Számítógép négy keréken 

Rég elmúltak azok az idők, amikor a személyautók egyszerűbb, mechanikus szerkezetek voltak. Ma már egy új személygépkocsi akár 50-100 millió (!) programsort is tartalmaz, és ez a szám egyes luxusautók esetében a 300-650 milliót is elérheti. A világhírű Tesla autókat sokan egész egyszerűen „négykerekű számítógépnek” tartják a mesterséges intelligencia használata, az adatgyűjtés és a menet közbeni szoftverfrissítése miatt. 

Ezzel párhuzamosan az egyre komplexebbé váló autógyártás új kihívásokat vont maga után: a kiberbiztonsági és információbiztonsági menedzsment kulcskérdéssé vált. A gyártás során megismert adatok biztonságáról gondoskodni kell. Éppen ezért sokkal fontosabbá vált, hogy a teljes gyártási ciklusban, különösen a Tier 1 és 2 beszállítók is megfelelően védjék a munkájuk során keletkezett bizalmas adatokat. Ebben a kontextusban került sor a TISAX, egy új, egységes információbiztonsági szabvány bevezetésére. 

Mi a TISAX? 

A TISAX (Trusted Information Security Assessment Exchange) egy olyan információbiztonsági értékelési és cseremechanizmus, amely lehetővé teszi az értékelési eredmények kölcsönös elismerését a résztvevők között. A TISAX az autóipari beszállítók és szolgáltatók számára kifejlesztett szabvány, melynek célja a bizalmas információk védelme. Ez a szabvány az autóipar számára releváns, érettség alapú megközelítést alkalmaz az információbiztonság értékelésére, és egységes biztonsági szintet teremt az autóiparban, csökkentve a gyártók és beszállítók költségeit, valamint komplexitását.  

A TISAX az ISO/IEC 27001 információbiztonsági menedzsmentrendszer kulcselemeire épül, az autóipar szempontjából releváns részekkel kiegészítve, és a VDA (Német Autóipari Szövetség) által kidolgozott ISA (Information Security Assessment) kérdőíven alapul. 

Miért fontos a TISAX? 

A TISAX jelentősége az autóipari információbiztonság sztenderdizálásában rejlik. Segíti a vállalatokat annak felmérésében, hogy biztonsági gyakorlataik megfelelnek-e az üzleti partnerek által elvárt szabványoknak, ezáltal erősítve a bizalmat és a hatékonyságot. A TISAX támogatja a szervezeteket a jogi követelményeknek való megfelelésben, biztosítva az érzékeny információk megfelelő kezelését. 

Magyar szempontból, a német gazdasággal ezer ponton összefonódott itthoni autóipari gyártásban a TISAX megszerzése elengedhetetlen: enélkül ugyanis egyetlen beszállító sem végezhet az európai ipar számára gazdasági tevékenységet.  

A TISAX-tanúsítvány (címke) lehetővé teszi a vállalatok számára, hogy megosszák az értékelési eredményeiket partnereikkel és beszállítóikkal egy online platformon keresztül, és további bizalmat építsenek tevékenységük iránt. Ezen kívül a tanúsítvány szabványosítja az információbiztonsági követelményeket az autóiparban, csökkentve a költségeket és a komplexitást. 

A TISAX és az információbiztonsági incidensek 

Történetileg az autóipar nem helyezett nagy hangsúlyt a kiberbiztonságra. Az ipar digitalizációja és az ellátási láncok összetettsége miatt azonban az iparág rendkívül sebezhetővé vált a kiberfenyegetésekkel szemben. A TISAX egyik célja, hogy megakadályozza az információbiztonsági incidenseket és a kibertámadásokat, azonosítsa és kezelje a kockázatokat.  

Mekkora probléma ez? Nos, egyre jelentősebb. Az ezzel foglalkozó Upstream cég 2025-ös globális autóipari kiberbiztonsági jelentése riasztó tendenciákra hívja fel a figyelmet: a kiberincidensek aránya 2024-ben 39%-kal nőtt, megugrott a zsarolóvírus-támadások száma, és az adatszivárgásokkal kapcsolatos bűncselekmények is aggodalomra adnak okot az autóipari szereplők számára. 

Könnyen belátható, hogy a TISAX a maga egységes és magas színvonalú megfelelési követelményeivel e tendenciákat szeretné visszafogni. 

Felkészülés az auditra 

A TISAX-audit és az oda vezető út egy hosszadalmas és nagy szakértelmet kívánó procedúra. A követelmények megértése és a vállalati sajátosságokhoz illesztése, a költségek kezelése, a folyamatok rendszeres felülvizsgálata és fejlesztése, a munkatársak képzése, a TISAX-keretrendszer változásainak nyomon követése mind-mind új kihívást jelenthet az információbiztonsági irányítórendszert bevezető, vagy az audit előtt álló szervezet számára. Végeredményben az auditálásban résztvevő vállalatoknak a 0-5-ig tartó minősítésben legalább a 3-as szintet kell elérniük. 

Az audit összetettségéről sokat elmond a folyamat pár részlete. Ilyenek az értékelés célkitűzései (Assessment Objectives), amelyek kulcsfontosságúak a TISAX-értékelés során. Itt meghatározzák az információbiztonsági rendszer releváns követelményeit. Legalább egyet, de akár többet is ki kell választani (pl. információbiztonság, magas rendelkezésre állás, prototípusvédelem, adatvédelem stb.), függően a szervezet üzleti tevékenységétől, az általa kezelt adatok típusától és az ügyfélkötelezettségektől. A kiválasztott célkitűzések határozzák meg az audit általános értékelési szintjét (Assesment Levels). Az AL1 belső önértékelésre szolgál, míg a TISAX-címke megszerzéséhez AL2 vagy AL3 értékelésre van szükség. 

Érthető, ha ez a tudás nincs meg cégen belül, és egy külső félhez, interim menedzserhez kell fordulni. 

Az interim menedzser szerepe a TISAX-ra történő felkészülésben 

Szakértelmük révén az interim menedzserek segíthetnek a felkészülési folyamat észszerűsítésében és annak biztosításában, hogy a szervezetek megfelelően felkészültek legyenek a TISAX tanúsítási követelmények hatékony teljesítésére. 

Egy TISAX-sikertörténet az Interim Kft.-től 

Mi történik akkor, ha egy vállalatnál a felkészülés vagy az audit hónapok óta nem halad, és belső kommunikációs zavarok is nehezítik a munkát? Az Interim Kft. szakembere már az első napon jelentős eredményeket ért el, átformálta a folyamatokat, és ennek eredménye a rövid idő ellenére is sikeres audit lett. Bővebben itt olvashat erről.