Siber Güvenlik
Avrupa otomotiv satış sonrası pazarı distribütörleri federasyonu Figiefa, Brüksel’deki genel merkezinden, otomotiv satış sonrası pazarını etkileyen Avrupa ve Uluslararası mevzuatın gelişimini, izler ve katılır. Figiefa, üyelerinin Avrupa ve uluslararası kurumlara yönelik çıkarlarını temsil eder. Bu bültendeki bir dizi makalede, Figiefa’ya çeşitli özel çalışma gruplarında yardımcı olan Figiefa ve ADI, size yarının IAM oyun alanını etkilemesi gereken temel konulara ilişkin yönetimsel bir genel değerlendirme sunmayı amaçlıyor. Bu derlemede: Siber Güvenlik
Sorun nedir? Bir tarafta bağlantılı ve otomatik sürüşün yükselişi, diğer tarafta yeni siber tehditlerin genel artışı ile birlikte, dünya çapında yasa koyucular otomotiv sektöründe siber güvenlik konusunu ele almak için düzenleme yapma ihtiyacı hissetmiştir. Bu, sürücüleri korumak ve yeni mobilite teknolojilerine güven duyulmasını sağlayarak pazarın potansiyelini açığa çıkarmak için FIGIEFA’nın desteklediği bir konudur. Birleşmiş Milletler’in mobilite konularıyla (diğer konuların yanı sıra) ilgilenen bir organı olan UNECE, Haziran 2020’de konuyla ilgili iki mevzuatı sonuçlandırmıştır: ‘Siber Güvenlik’ ile ilgili 155 sayılı Yönetmelik ve ‘Yazılım Güncellemeleri’ ile ilgili 156 sayılı Yönetmelik. Bu Tüzükler 2021 ortasına kadar Avrupa Birliği mevzuatına aktarılacaktır. Siber Güvenlik ve Yazılım Güncellemelerine ilişkin bu iki Yönetmelik, Avrupa Birliği’nde kabul edildikten sonra, yeni tip onaylı araçlar için 2022 yılında, mevcut araç parkı için ise 2024 yılından itibaren geçerli olacaktır. 2022: BM siber güvenlik düzenlemeleri yeni tip onaylı araçlar için geçerli 2024: BM siber güvenlik düzenlemeleri tüm otopark için geçerli 155 sayılı Tüzük ile UNECE, potansiyel siber tehditlerin ve ilgili azaltma önlemlerinin ilk envanterini oluşturmuştur. Ancak bu hafifletme tedbirleri somut uygulama tedbirleri değildir ve araç üreticilerine kendi özel güvenlik kontrollerini uygulama özgürlüğü vermektedir. Artık kendi ölçütlerini (yani “yeterli güvenlik nedir?”) belirlemelerine ve araç tip onayının bir parçası olarak kendi özel siber güvenlik önlemlerini uygulamalarına izin verilmektedir. Her araç üreticisi, her araç tipi için kurumsal süreçler oluşturmak ve güvenlik/yazılım 4
güncellemesiyle ilgili tedbirleri uygulamak üzere kendi siber güvenlik yönetim sistemini oluşturacaktır. Sonuç olarak, araç üreticileri araca her türlü erişimi ve araçla iletişimi bir siber tehdit olarak değerlendirebilir ve siber güvenlik endişelerini gidermek için erişim kontrol mekanizmaları ve uygulamaları uygulayabilirler (örneğin OBD portu ve kablosuz bağlantı için). Araç, araç üreticilerinin tescilli siber güvenlik önlemleriyle çitle çevrilebilir ve bu durum şirketlerinizin günlük operasyonlarını olumsuz yönde etkileme potansiyeline sahiptir.
İşinizi nasıl etkileyebilir? Bugünkü haliyle, bu UNECE Yönetmeliği otomotiv yenileme pazarı için herhangi bir sağlam koruma maddesi içermemektedir. Araç üreticilerinin tescilli siber güvenlik stratejisi, bağımsız kaynaklardan alınan yedek parçaların kullanılmasını imkansız hale getirebilir, çünkü bunlar ‘güvenlik’ adına araç tarafından reddedilebilir. Bu dışlama, özellikle orijinal ekipman tedarikçilerinden temin edilmeyenler olmak üzere, “siber güvenlikle ilgili” olarak tanımlanan tüm yedek parça portföyünüz (örneğin, elektronik bileşenlere sahip herhangi bir parça) üzerinde derin ve olumsuz bir etkiye sahip olabilir. Otomotiv yenileme pazarında serbest rekabetin önündeki engeller, ‘siber güvenlik’ argümanı (hatta bahanesi) altında daha da genişletilebilir. İlk örnekler, tescilli araç üreticilerinin güvenlik sertifikaları yoluyla OBD portuna erişim kısıtlamaları, tescilli araç üreticilerinin yedek parçaların aktivasyonu için gerekli kodları (QR kodları veya yazılım) (genellikle araç üreticilerinin kendi teşhis araçlarıyla) veya araç ve verileriyle uzaktan iletişimin genel olarak engellenmesidir. Tüm bu kısıtlamalar artık siber güvenlik korumasının yasal gereklilikleri kapsamında geniş çapta uygulanabilmektedir.
