5 minute read
Figiefa: Siber Güvenlik
Siber Güvenlik
Avrupa otomotiv satış sonrası pazarı distribütörleri federasyonu Figiefa, Brüksel’deki genel merkezinden, otomotiv satış sonrası pazarını etkileyen Avrupa ve Uluslararası mevzuatın gelişimini, izler ve katılır. Figiefa, üyelerinin Avrupa ve uluslararası kurumlara yönelik çıkarlarını temsil eder. Bu bültendeki bir dizi makalede, Figiefa’ya çeşitli özel çalışma gruplarında yardımcı olan Figiefa ve ADI, size yarının IAM oyun alanını etkilemesi gereken temel konulara ilişkin yönetimsel bir genel değerlendirme sunmayı amaçlıyor. Bu derlemede: Siber Güvenlik
Sorun nedir? Bir tarafta bağlantılı ve otomatik sürüşün yükselişi, diğer tarafta yeni siber tehditlerin genel artışı ile birlikte, dünya çapında yasa koyucular otomotiv sektöründe siber güvenlik konusunu ele almak için düzenleme yapma ihtiyacı hissetmiştir. Bu, sürücüleri korumak ve yeni mobilite teknolojilerine güven duyulmasını sağlayarak pazarın potansiyelini açığa çıkarmak için FIGIEFA’nın desteklediği bir konudur. Birleşmiş Milletler’in mobilite konularıyla (diğer konuların yanı sıra) ilgilenen bir organı olan UNECE, Haziran 2020’de konuyla ilgili iki mevzuatı sonuçlandırmıştır: ‘Siber Güvenlik’ ile ilgili 155 sayılı Yönetmelik ve ‘Yazılım Güncellemeleri’ ile ilgili 156 sayılı Yönetmelik. Bu Tüzükler 2021 ortasına kadar Avrupa Birliği mevzuatına aktarılacaktır. Siber Güvenlik ve Yazılım Güncellemelerine ilişkin bu iki Yönetmelik, Avrupa Birliği’nde kabul edildikten sonra, yeni tip onaylı araçlar için 2022 yılında, mevcut araç parkı için ise 2024 yılından itibaren geçerli olacaktır.
2022: BM siber güvenlik düzenlemeleri yeni tip onaylı araçlar için geçerli 2024: BM siber güvenlik düzenlemeleri tüm otopark için geçerli
155 sayılı Tüzük ile UNECE, potansiyel siber tehditlerin ve ilgili azaltma önlemlerinin ilk envanterini oluşturmuştur. Ancak bu hafifletme tedbirleri somut uygulama tedbirleri değildir ve araç üreticilerine kendi özel güvenlik kontrollerini uygulama özgürlüğü vermektedir. Artık kendi ölçütlerini (yani “yeterli güvenlik nedir?”) belirlemelerine ve araç tip onayının bir parçası olarak kendi özel siber güvenlik önlemlerini uygulamalarına izin verilmektedir. Her araç üreticisi, her araç tipi için kurumsal süreçler oluşturmak ve güvenlik/yazılım güncellemesiyle ilgili tedbirleri uygulamak üzere kendi siber güvenlik yönetim sistemini oluşturacaktır. Sonuç olarak, araç üreticileri araca her türlü erişimi ve araçla iletişimi bir siber tehdit olarak değerlendirebilir ve siber güvenlik endişelerini gidermek için erişim kontrol mekanizmaları ve uygulamaları uygulayabilirler (örneğin OBD portu ve kablosuz bağlantı için). Araç, araç üreticilerinin tescilli siber güvenlik önlemleriyle çitle çevrilebilir ve bu durum şirketlerinizin günlük operasyonlarını olumsuz yönde etkileme potansiyeline sahiptir. İşinizi nasıl etkileyebilir? Bugünkü haliyle, bu UNECE Yönetmeliği otomotiv yenileme pazarı için herhangi bir sağlam koruma maddesi içermemektedir. Araç üreticilerinin tescilli siber güvenlik stratejisi, bağımsız kaynaklardan alınan yedek parçaların kullanılmasını imkansız hale getirebilir, çünkü bunlar ‘güvenlik’ adına araç tarafından reddedilebilir. Bu dışlama, özellikle orijinal ekipman tedarikçilerinden temin edilmeyenler olmak üzere, “siber güvenlikle ilgili” olarak tanımlanan tüm yedek parça portföyünüz (örneğin, elektronik bileşenlere sahip herhangi bir parça) üzerinde derin ve olumsuz bir etkiye sahip olabilir. Otomotiv yenileme pazarında serbest rekabetin önündeki engeller, ‘siber güvenlik’ argümanı (hatta bahanesi) altında daha da genişletilebilir. İlk örnekler, tescilli araç üreticilerinin güvenlik sertifikaları yoluyla OBD portuna erişim kısıtlamaları, tescilli araç üreticilerinin yedek parçaların aktivasyonu için gerekli kodları (QR kodları veya yazılım) (genellikle araç üreticilerinin kendi teşhis araçlarıyla) veya araç ve verileriyle uzaktan iletişimin genel olarak engellenmesidir. Tüm bu kısıtlamalar artık siber güvenlik korumasının yasal gereklilikleri kapsamında geniş çapta uygulanabilmektedir.
Günümüzde araçlara yaklaşık 100 milyon satır kod yerleştirilmiştir. 2030 yılına kadar yaklaşık 300 milyon satır kod, araçları yola elverişli hale getirecektir.
