Minden amit tudnod kell a TISAX-ról
Hüvelyes Péter
2023.03.23
A TISAX megalkotásának háttere
A vállalatok működése az elmúlt évtizedekben gyökeresen átalakult, nagy mértékben megnőtt az informatikától való függőségük. Mára elképzelhetetlen olyan vállalat, amely ne használna informatikai rendszereket működése szinte minden területén. Az informatikai támogatás megvalósításához egyre nagyobb számítástechnikai kapacitás, egyre erősebb informatikai infrastruktúra, valamint ezek üzemeltetéséhez megfelelő, speciális szaktudás szükséges. Több ok miatt bevált gyakorlat, hogy ezen feladatok nagy részét, az informatikai infrastruktúra üzemeltetését és akár magát az infrastruktúrát a rajta futó alkalmazásokkal együtt a vállalatok kiszervezik külsős, erre szakosodott vállalkozásoknak, majd azokat felhőszolgáltatásként veszik igénybe.
A felhőszolgáltatások előretörése mellett az internetre csatlakoztatott IoT eszközök és az Ipar 4.0 is egyre inkább terjed. Ez a trend azonban számos előnye mellett sok újfajta veszélyt, kockázatot is hordoz. A vállalat működése nagy mértékben kiszolgáltatottá vált az azt támogató informatikától, és ezáltal az azt szolgáltató vállalatoktól. Hogyha az adott folyamatot támogató informatikai szolgáltatás nem érhető el, akkor már az érintett folyamat sem tud működni. Ha az informatikai szolgáltatásban hiba, szolgáltatás megszakadás történik, akkor az a támogatott folyamat hibás működését is eredményezi. Ez könnyen bekövetkezhet akárcsak a szoftver hibájából, üzemeltetési problémából, vagy kibertámadásból (pl. ransomware) kifolyólag, és mindegyik jelentős kárt okozhat. De gondolhatunk az információ bizalmassági kérdéseire is, hiszen a vállalat működését támogató rendszerekben lévő adatok bizalmas üzleti információkat jelentenek, illetéktelenek általi megismerésük beláthatatlan üzleti kárt, veszteséget, akár jogi következményeket vonhat maga után.
A fentiek miatt egyre fontosabb a vállalatok számára nem csak saját, hanem beszállítóik információbiztonsági rendszereinek biztonságos működése is. A járműgyártásra jellemző különleges elvárások, kiemelt minőségi és biztonsági követelmények miatt pedig kiemelten fontos ez az autóipar esetében. Ennek biztosítása érdekében a német autóipari vállalatok szakmai képviseleti szervezete (VDA – Verband der Automobilindustrie / Német Autóipari Szövetség) 2017-ben létrehozott egy autóipari információbiztonsági követelmény- és auditálási rendszert TISAX (Trusted Information Security Assessment Exchange) néven. Bár ezek részlegesen az autóipari minőségirányítási szabvány-követelményekben már eddig is megjelentek, viszont a TISAX-ban tisztult le egységes formában, ez egységesíti a kiberbiztonsági elvárásokat az autóipari szereplők számára. A TISAX szabványnak két nagy előnye van: egyrészt meghatároztak egy kötelezően elérendő, egyenszilárd és magas biztonsági szintet, másrészt közös nevezőt hoztak létre a megalkotásával. Egy nagy, több gyártóval is együttműködő autóipari beszállító számára nagy kihívást jelentene elérni és összehangolni a gyártónként eltérő és szigorú követelményeknek való megfelelést, a bizonyosságnyújtásról, például a gyártónként külön végrehajtott auditok lebonyolításáról már nem is beszélve. A TISAX követelményrendszer egységes formában összefoglalja az autóipari beszállítókra vonatkozó információbiztonsági elvárásokat, így minden autóipari gyártó és megrendelő azonosan értelmezi, auditálja, és fogadja el, és emiatt általában kiindulási feltételként is fogalmazódik meg az autóipari beszállítóvá váláshoz.
