלמעוניינים להתייעץ עם מומחי אבטחת המידע שלנו?
-
טלפון
-
Mordechai Rozanski 18
Rishon Lezion -
Sun - Thu
08:00-17:00