GAP Analizi ve Siber Güvenlik Yönetim Sistemi (CSMS) Kurulumu

Optival olarak sunduğumuz GAP analizi hizmeti, kuruluşunuzun mevcut siber güvenlik uygulamalarını ISO/SAE 21434 ve UNECE R155 gereklilikleriyle karşılaştırarak, eksik veya geliştirilmesi gereken alanları sistematik şekilde ortaya koyar.

Bu analiz sayesinde:

• Mevcut organizasyonel yapınızın regülasyonlara ne ölçüde uyumlu olduğu belirlenir,
• Süreç, dokümantasyon ve teknik uygulamalardaki zayıf halkalar netleştirilir,
• Hedeflenen uyum düzeyine ulaşmak için stratejik bir yol haritası oluşturulur.

GAP analizi sonrasında, elde edilen bulgulara dayanarak kuruluşunuz için özel olarak tasarlanmış bir CSMS altyapısı oluşturulur. Bu süreçte:

• Yönetim politikaları ve sorumluluk matrisi oluşturulur,
• TARA (Threat Analysis and Risk Assessment) süreci entegre edilir,
• Siber güvenlik iş ürünlerinin izlenebilirliği sağlanır,
• Süreçlerin ISO/SAE 21434 ile tutarlı şekilde dokümante edilmesi sağlanır,
• İç denetim, düzeltici faaliyet ve sürekli iyileştirme mekanizmaları kurulur.

Neden Önemlidir?

CSMS, sadece bir belge seti değil; organizasyonunuzun araç yaşam döngüsü boyunca siber tehditlere karşı sistematik olarak hazır olmasını sağlayan bir güvenlik kültürüdür. Bu sistemin başarıyla kurulması, R155 tip onayı almanın ön koşuludur ve OEM’lerle olan iş birliklerinde güçlü bir rekabet avantajı sunar.

Tehdit Analizi (TARA) Uygulaması ve Siber Güvenlik Konseptinin Oluşturulması

Modern araçlarda yer alan elektronik kontrol üniteleri (ECU’lar), kablosuz iletişim protokolleri ve yazılım sistemleri; giderek daha karmaşık hale gelen tehditlere açık hâle gelmiştir. Bu nedenle, araç geliştirme sürecinde siber tehditleri erken aşamada tanımak ve riskleri kontrol altına almak, hem güvenliğin hem de regülasyon uyumunun temelidir.

Optival olarak, ISO/SAE 21434 standardına uygun şekilde yürüttüğümüz TARA uygulamaları ile; sistem bileşenlerinin potansiyel tehditlere karşı ne derece savunmasız olduğunu belirliyoruz. Bu süreçte:

• Sistem varlıkları ve değerli kaynaklar (assets) tanımlanır,
• Potansiyel saldırı rotalar (attack path) modellenir,
• Hasar senaryoları ve olasılık analizleri ile risk skoru hesaplanır,
• Elde edilen sonuçlara göre siber güvenlik hedefleri (cybersecurity goals) oluşturulur ve önceliklendirilir.

TARA çıktıları, siber güvenlik mühendisliğinin temel taşı olan iş ürünlerinin oluşturulmasında kullanılır ve UNECE R155 Annex 5 ile tutarlılık gösterecek şekilde yapılandırılır.

Tespit edilen güvenlik risklerini azaltmak amacıyla geliştirilen çözümler, siber güvenlik konsepti (cybersecurity concept) olarak sistem mimarisine entegre edilir. Bu kapsamda:

• Güvenlik hedeflerine yönelik teknik kontroller ve karşı önlemler tanımlanır,
• İletişim güvenliği, veri bütünlüğü, erişim kontrolü ve yazılım güncelleme mekanizmaları gibi alanlarda çözüm önerileri geliştirilir,
• Güvenlik gereksinimlerinin tasarım sürecinde izlenebilirliği sağlanır.

Bu süreç, ürünün tüm yaşam döngüsü boyunca sürdürülebilir siber güvenliğin temelini oluşturur.

Test ve Doğrulama Stratejisinin Belirlenmesi ve Uygulanması

Siber güvenlik önlemlerinin başarısı, yalnızca teorik düzeyde tanımlanmış politikalarla değil, bu önlemlerin sahada ne ölçüde etkili olduğunun test edilmesiyle ortaya konur. Optival, ISO/SAE 21434 ve UNECE R155 gerekliliklerine uygun olarak, hem test stratejisinin geliştirilmesini hem de bu stratejinin profesyonel biçimde uygulanmasını sağlayarak araç siber güvenliğini ölçülebilir hale getirir.

Stratejinin Belirlenmesi

Test sürecinin ilk adımı, güvenlik gereksinimlerine ve sistem mimarisine uygun doğrulama planlarının oluşturulmasıdır. Bu kapsamda:

• Her güvenlik hedefi için uygun test yöntemleri eşleştirilir,
• Kritik sistem bileşenlerine yönelik saldırı yüzeyleri tanımlanır (CAN, TCU, OTA, Bluetooth, Wi-Fi vb.),
• Test kapsamı, metodolojisi, başarı kriterleri tanımlanır,
• Gerektiğinde otomasyon altyapıları ile test tekrarları optimize edilir.