Az autóipar és a harmadik felek által jelentett kockázatok
A Gartner 2019-es felmérése1 alapján a compliance vezetők – iparágtól függetlenül – a harmadik felek által jelentett kockázatot (third party risk) tartották a legnagyobb fenyegetésnek, ami azóta is meghatározó. Egyetlen szervezet sem működik teljesen önállóan, mindegyiknek vannak kiszervezett tevékenységei, beszállítói, amelyeknek érzékeny adatokat kell átadni vagy hozzáférési jogosultságot kell biztosítani, hogy megfelelően végezhessék a feladataikat az ellátási- és értékláncokban. Gyakori támadói megközelítés, hogy nem a jól védett, elsődlegesen célpontnak számító szervezetet támadják, hanem a gyengébb védelmi intézkedéseket alkalmazó beszállítókat támadják meg, amit könnyebb kivitelezni. Így a támadók ugyanúgy hozzájuthatnak a megszerezni kívánt érzékeny adatokhoz vagy a hozzáférési jogosultságokhoz, amivel további cselekményeket követnek el.
Mindez igaz az autóiparra is, ami egy rendkívül kompetitív és gyorsan fejlődő iparágnak minősül és hazánknak is nagy érintettsége van a nálunk működő gyárak és a számos beszállító miatt. Az új fejlesztések, innovációk által biztosított versenyelőny kulcsfontosságú, éppen ezért a TISAX szabvány és az ennek alapját képező ISA felmérés a fejlesztések biztonságát és bizalmasságát célzó követelményekre fókuszál. Az egyik legszembetűnőbb dolog, hogy a prototípusokat a mai napig legfőképp álcázással védik a kémfotósoktól, de számos hírt lehetett olvasni az iparági fejlesztésekre vonatkozó érzékeny adatok megszerzésére irányuló ipari kémkedésekről is, ami a jelenlegi trendeknek megfelelően a kibertérben is zajlik.
A TISAX megalkotásának oka, hogy az autógyártóknak kezelniük kellett a nem megfelelő információbiztonsági szinttel rendelkező beszállítóik által jelentett kockázatokat. A TISAX a VDA tagjai (pl. ismert autó-, busz- és teherautógyártók, alkatrészgyártók) által a beszállítóikkal szemben elvárt információbiztonsági követelményeket tartalmazza, a széles körben ismert ISO 27001 szabvány kontrolljain alapulva, de számos egyedi elemet is tartalmaz.
A TISAX felépítése
Fő dokumentumok
A TISAX szabvány két fontos dokumentumon alapul: a minősítés megszerzésének szabályait tartalmazó Participant Handbook-on és az információbiztonsági követelményeket tartalmazó VDA Information Security Assessment (ISA) táblázaton.
Értékelési célok (Assessment objectives)
A TISAX által meghatározott információbiztonsági követelmények logikájának megértése érdekében át kell tekinteni az ENX TISAX Participant Handbook jelenlegi, v2.5.1 kiadásában részletezett értékelési célokat is. Az értékelési célok az autógyártók és más partnerek által a beszállítónak átadott adattól függenek és ezek határozzák meg az alkalmazandó védelmi intézkedéseket is.
A beszállítónak ki kell választania az általa folytatott tevékenységeket és az ezekhez tartozó védelmi intézkedéseket kell alkalmaznia. Megfelelés esetén ezekre vonatkozóan kapja meg a TISAX minősítést. Az értékelési célokat három csoportba lehet sorolni:
- Általános információbiztonság (védendő átadott információ)
- Prototípus védelem (védendő átadott prototípus alkatrész és jármű)
- Adatvédelem (átadott, feldolgozott személyes adatok)
Információbiztonsági követelmények
Az általános információbiztonságra vonatkozó katalógus értékelése minden felmérés esetén kötelezően elvégzendő. Az információbiztonsági kritériumokon belül a meghatározott védelmi igény függvénye, hogy melyik kontrollokat szükséges alkalmazni. A másik két kritérium teljesítése opcionális, a beszállító által meghatározott értékelési céloktól függ. A prototípusok védelme a kifejlesztett prototípusok és egyes komponensek kezelésére, fotózásokon és egyéb eseményeken történő prezentálására, általános fizikai védelmére vonatkoznak, míg az adatvédelmi követelmények értékelése során GDPR-releváns kérdések felmérésére kerül sor.
