Stöd TISAX-efterlevnad med åtkomstskydd

CSMS, krav enligt UNECE WP.29, Euro NCAP eller ISO 27001 – Hela fordonsindustrin genomgår en omvälvande förändring: Mätt i överflöd av nya standarder och under digitaliseringen hittar allt fler mjukvarutjänster, elektroniska styrsystem och moln-API:er sin väg in i fordon och därmed också i deras produktion och utveckling. Nära nätverksanslutna, ofta fortfarande icke-transparenta leveranskedjor genom vilka applikationerna görs tillgängliga erbjuder otaliga angreppspunkter för cyberattacker.

För att göra rättvisa åt de alltför växande attackvektorerna utvecklade Association of the German Automotive Industry (VDA), tillsammans med den franska European Network Exchange Association (ENX), den nu internationellt erkända test- och utbytesmetoden TISAX - Trusted Information Security Assessment Exchange - 2017. Ett certifikat med vilket leverantörer kan dokumentera överensstämmelse med lämpliga säkerhetsstandarder till sina OEM-tillverkare. Ett centralt element här är en stark Indentity and Access (IAM) samt Privileged Access Management (PAM), som skyddar kritiska konton och sätter kursen för en cybertålig leveranskedja.

Autonoma fordon, transportsystem och hybridkörningsteknik kommer att forma stadsbilder över hela världen i framtiden: Genom intelligent konsolidering av en mängd olika elektroniska system kommer bilar att kunna kommunicera med varandra, fatta självständiga beslut och reagera säkert på okända farliga situationer. Innovationspotentialen för denna teknik är praktiskt taget obegränsad - liksom den potentiella skadan i händelse av en kompromiss med motsvarande IT-system.

Nuvarande teststandard: VDA Information Security Assessment V. 5.1

Certifikatet som tilldelas av ENX Association definierar minimistandarder för säker informationsbehandling, prototypskydd och dataskydd i bilföretag - och gör det möjligt för branschen att kontrollera mognaden för informationssäkerhet bland potentiella partners, tjänsteleverantörer och leverantörer som ett test- och utbytesförfarande. Detta bygger på en enhetlig teststandard med ett definierat testförfarande för jämförbarhet.

Med den stora uppdateringen av VDA ISA till version 5.x i oktober 2020 har teststandardens övergripande struktur förändrats och moderniserats. Fokus härrör från informationssäkerhetsstandarden ISO 27001 och ligger starkt på hur hanteringen av cybersäkerhet fungerar och skyddet av tillgången till känsliga data i leveranskedjan.

Uppdateringen av hela VDA ISA gav följande innovationer:

Med uppdateringen till version 5.0 har innehållet i modulen "Anslutning av tredje part" inklusive testmål nu integrerats i modulen "Informationssäkerhet". Det innebär att det för närvarande bara finns tre moduler kvar:

Information

Privatliv

Prototypskydd

Termen "tredjepartsanslutning" beskriver situationen där en TISAX-användare® har sin egen plats i en partners lokaler och kan komma åt sina system (via direkta nätverksanslutningar). Enligt VDA "kontrollerades inte bara alla krav i modulen "Informationssäkerhet" med avseende på den aktuella tekniska utvecklingen och för lämplighet, utan även uppsägningar togs bort."

Förhindra obehörig åtkomst till privilegierade konton

En central aspekt här är säker hantering av identiteter och åtkomster: I fordonsindustrins nära sammankopplade leveranskedjor är integrationen av externa partners och tjänsteleverantörer i sina egna system och infrastrukturer eller processer en praxis - men utgör samtidigt en av de största riskfaktorerna. Brist på säkerhetsmedvetenhet, kopplingen av olika, faktiskt separata, säkerhetszoner eller bristen på lämplig teknik är bara några kritiska faktorer. För oavsett i vilket syfte behöver en logiskt ansluten tredje part ofta användarroller med privilegierade åtkomsträttigheter för sin externa åtkomst och förblir vanligtvis till och med en anonym identitet.

