Az autóipari beszállítóvá váláshoz immár kiindulási feltétel a TISAX tanúsítvány megszerzése, ugyanis az autóipari megrendelők egyre inkább elvárják a meglétét. A TISAX (Trusted Information Security Assessment Exchange) egy, az ISO 27001-re épülő, de annál bővebb autóipari specifikus IT biztonsági követelményrendszer, amelyet a German Association of the Automotive Industry (VDA), a Német Autóipari Szövetség hívott életre.
Egységes kiberbiztonsági elvárásokat támaszt, s várható, hogy a közeljövőben kötelező lesz az autóiparral kapcsolatban álló cégek számára.
A magyar járműiparban ennek kiemelt jelentősége van, hiszen Magyarországon több mint 700 járműipari cég működik. A Top 100 beszállítóból pedig 40 dolgozik Magyarországon.
Ilyen cégek vezetői számára tartottunk webináriumot a TISAX audit elvárásrendszeréről, a tanúsítás megszerzésének feltételeiről, menetéről. Cikkünkben összefoglaljuk a webináriumon elhangzottakat.
A kiberbiztonsági kihívások egyre nőnek, ahogy a világunk mindinkább adatalapúvá válik. A vállalatoknak rengeteg adatot kell kezelniük. Ezek lehetnek kutatás-fejlesztési, személyes, pénzügyi, kereskedelmi, szellemi tulajdonhoz kapcsolódó adatok, amelyek közül szinte mindegyik kapcsolódik az ügyfelekhez is.
Az (ügyfél)adatok védelme tehát egyre nagyobb kihívás elé állítja a vállalatokat. A Statista adatszolgáltató cég gyűjtése szerint tavaly 8,44 trillió dollár volt a kiberbűnözés miatti költség a világon, s ez gyors ütemben nő, 2027-re már 23,82 trillió dollárra várható.
A Horváth csoport CxO prioritások felmérése szerint a kiberbiztonság a 2. legfontosabb kihívás a CxO-k számára. Ha pedig a kockázatokról kérdezik a felsővezetőket, a kibertámadások már az első helyen állnak az Allianz Kockázati Barométer 2022 szerint.
Az információbiztonság megteremtéséhez, az adatok védelméhez holisztikus megközelítésre van szükség. Ebbe beletartozik a fizikai behatolás az épületbe / területre, a szellemi tulajdon eltulajdonítása, a munkatársak elcsábítása (milyen információkat visznek magukkal), lehallgatás / megfigyelés, kibertámadások. Teljes körű védelmet kell kialakítani. Ehhez hasznos, ha vannak strukturált elvárások, olyanok, mint az ISO szabvány.
Az információbiztonság sajátos elvárásrendszere az autóiparban az ISO 27001-es szabványra építve alakult ki. Ez a TISAX, amely standard elvárásrendszerré forrott ki a német piacon – mondta a webináriumon Tanács Zoltán, az IFUA Horváth partnere, a digitális transzformáció kompetenciaközpont vezetője. A TISAX legfőbb célja az üzletmenet biztonságának megóvása. Részterületei: a szervezet működőképességének megőrzése, biztonsági mentések, megfelelő alkalmazások használata és biztonságos működtetése, a szervezet által gyűjtött és felhasznált adatok védelme, a fizikai és technológiai eszközök védelme.
A beszállítók egyre nagyobb mértékben járulnak hozzá a járműipari értékteremtéshez, részt vesznek a fejlesztésekben, közreműködésük már a korai fejlesztési szakaszokban is meghatározó. Sokkal korábban és sokkal intenzívebben kapcsolódnak be a fejlesztésekbe, emiatt az információbiztonságban is nő a szerepük.
Az OEM-ek mobilitási szolgáltatóvá válása csak fokozza a kritikus információvédelmi követelményeket. Ilyen rendszerek esetén szolgáltatást vásárlunk, időalapon fizetünk – mindez növeli a kommunikációt. Az autók kommunikálnak a másik járművel, a flottaüzemeltetővel, a közlekedési infrastruktúrával stb.