Az információbiztonságra vonatkozó TISAX követelmények tartalmilag az ISO 27001 szabvány kontrolljaira támaszkodnak, az ISA táblában ezek egyértelműen megfeleltethetőek egymásnak. Az ISA követelmények viszont sokkal részletesebbek és konkrétabbak, míg az ISO 27001 szabvány kontrolljai általánosak, amelyeket az adott szervezetnek kell kidolgoznia.
A meghatározott védelmi igény függvényében minden követelményt legalább a TISAX szabvány által meghatározott hármas (3 – Established) érettségi szinten kell teljesíteni, viszont, ha ez akár csak egy követelmény esetében nem teljesül, akkor ez már nemmegfelelőséget eredményez.
TISAX folyamatok
A TISAX szabvány csak a követelmények tartalmában támaszkodik a ISO 27001 szabványra, a megfeleléssel kapcsolatos szabályokat, folyamatokat és nyilvántartásokat külön alkották meg, amiket a szintén autóipari szereplőket összefogó ENX Association felügyel. A TISAX megfelelés elérésének három lépése van:
- Regisztráció,
- Értékelés,
- Megosztás.
Regisztráció
A megfelelési folyamat a regisztrációval indul, amiről a Participant Handbook részletes leírásokat tartalmaz. Ez egy adminisztratív eljárás, amit az ENX Portálon kell végrehajtani.
A regisztrációnál egy fontos döntést kell meghozni: az értékelés hatókörének kijelölését, aminek ki kell terjednie a beszállító szervezetének minden olyan elemére, amelyek részt vesznek az autógyártók és más partnerek által a beszállítónak átadott adatok kezelésében. Ilyen elemek lehetnek a fizikai telephelyek, IT rendszerek és hardverek, igénybe vett felhőszolgáltatások és más kiszervezett tevékenységek is. A standard scope a meghatározott telephelyeken található összes olyan folyamatot és érintett erőforrást magában foglalja, amelyekre biztonsági követelmények vonatkoznak.
Értékelés
Felkészülés
Elsőként a szervezetnek el kell jutnia a TISAX szabvány – és a kiválasztott értékelési cél(ok) – által elvárt információbiztonsági szintre. A beszállítóknak a kiinduló helyzetben ajánlott egy gap assessment-et végezni, vagyis felmérni, hogy a TISAX szabvány követelményei közül milyen alkalmazandó előírásoknak felel meg és melyeknek nem. A felmérést követően – akár külső segítséget is igénybe véve – egy vagy több belső projektet kell indítani az azonosított hiányosságok megoldása érdekében. Ha mindent sikerült pótolni, akkor ezek ellenőrzéseként sor kerülhet a TISAX szabvány által is előírt önértékelésre (self-assessment), ami előfeltétele az éles értékelésnek is.
Auditor kiválasztása
Más információbiztonsági szabványokhoz hasonlóan a TISAX megfelelést is csak az arra jogosult, az az ENX oldalán listázott auditorok tanúsíthatják, akiket a szabvány audit provider-ként nevez meg.
