ISO/SAE 21434 là gì? Không chỉ là an ninh mạng, mà còn là quản lý rủi ro toàn vòng đời.
ISO/SAE 21434 (Phương tiện đường bộ — Kỹ thuật an ninh mạng, 道路車輛—網路安全工程) về bản chất là một bộ tiêu chuẩn kỹ thuật cho việc phát triển và quản lý an ninh mạng ô tô. Điểm khác biệt lớn nhất của nó so với an ninh thông tin doanh nghiệp thông thường (như ISO 27001) là: nó tập trung vào quản lý rủi ro an ninh mạng của phương tiện đường bộ trong "toàn bộ vòng đời" của chúng.
Từ ý tưởng ban đầu, thiết kế, phát triển, xác minh, sản xuất, vận hành và bảo trì, cho đến các bản cập nhật phần mềm sau này, các công ty phải suy nghĩ và quản lý các vấn đề an ninh mạng một cách có hệ thống. Điều này có nghĩa là ISO 21434 không đánh giá một hành động bảo mật riêng lẻ, mà là liệu công ty có thiết lập một phương pháp luận kỹ thuật và quản lý có thể hỗ trợ thiết kế bảo mật sản phẩm ô tô, nhận dạng rủi ro, xác minh và quản lý liên tục hay không.
Liên kết mạnh mẽ với Quy định UNECE R155
Sự ra đời của ISO21434 có liên quan mật thiết đến bối cảnh các quy định về an ninh mạng ô tô của Liên minh Châu Âu. UNECE R155 (Quy định số 155 của Ủy ban Kinh tế Châu Âu của Liên hợp quốc) yêu cầu rõ ràng các nhà sản xuất ô tô phải có CSMS (Hệ thống quản lý an ninh mạng). Với việc UN Regulation 155 dần trở thành yêu cầu nền tảng bắt buộc đối với các mẫu xe mới và toàn bộ dòng xe, CSMS đã là nền tảng quan trọng cho việc chứng nhận kiểu loại phương tiện. Và ISO/SAE21434 được ngành công nghiệp rộng rãi coi là tiêu chuẩn kỹ thuật và khuôn khổ thực hành tốt nhất để "chứng minh năng lực của doanh nghiệp trong quy trình phát triển an ninh mạng ô tô".
Những doanh nghiệp nào cần triển khai ISO 21434? (Tấm vé vô hình trong chuỗi cung ứng ô tô)
Mặc dù về mặt ngôn ngữ pháp lý, ISO 21434 không nhất thiết phải quy định trực tiếp "nhà cung cấp bắt buộc phải có chứng nhận", nhưng trong thực tế hoạt động, nó đã trở thành "vé vào cửa" (vé vào thị trường và điều kiện gia nhập thực tế) để thâm nhập vào chuỗi cung ứng ô tô. Các nhóm khách hàng thực sự yêu cầu chứng nhận này bao gồm ba loại chính sau:
- OEM(原廠委託製造,整車廠)是法規責任的最終承擔者。他們必須證明在整個車輛生命週期中都具備結構化的網路安全工程與管理方法,以遵循 UNECE R155 等法規。同時,OEM 必須對供應鏈的資安負責,因此勢必會向下要求供應商。
- Nhà cung cấp Cấp 1 / Cấp n (nhà cung cấp bộ phận ô tô theo cấp) Doanh nghiệp sẽ phải đối mặt với những kỳ vọng tuân thủ nghiêm ngặt nếu sản phẩm của họ liên quan đến các lĩnh vực sau:
- ECU (Bộ điều khiển điện tử)
- Kiến trúc E/E (Điện/Điện tử)
- Hệ thống Hỗ trợ Lái xe Tiên tiến (ADAS) và chức năng lái xe tự động
- Kết nối và Viễn thông trên xe (Telematics)
- Hệ thống thông tin giải trí
- Các nhà cung cấp dịch vụ phần mềm, nền tảng và kỹ thuật (Software / Platform / Engineering Service Providers) miễn là quy trình phát triển, công cụ hoặc phần mềm của doanh nghiệp là một phần của vòng đời an ninh mạng xe (ví dụ: hệ thống OTA, nền tảng backend đám mây, nền tảng dữ liệu, v.v.) và sẽ trải qua kiểm toán OEM hoặc được đưa vào dự án của nhà sản xuất ô tô, thì cần phải triển khai hoặc chứng minh tuân thủ ISO 21434 để đảm bảo có các cơ chế an ninh phù hợp trong quá trình bàn giao.