Az információbiztonság üzleti szempontból is kritikus versenytényezővé vált a járműiparban. Nem csak ellátásbiztonság és gyártásbiztonság szempontjából, de prototípus- és innováció védelem, adatvédelem és járműkommunikáció-védelem szempontjából – ami közlekedésbiztonsági szempontot jelent -, és értelemszerűen vevő- és ügyféladat szempontjából is. A biztonsági incidens komoly reputációcsökkenést is jelent, valamint kritikus esetben többnapi gyártáskiesést, ami akár az egész éves profitot is elviheti.
„Mindezek miatt alakított ki információbiztonsági rendszert a járműiparra a VDA, a Német Autóipari Szövetség. Ez a TISAX, s az OEM-ek és a rendszerbeszállítók már formálisan is megkövetelik az ennek való megfelelést” – mutatott rá Vári Attila, az IFUA Horváth partnere, a járműipari kompetenciaközpont vezetője.
Ez az audit biztosítja az autóipar információbiztonságának növelését. Egységes kiberbiztonsági elvárásokat támaszt, növeli az átláthatóságot és a biztonságot. 2017 óta létezik a TISAX követelményrendszer és annak formális auditja.. Magyarországon még viszonylag újdonságnak számít, de muszáj megszereznie annak a cégnek, amelyik autóipari beszállítóként kíván megélni.
A TISAX audit „gazdája” a European Network Exchange (ENX) szervezet, amely 40 országban ezer taggal működik, s azért jött létre, hogy az európai autóipar számára lehetővé tegye a kritikus fejlesztési, értékesítési és termelési adatok biztonságos cseréjét.
A TISAX leginkább az ISO 27001-re épít, de hivatkozik az ISO 27002-re és az ISO 27017-re is. A beszállítói minőségirányítási rendszerre vonatkozó követelményeket tekintve pedig jól kiegészíthető az ISO 9001-el és az IATF TS 16949-el is. 3 nagy területet ölel fel, ezek az információbiztonság, a prototípusok védelme és az adatvédelem.
A TISAX-megfelelőséget kontrollkérdéseken keresztül vizsgálják, ezeket a kontrollkérdéseket, illetve a kapcsolódó kézikönyvet pedig ingyenesen el lehet érni az ENX portálon keresztül. Az adott válaszokhoz a bizonyítékokat, dokumentációkat, folyamatokat, riportokat természetesen be kell mutatni az audit során, ahogyan az a tanúsítási eljárásokon elvárás.
Hasonlóan más auditokhoz a TISAX esetében is átfogó, részletes önértékelés javasolt, mielőtt a beszállító elkezdi a hivatalos előauditot.
Az átfutási idők függenek attól, hogy az adott szervezet mennyire felkészült, milyen érettségi szinten van a vizsgált kontrollok szempontjából „Tapasztalataink szerint a helyzetelemzés, az anyagok összegyűjtése, elkészítése, a már meglévő anyagok átvizsgálása, értékelése mindig nagy feladat. Ezért erre hosszabb időszakot szoktunk hagyni. Ez és az őt követő előaudit – amelyet az audit szolgáltató végez – együtt tapasztalataink szerint akár 10 hónapig is eltarthat” – mondta Pesti László, az IFUA Horváth vezető tanácsadója.
Az előaudit során feltárt hiányosságokat pótolni kell, erre akciótervet kell kidolgozni, s fel kell készülni az éles auditálásra. A sikeres audit, a tanúsítvány megszerzése után elvárt a további folyamatos fejlesztés, és az auditot legkésőbb 1 év múlva meg kell ismételni.
Az IFUA Horváth szakmai támogatást, projekttámogatást, projektmenedzsmentet, projekt-minőségbiztosítást, bizonyítékelőállítást, bizonyítékvalidációt nyújt az auditálási folyamatban. Ha erre van szüksége, keresse Tanács Zoltánt vagy Vári Attilát, az IFUA Horváth partnereit.