Információbiztonsági értékelés végrehajtása
A TISAX szabvány többféle információbiztonsági értékelési megközelítést alkalmaz, amelyek közül az Assessment Level 2 (AL2) és az Assessment Level 3 (AL3) releváns. Az AL2 audit csak néhány értékelési cél esetén lehetséges, ilyenkor az auditorok az önétékelés (self-assessment) meglétét és az evidenciák hitelességét ellenőrzik és az interjúkat is videokonferencián keresztül folytatják le, a beszállító telephelyein történő helyszíni vizsgálat opcionális. Az értékelési célok nagyobb része az AL3 auditot várja el, amely keretében helyszíni vizsgálat történik és az evidenciákat és az önértékelést is szigorúbban vizsgálják visszaigazolás útján.
Megosztás
A sikeres audit lebonyolítását követően az auditor feltölti az auditról készült jelentését az ENX Portálra és az a portálon keresztül, az autógyártók és más partnerek információigényétől függően több szinten megosztható: akár csak a címke, de a jelentés összefoglalása, részletei és az érettségi szintje is.
Konklúzió
Az ISA követelményeknek való megfelelés és a TISAX minősítés megszerzése komoly kihívás elé állíthatja a szervezetet, ugyanakkor a befektetett energia minden esetben meghozza az elvárt eredményeket.
A nehézségek között számolni kell azzal, hogy az információbiztonsági követelményeknél ismertetett elvárások minimálisan hármas érettségi szinten történő teljesítése, kidolgozása és bevezetése azok átfogó jellege és számossága miatt jelentős munkamennyiséggel jár, ha az még nincs alkalmazva a beszállítónál.
Ez első lépésként intenzív dokumentáció készítést, majd ennek folyamatos működtetését jelenti, ami jelentős és megfelelő szakértelemmel bíró erőforrás bevonást tesz szükségessé. Ehhez szorosan kapcsolódik, hogy a dokumentáció elkészítése nem a cél, hanem az eszköz, a gyakorlatban valós kockázatkezelésre van szükség, ami a szervezet saját érdeke is, hiszen csak ezáltal tud hozzáadott értéket teremteni.
A leküzdendő nehézségek mellett érdemes szem előtt tartani a minősítéssel járó előnyöket is. A TISAX olyan szemlélettel került megalkotásra, hogy közös nevezőt teremtsen a beszállítók közt, az elvárások a keretek között egységesek legyenek. A szervezet számára is előnyös, mivel hathatósan hozzájárul a szervezet reputációja, know-howja, és közvetetetten a működése védelméhez és pénzügyi stabilitásának fenntartásához (pl. egy beszállító által elszenvedett zsarolóvírusos támadás megakasztja az ellátási láncot és nem lehet teljesíteni a just in time rendeléseket, vagy a beszállító jelentős kötbér megfizetésére számíthat, ha kibertámadás során ellopják egy alkatrész prototípusáról készült szigorúan bizalmas CAD rajzokat).
Érdemes tehát a TISAX minősítésre való felkészülés és megszerzés folyamatára nem mint elvárt, kötelezően teljesítendő feladatra, hanem mint lehetőségre gondolni.
Hogyan segít az EURO ONE
Ügyfeleinket a TISAX tanúsítvány megszerzéséhez vezető úton több ponton is tudjuk támogatni:
- Lehetőséget biztosítunk egy ingyenes kiinduló konzultációra. Ennek keretében felmérjük a szervezet jelenlegi helyzetét annak érdekében, hogy a legmegfelelőbb ajánlatot kapja a TISAX auditra történő felkészítésre, és az információbiztonság további eredményes menedzselése érdekében.
- Támogatást nyújtunk a felkészülés során, ami magában foglalhatja a szabályozási keretrendszer magalkotását, kockázatelemzés elvégzését vagy a személyes adatok kezelési rendjének kialakítását.
- Előzetes próba-audit keretében felmérjük a vállalat megfelelőségét, így egy valós audit előtt kiderülhetnek az esetleges hiányosságok.
Amennyiben cégüknek szüksége van az EURO ONE tanácsadási tevékenységére a TISAX tanúsításra való felkészüléshez, keressen minket bizalommal!