TISAX, czyli sprawdzeni kontrahenci w branży motoryzacyjnej

Branża motoryzacyjna jest jednym z najbardziej złożonych sektorów gospodarki, ponieważ wymaga udziału wielu podmiotów i sprawnego łańcucha dostaw. Generuje także ogromne ilości danych, których wolumen jeszcze się zwiększy, gdy na drogi wyjadą autonomiczne pojazdy. Niestety, sektor ten jest coraz częściej atakowany przez cyberprzestępców. Według raportu Upstream z 2020 roku „Automotive Cybersecurity Report” opublikowanego przez Upstream w 2020 r. roczna liczna ataków stale rośnie (wzrost ten już w 2016 wynosił 605 proc.). Nic więc dziwnego, że branża podejmuje kroki w celu ochrony know-how, jak i wszelkich poufnych danych przez każdy podmiot biorący udział w łańcuchu produkcyjnym.

Ilość standardów i różnice występujące między nimi utrudniały proces zapewnienia bezpieczeństwa, generowały także wysokie koszty po stronie wszystkich podmiotów sektora. Ponadto regularne audytowanie kilku tysięcy dostawców jest po prostu niemożliwe.

Problem ten rozwiązuje TISAX (Trusted Information Security Assessment Exchange) – jednolity standard dla całej branży automotive. TISAX został utworzony w 2017 roku przez Niemieckie Stowarzyszenie Przemysłu Motoryzacyjnego (Verband der Automobilindustrie, VDA) i jest oparty na istniejących międzynarodowych standardach ISO 27001 oraz ISO 27002. Określa on kryteria zachowania wymaganego poziomu poufności podczas pracy z informacjami poufnymi i wymiany tych informacji z partnerami biznesowymi.

Wyniki audytów są dostępne (Wymiana informacji nt. wyników audytów)

Standard TISAX umożliwia publikowanie informacji nt. wyników audytów. Organizacja, która uzyskała wymagane etykiety TISAX, czyli spełniła wymagania i przeszła odpowiedni audyt, może udostępniać jego wyniki uczestnikom systemu lub wybranym partnerom biznesowym (samodzielnie decydując komu i w jakim zakresie) za pośrednictwem platformy internetowej zarządzanej przez stowarzyszenie ENX (European Network Exchange).

Korzyści jakie daje wdrożenie TISAX to przede wszystkim szeroka akceptacja w sektorze motoryzacyjnym, a także eliminacja potrzeby wielokrotnych kontroli; budowanie trwałych i pozytywnych relacji z dostawcami; szansa pozyskania zupełnie nowych kontaktów biznesowych; stworzenie przejrzystej oceny dostawców i usługodawców i mniejsze koszty audytów, dzięki wzajemnemu uznawaniu certyfikatu. – Wdrożyliśmy TISAX, ponieważ widzimy dzisiejsze zagrożenia i chcemy być zaufanym partnerem biznesowym. Zaufanie budujemy, jako firma Hicron, nie tylko dostarczając wysokiej jakości oprogramowanie dla różnych przedsiębiorstw, w tym z branży automotive,, ale także zapewniając bezpieczeństwo naszym kontrahentom. – mówi Andrzej Gontarz, CIO w Hicron.

Etykiety są ważne 3 lata, jeśli w tym czasie nastąpiłyby istotne zmiany mające wpływ na bezpieczeństwo informacji to firma musi je zgłosić i przejść audyt uzupełniający.

Dlaczego nie tylko ISO?

Na rynku jednym z najbardziej znanych i stosowanych standardów bezpieczeństwa informacji jest ISO 27001. Wydawać by się mogło, że wystarczy certyfikować się na zgodność z tą normą by zabezpieczyć swoją organizację. Tak jednak nie jest. TISAX jest sprofilowany pod branżę automotive, jego przewagą  jest możliwość decydowania o wymaganym poziomie bezpieczeństwa dla wybranego/wymaganego celu oceny przez zamawiającego oraz klarownie ustalone kryteria jakie należy spełnić (Katalog VDA ISA), ale przede wszystkim jego uznawalność w branży i wzajemna wymiana wyników audytów na bieżąco. Zasadnicza różnica istnieje tu w podejściu do bezpieczeństwa informacji. Wdrażając ISO/IEC 27001 podmiot koncentruje się na bezpieczeństwie informacji  ale sam decyduje jak zarządza ryzykiem na podstawie wewnętrznej oceny analizy ryzyka. Natomiast w TISAX – na bezpieczeństwie informacji ustalonym przez wymagania zamawiającego z uwzględnieniem zagadnień specyficznych dla branży. Firmy z sektora motoryzacyjnego chcą bowiem nie tylko chronić swoje dane, ale także zyskać pewność, że ich kontrahenci stosują ujednolicone sposoby ochrony informacji.

Najnowsza wersja TISAX koncentruje się na bezpieczeństwie informacyjnym, zabezpieczaniu prototypów oraz zabezpieczeniu danych osobowych co wskazuje też na najistotniejsze dla tego biznesu obszary. Można przystąpić do każdego z tych postępowań osobno – ale optymalnym rozwiązaniem jest wdrożenie systemu zarządzania bezpieczeństwem informacji zgodnego z ISO27001 i TISAX.

Do wdrożenia trzeba się przygotować

Firmy, które działają na szeroko pojętym rynku motoryzacyjnym, a które nie mają jeszcze etykiet TISAX powinny ich zdobycie włączyć do swojej strategii rozwoju, bo bez nich mogą utracić szanse rynkowe. Zgodność z TISAX jest już wymagana przez największe koncerny motoryzacyjne, a od 2021 roku żaden podmiot, który ich nie uzyskał zgodności ze standardem nie będzie mógł zawrzeć z nimi umowy, nawet warunkowo.

Proces implementacji wymaga przygotowań oraz odpowiednich zasobów kadrowych. Niektóre obszary dostosowania mogą być także dość czasochłonne, dlatego warto z odpowiednim wyprzedzeniem zacząć budować lub zweryfikować istniejący system bezpieczeństwa informacji. Pierwszym krokiem jest samoocena, jakiej pozwoli dokonać ankieta składająca się nawet z kilkudziesięciu punktów (zależnie od wybranych celów oceny). Taki self assessment może wykonać każda organizacja, ponieważ ankieta jest ogólnie dostępna i pozwala sprawdzić poziom bezpieczeństwa danych i zidentyfikować obszary do poprawy.

– Wdrożyliśmy standard TISAX oraz ISO w 2020 roku jeden za drugim. Był to efekt długich przygotowań organizacji. Normy ISO czy TISAX nie da się wdrożyć w pół roku, ani nawet często w 3 czy 4 lata. To rezultat przystosowania systemów oraz długofalowego planowania.- mówi Andrzej Gontarz