Kiểm toán viên xem xét điều gì? 3 cấp độ xác minh ISO 21434 và 5 trụ cột cốt lõi
Nếu doanh nghiệp chuẩn bị thực hiện chứng nhận ISO 21434, trọng tâm kiểm tra trên thực tế không chỉ là hô khẩu hiệu, mà còn phải thể hiện chiều sâu ở ba cấp độ sau:
Tầng 1: Xây dựng quy trình CSMS và an ninh mạng ô tô thực sự khả thi
Trọng tâm kiểm toán là liệu doanh nghiệp có thể hiện phương pháp kỹ thuật an ninh mạng (Cybersecurity engineering approach) có cấu trúc, toàn diện và theo vòng đời hay không. Các yêu cầu an ninh mạng phải được tích hợp một cách có hệ thống vào quy trình phát triển và có thể hỗ trợ hiệu quả các yêu cầu tuân thủ và của khách hàng (OEM).
Cấp độ 2: Cung cấp bằng chứng sẵn sàng để kiểm toán (Audit-ready evidence)
Kiểm tra không chỉ là xem tài liệu quy định viết như thế nào, mà là xem "dấu vết thực thi". Doanh nghiệp phải chứng minh các hoạt động an ninh mạng có thể kiểm tra, truy xuất và giải trình, có các bằng chứng cụ thể sau:
- Tài liệu
- DiễnBiến (Bản ghi xem xét)
- Kiểm tra (Nhật ký kiểm tra)
- Cơ chế xử lý lỗ hổng
Cấp độ 3: Thể hiện mức độ trưởng thành về an ninh mạng "dành riêng cho ô tô"
Doanh nghiệp được kiểm toán được kỳ vọng thể hiện không chỉ khả năng quản lý an toàn thông tin chung, mà còn là năng lực chuyên môn trực tiếp liên quan đến phát triển xe, an toàn sản phẩm và quy trình phần mềm. Tiêu chuẩn kiểm toán sẽ bao gồm các công nghệ liên quan đến ô tô, quy trình an ninh mạng, quản lý rủi ro và kiến thức về an ninh mạng phương tiện giao thông đường bộ.
5 Câu hỏi cốt lõi trong kiểm thử thực tế (Danh sách kiểm tra):
- Quy trình tích hợp: Công ty có chính thức tích hợp an ninh mạng ô tô vào quy trình phát triển và quản lý sản phẩm hay không, thay vì đợi khách hàng yêu cầu mới bổ sung tài liệu?
- Vai trò định vị: Bạn có thể định rõ vai trò sản phẩm, phần mềm, nền tảng hoặc dịch vụ của mình trong vòng đời an ninh mạng ô tô không?
- Lưu giữ bằng chứng: Cơ chế tài liệu, đánh giá, kiểm tra và quản lý lỗ hổng có đủ để chứng minh rằng quy trình không chỉ là hình thức hay không?
- Đáp ứng kỳ vọng: Mức độ trưởng thành tổng thể về an ninh mạng có đủ để đáp ứng các kỳ vọng nghiêm ngặt của OEM đối với chuỗi cung ứng hay không?
- Tích hợp hệ thống: Hệ thống ISO 21434 đã được tích hợp hiệu quả với các hệ thống hiện có của doanh nghiệp như IATF 16949 (hệ thống quản lý chất lượng ô tô), ISO 9001 (quản lý chất lượng) hoặc ISO 27001 (quản lý an ninh thông tin) chưa?
Tóm tắt
Giá trị cốt lõi của ISO/SAE 21434 là giúp các nhà sản xuất ô tô và chuỗi cung ứng quản lý rủi ro an ninh mạng cho xe cơ giới một cách có hệ thống. Trọng tâm của tiêu chuẩn này không bao giờ là việc công ty có khẩu hiệu an ninh mạng hay không, mà là khả năng thực sự đưa ra một "quy trình an ninh mạng ô tô xuyên suốt vòng đời" và bằng chứng đầy đủ về thử nghiệm cũng như quản lý lỗ hổng bảo mật để chứng minh sự tuân thủ các quy định và kỳ vọng cao của nhà sản xuất ô tô đối với CSMS.
Nhà cung cấp giải pháp một cửa