Med tanke på att antalet privilegierade medarbetar-, maskin- och kundkonton förutom externa användares konton också ökar snabbt, blir det snabbt tydligt hur viktigt konsekvent identitetshantering är för bilindustrin - och vikten av en skräddarsydd strategi med en kontrollerbar PAM-lösning för central åtkomsthantering av dessa konton.

Privilegierade rättigheter Distribuera just-in-time- och spårprinciper

Noll förtroende nätverksåtkomst

Noll förtroende är toppmodernt. Hela cybersamhället pratar om det. Många företag gör noll förtroende till grundprincipen för holistiska informationssäkerhetsstrategier. Men strategin bakom att implementera en sann noll förtroende-modell är inte buzzordet noll förtroende i sig. Noll förtroende måste kompletteras med den faktiskt viktiga delen, åtkomsten till nätverket. Parat resulterar det i den nya principen: Zero Trust Network Access, förkortat ZTNA.

Zero Trust Network Access (ZTNA), även känd som Software Defined Perimeter (SDP), är en uppsättning tekniker och funktioner som gör det möjligt för fjärranvändare att säkert komma åt interna program. ZTNA baseras på en adaptiv förtroendemodell. Men det är bara betrodd av dem som är implicit kända. Tillträde beviljas endast enligt principen om absolut nödvändighet och just-in-time med minimal tilldelning av rättigheter. ZTNA är inte en fristående lösning att implementera. ZTNA är en organisatorisk, teknisk och kulturell princip inom cybersäkerheten i en hel organisation. Fjärranvändare drar nytta av sömlös och säker anslutning till privata applikationer utan att någonsin koppla säkerhetszoner.

Minsta privilegier

Principen om minsta privilegier (PoLP) är ett etablerat koncept baserat på det faktum att en intern eller extern användare bara får exakt så många behörigheter till viss data och information som han behöver för att utföra sina dedikerade uppgifter i företaget eller på uppdrag av honom - inte mer. 

Principen om minsta behörighet går dock också utöver åtkomst för mänskliga användare. Modellen kan också tillämpas på program, system eller nätverksenheter som kräver vissa behörigheter eller behörigheter för att utföra uppgifter.

Principen om minsta privilegium säkerställer att ett icke-mänskligt verktyg får nödvändig åtkomst - men inte mer än så.

Principen om minsta privilegier anses vara bästa praxis inom cybersäkerhetsbranschen och är ett viktigt steg mot att skydda privilegierad åtkomst till data och resurser av hög kvalitet. Det är viktigt att interaktionen mellan organisationens informationssäkerhet och operativ IT-säkerhet fungerar sömlöst och helst sammankopplade.

Mått på en TISAX-kompatibel modern PAM-strategi

Hur företag närmar sig skyddet av sina privilegierade konton har dock förändrats permanent de senaste åren: Automatiserade, så kallade nästa generations lösningar ersätter i allt högre grad selektiva, manuellt hanterade projekt. Holistisk och flexibel användning Helst utökar PAM-initiativ gradvis den robusta grunden för principen om minsta behörighet med ytterligare komponenter och baseras på en nollförtroendestrategi. Standardfunktionerna i en PAM-lösning bör innehålla åtminstone funktionerna Sessionsinspelning, Applikationsdelning, Säker dataöverföring, Multi Factor Authentication och Live Status.

En modern PAM-lösning bör dock kunna skilja mellan en extern privilegierad användare och interna medarbetare – utan att det behövs två olika system.

TISAX förväntar sig fullständig dokumentation av tillgång till kunddata och spårbarhet av alla aktiviteter inom känsliga områden

Enbart organisatoriska åtgärder räcker inte. Att välja och integrera rätt PAM-lösning kan vara tråkigt.