Bu durum bağımsız, çok markalı işletmelerin geniş bir yelpazede tamir ve bakım hizmeti vermesini engelleyecek ve tüketicileri araç üreticilerinin anlaşmalı ağlarına daha fazla yönlendirecektir.
FIGIEFA ne yapıyor? FIGIEFA, bağlantılı araçları siber güvenlik tehditlerine karşı korumaya yönelik önlemleri tamamen desteklemektedir. Bununla birlikte, UNECE Siber Güvenlik Yönetmeliklerinin Avrupa Birliği mevzuatına çapraz referans verilmesi süreci, araç üreticilerine siber güvenlik uygulaması üzerinde tamamen keyfi bir kontrol verilmesine yol açmamalıdır. Avrupa Birliği, tüm otomotiv satış sonrası pazarının (ve ilgili dijital ve mobilite değer zincirlerinin) kesintiye uğramasını önlemek için gerekli tedbirleri almalıdır.
FIGIEFA, bağlantılı araçları koruyan ve yenileme pazarında aksaklıkları önleyen tedbirleri tamamen desteklemektedir.
Bu nedenle FIGIEFA, ‘AFCAR’ (Araç Tamir Özgürlüğü İttifakı) bünyesinde örgütlenen diğer yenileme pazarı, kiralama/kiraya verme şirketleri ve tüketici örgütleriyle birlikte, farkındalık yaratmak ve destek toplamak amacıyla Avrupa Birliği yetkililerini ve Üye Devlet temsilcilerini bilgilendirme sürecindedir. Amaç, UNECE Tüzüklerinin Avrupa Birliği’nin yasal çerçevesine aktarılmasına, tüm paydaşların siber güvenliği ele alırken ayrımcı olmayan ve rekabetçi bir şekilde faaliyet göstermeye devam etmelerini sağlayacak sağlam uygulama maddelerinin eşlik etmesini sağlamaktır. Bu tür tedbirler alınmadığı takdirde yenileme pazarı risk altında olacaktır.
Daha ayrıntılı olarak, FIGIEFA karar vericilere aşağıdaki hususları sağlamaları çağrısında bulunmaktadır :
Yedek parçalar için siber güvenlik uyumluluğu ve birlikte çalışabilirlik; çok markalı teşhis araçları için siber güvenlik uyumluluğu ve birlikte çalışabilirlik; Mevcut SERMI programını siber güvenliğe genişleterek Avrupa Birliği çapında bir sertifikasyon programı oluşturmak (teşhis araçları ve mobilite hizmetleri sağlamaya dahil olan diğer tüm operatörler için bir onay ve yetkilendirme programı da dahil olmak üzere; Avrupa Birliği çapında sertifikasyon programı oluşturulana kadar araç üreticileri tarafından güvenlik sertifikalarının tescilli olarak verilmesi dönemine ilişkin kuralları tanımlamak üzere OBD portuna ilişkin hükümlerin değiştirilmesi.
Bilgilendirme faaliyetlerimiz sonucunda Avrupa Komisyonu destekleyici bir tutum sergilemeye karar verdi. Siber güvenlik ve yedek parçaların güvenli montajı konusu ilgili Genel Müdürlüğün 2022 çalışma programına eklendi ve FIGIEFA bu konuyu Şubat 2022’de bir uzmanlar grubu toplantısında sunmak üzere davet edildi. Bu toplantıdaki tartışmaların ardından, araç üreticileri (ACEA), satış sonrası operatörleri (AFCAR) ve ilk ekipman tedarikçilerinden (CLEPA) katılımcıların yer alacağı ve Avrupa Komisyonu’nun başkanlık edeceği bir paydaş uzman grubu toplantısının başlatılmasına karar verilmiştir. Bu çalışma grubunun ilk toplantısı Mayıs 2022’de gerçekleştirilmiş ve FIGIEFA/AFCAR’ın yukarıdaki soruları içeren teklifleri tartışmayı yönlendirmek için kullanılmıştır. Araç üreticileri tarafından taleplerimiz konusunda (prensipte) bir ilk anlaşma sağlanmış ve bu konunun daha ayrıntılı olarak tartışılması gerektiği konusunda ortak bir anlayış oluşmuştur. Sonuç olarak, önümüzdeki aylarda başka tartışma turlarının da yapılmasını bekliyoruz.
Buna paralel olarak FIGIEFA, siber güvenlik için somut uygulama gereklilikleri üzerinde çalışmak üzere yedek parça uzmanlarıyla teknik toplantılar düzenliyor ve FIGIEFA üyelerini siber güvenliğe hazırlamak için bilgilendirme web seminerleri düzenliyor.
Son olarak FIGIEFA, en üst düzeyde siber güvenlik korumasına sahip olmanın ve aynı zamanda araç, verileri ve kaynakları ile bağımsız bir iletişime izin vermenin mükemmel bir şekilde mümkün olduğunu göstermek amacıyla bağımsız bir siber güvenlik çalışması yaptırmıştır.
Bu konudaki siyasi tartışmaların sonucu sektörümüz üzerinde belirleyici bir etkiye sahip olacaktır. FIGIEFA, şirketlerinizin iş yapmasının engellenmemesini sağlamak için önümüzdeki aylarda çıkarlarınızı savunmaya devam edecektir. Faaliyetlerimizi güçlendirmek ve siyasi karar alıcıları ihtiyaçlarınızı dikkate almanın önemi konusunda ikna etmek için desteğinize ihtiyacımız olacak.
