Konec komfortní zóny: Proč audit kvality už nestačí
Jako interní auditoři a manažeři kvality máte procesy podle IATF 16949 nebo VDA 6.3 pravděpodobně v malíčku. Znáte výrobní linky, umíte najít neshody v dokumentaci a víte, jak zkontrolovat měřidla. S příchodem norem pro kybernetickou bezpečnost, jako je ISO/SAE 21434, se však pravidla hry mění. Automobilky nyní vyžadují audity systémů, které produkují „neviditelný“ kód a kde klasické měrné jednotky selhávají. Prověřit Automotive Cybersecurity Management System (ACSMS) znamená vystoupit z komfortní zóny a naučit se ptát vývojářů a IT specialistů na věci, kterým jste dříve nemuseli rozumět.
Jak auditovat to, co není vidět?
Největší obavou auditorů kvality je nedostatek hlubokých IT znalostí. Dobrou zprávou je, že pro auditování ACSMS nemusíte být programátor ani etický hacker. Systémový audit se i zde primárně zaměřuje na procesy a metodiku. Vaším úkolem je ověřit, zda organizace nebo dodavatel dělá to, k čemu se zavázal v plánech. Naučíte se sledovat stopu od analýzy hrozeb (TARA) přes specifikaci požadavků (Security by Design) až po konečnou validaci. Pokud vám vývojář nedokáže procesně doložit, jak ošetřil konkrétní riziko, máte nález bez ohledu na to, v jakém programovacím jazyce pracuje.
Klíčové důkazy: Cybersecurity Case a Penetrační testy
Během prověřování kyberbezpečnosti se setkáte se specifickými důkazními materiály. Tím nejdůležitějším je Cybersecurity Case – strukturovaná argumentace podložená důkazy, která prokazuje, že zbytková rizika u daného produktu jsou přijatelná. Jako auditoři se naučíte tento dokument kriticky zhodnotit a nebudete se spoléhat jen na formální existenci složky. Stejně tak získáte kompetenci k tomu, abyste správně interpretovali výsledky nezávislých penetračních testů a skenů zranitelností. Budete umět odhalit situace, kdy je bezpečnost řízena pouze na papíře, a vyžadovat skutečná nápravná opatření.
Hodnocení dodavatelů: SQA v první linii
Bezpečnost moderního vozidla silně závisí na externích dodavatelích. Inženýři dodavatelské kvality (SQA) dnes musí umět auditovat nejen výrobní kapacity subdodavatele, ale i jeho schopnost chránit data a software. Prověřování, jak váš dodavatel dodržuje dohody CIA (Cybersecurity Interface Agreement) a jak řídí své vlastní incidenty, je kritickým krokem k tomu, aby vaše firma sama obstála před OEM zákazníkem. Schopnost provést odborný audit dodavatele v oblasti kyberbezpečnosti je dnes na trhu automotive obrovskou a vysoce ceněnou výhodou.