Utbudet av internationella PAM-lösningar på marknaden är relativt brett och att välja rätt tillverkare beror på ett antal faktorer:

  • Först och främst är arkitekturen i det befintliga nätverket av avgörande betydelse – oavsett om det är molnbaserat, hybrid eller lokalt, oavsett om det är brownfield eller greenfield. Inte alla PAM-lösningar är lika lämpliga för den nödvändiga applikationen.
  • Då måste frågan ställas om den framtida PAM-lösningen ska ta över hela administrationen av användare och hanteringen av lösenord eller ansluta PAM-lösningen till befintlig applikation och integrera den som en förlängning
  • Lika viktigt är utsikterna: Hur hög är integrationsinsatsen, mätt med den uppnåeliga produktionen. Det bör inte försummas att en holistisk PAM-lösning binder upp en betydande del av resurserna och i grunden förändrar interna processer inom identitets- och åtkomsthantering. En PAM-lösning måste passa användningsfallet.
  • Att inte försumma inom informationssäkerhetsområdet är poängen att leverantören av en PAM-lösning i sig inte utgör en framtida risk för integriteten hos den egna känsliga informationen. Aktuella exempel visar att allt-i-ett-lösningar i synnerhet oundvikligen erbjuder nya attackytor, ju fler funktioner den ursprungliga PAM-lösningen vill erbjuda.
  • Baserat på detta första grundläggande beslut är det sedan nödvändigt att välja bland de många tillgängliga lösningarna den som bäst kan integreras i den befintliga IT-infrastrukturen och uppfyller de enskilda intressenternas fördefinierade krav.

Generellt visar erfarenhet från industrin att IT-avdelningar har den första kontakten med valet av en PAM-lösning , ofta är överväldigade och följer därför uttalandena på marknaden. I det andra steget leder detta till att PAM blir mer av ett konsultprojekt än önskat och konsulter och systemintegratörer matar det nästan obegränsade området identitets- och åtkomsthantering med breda erbjudanden och förmodligen alltid nya strategier.

Målet bör vara att hitta en PAM-lösning som kan integreras i verksamheten utan större ingrepp och som inte kräver någon modifiering av klienter och slutpunkter. Om detta är nödvändigt måste man se till att de erbjuder potentiella nya inkörsportar och måste beaktas i riskhanteringen.

TISAX kräver en strikt separation av klientinformation även inom det logiska området. Etablerade säkerhetszoner får inte kopplas till ens vid tillgång till information

VDA ISA

VISULOX – En PAM-lösning med integrerad fjärrsupport

VISULOX är den ledande tyska PAM-lösningen med integrerad fjärrsupportplattform för säker åtkomst var som helst. Vi hjälper till att svara på frågan om vem som gjorde vad, var och när i IT-infrastrukturer.

amitego är den ledande leverantören av lösningar för hantering av privilegierad åtkomst och fjärrsupport i Tyskland sedan 2003.

VISULOX som PAM-lösning är skräddarsydd för de åtkomst- och dokumentationskrav som krävs av TISAX och används nu av ett stort antal små till medelstora fordonsleverantörer samt multinationella OEM-tillverkare. Vårt team består av topputvecklare som medvetet håller nära kontakt med kollegor med många års TISAX-konsulterfarenhet. Vi har också beprövade TISAX-huvudrevisorer i vårt team.

Vår erfarenhet visar att vi kan lyssna bra. En kort personlig konversation kan ofta spara långa avstånd. Vi skulle gärna lära känna dig på ett kort datum, på begäran med en eventuell live-demo, utan förpliktelser.

Vi är också glada att kunna erbjuda dig möjligheten att förklara för dig individuellt på grundval av den nuvarande VDA ISA-katalogen vilka kontroller du kan uppfylla med introduktionen av VISULOX adhoc enligt kriterierna.

Vi har ännu fler ämnen som vi gillar att skriva om.

Cookie-samtycke med riktig cookie-banner