Uygulamanın Gerçekleştirilmesi

Belirlenen stratejiye bağlı olarak Optival uzmanları, sahada veya laboratuvar ortamında kapsamlı test uygulamaları gerçekleştirir:

• Fonksiyonel Testler: Tanımlı güvenlik gereksinimlerinin sistem üzerinde işlevsel olarak doğru çalışıp çalışmadığı test edilir.
• Fuzz Testing: Arayüz ve protokollere beklenmeyen veri girdileri uygulanarak yazılımın hata toleransı ölçülür.
• Penetrasyon Testleri: Gerçek saldırı teknikleri taklit edilerek sistemin zafiyetleri tespit edilir.
• OTA ve Kablosuz Güvenlik Testleri: Yazılım güncellemeleri, Bluetooth ve LTE bağlantılarının şifreleme, doğrulama ve erişim kontrolü açısından güvenliği test edilir.

Güvenlik Performansının Kanıtlanması

Testlerin belgelenmesi, müşterilerinizin güvenini kazanmanın ve R155 tip onayı süreçlerinde teknik yeterliliğinizi ispatlamanın en güçlü yoludur. Optival’ın test uzmanlığı, yalnızca sorunları tespit etmekle kalmaz, aynı zamanda sürdürülebilir siber güvenlik için iyileştirici öneriler de sunar.

Tedarikçi Yönetimi

Otomotiv sektöründe araç üreticilerinin siber güvenlik yükümlülükleri yalnızca kendi sistemleriyle sınırlı değildir. UNECE R155, tüm tedarik zincirini kapsayan bir güvenlik yaklaşımını zorunlu kılmakta ve üreticilerden, tedarikçilerinin süreçlerini denetleyebilecek yapılar kurmasını beklemektedir. Bu noktada tedarikçi yönetimi, siber güvenlik uyumu açısından stratejik bir sorumluluk hâline gelir.

Optival olarak sunduğumuz tedarikçi yönetimi hizmeti; OEM’lerin ve birincil tedarikçilerin, alt tedarikçileriyle olan teknik ve süreçsel ilişkilerini ISO/SAE 21434 ve UNECE R155 ile uyumlu hale getirmelerine destek olur. Bu kapsamda:

• Tedarikçiler için uyum gereklilikleri belirlenir ve minimum güvenlik kriterleri tanımlanır,
• İş ürünlerinin (security goals, TARA çıktıları, V&V kayıtları) doğruluğu ve tutarlılığı kontrol edilir,
• Tedarikçi risk seviyesi analiz edilir ve önceliklendirilir,
• Denetim planları ve değerlendirme kriterleri hazırlanır,
• CIA (cybersecurity interface agreement) süreci yürütülür.

Tedarikçi Denetimi ve Eğitim Desteği

Optival, sadece teknik dokümantasyon değerlendirmesiyle kalmaz; aynı zamanda tedarikçilere yönelik iç denetim, eğitim ve farkındalık çalışmaları da yürütür. Böylece:

• Tedarikçilerin siber güvenlik yetkinliği artırılır,
• OEM’in güvenlik hedeflerine entegre katkı sağlanır,
• Tip onay süreçlerinde beklenmeyen uyumsuzlukların önüne geçilir.

Fayda ve Etki

• Tedarikçi kaynaklı güvenlik açıkları minimize edilir,
• Regülasyonlara uygunluk zincir boyunca güvence altına alınır,
• Tedarikçilerin teknik yeterliliği ve yükümlülük bilinci artırılır.

Optival, tedarikçi yönetimini yalnızca bir kontrol mekanizması olarak değil, uzun vadeli güvenlik kültürünün parçası olarak görür.

İç ve Dış Denetim Desteği

• Kuruluş içi hazırlık denetimleri (pre-assessment) gerçekleştirilerek regülasyon uyum düzeyi analiz edilir,
• CSMS süreçlerinin UNECE R155 ve ISO/SAE 21434 kriterlerine göre denetimi sağlanır,
• Tedarikçi zincirine uzanan süreçlerde iç denetim prosedürleri kurgulanır,
• Uygunsuzluklar ve eksiklikler için düzeltici ve önleyici faaliyet planları geliştirilir.

Belgelendirme Süreci Danışmanlığı

• ISO/SAE 21434 kapsamında tanımlanan CSMS uygunluk raporlarının (audit reports) hazırlanmasına destek olunur,
• ISO/SAE 21434’e dayalı iş ürünlerinin (work products) bağımsız değerlendiricilere sunulmak üzere teknik olarak gözden geçirilmesi sağlanır,
• Üçüncü taraf belgelendirme kuruluşlarıyla yürütülecek denetimlerde teknik rehberlik sağlanır.

Tip Onayı Süreç Yönetimi

Optival, UN ECE R155 kapsamında atanmış bir teknik servis olarak araç seviyesinde tip onay hizmetleri sunar. Bu kapsamda;

• CSMS denetimi (cybersecurity audit) ile CSMS CoC (uygunluk sertifikası – certificate of compliance) belgelendirmesi süreci yürütülür,

• Araç seviyesinde uygunluk denetimi (cybersecurity assessment) uygulanarak tip onay süreçleri yürütülür,
• 3 yılda bir gerçekleştirilmesi gereken CSMS denetimleri yönetilir,
• Tasarım değişikliklerinde tip onay etkisi değerlendirilerek gerekli güncelleme çalışmaları yürütülür.