SERMA – dostęp do danych i bezpieczeństwo

Niezależnym warsztatom samochodowym należy zagwarantować dostęp do informacji o pojeździe istotnych dla bezpieczeństwa oraz w przypadku kradzieży, a także danych RMI. SERMA określa warunki wstępne, a środki bezpieczeństwa cybernetycznego stanowią uzupełnienie.

W odniesieniu do infrastruktury IT w firmach administrator systemu zachowuje odpowiednie „uprawnienia główne” i mechanizmy ochrony. Żaden inny pracownik nie może dodawać nowego sprzętu, uzyskiwać dostępu do poufnych danych, instalować oprogramowania ani uruchamiać aktualizacji. Są ku temu powody. Sieć, każdy pojedynczy komputer, powinien być chroniony przed złośliwym oprogramowaniem, awariami, a nawet nieautoryzowanym dostępem osób trzecich. Nowoczesne pojazdy mecahaniczne mają również mnóstwo małych komputerów, tj. jednostek sterujących, które wykonują indywidualne, czasem bardzo złożone zadania. Są one połączone w sieć, komunikują się ze sobą, a pojazdy gromadzą wrażliwe dane. Niezależne warsztaty samochodowe wymagają jednak informacji technicznych i praw dostępu, aby móc wykonywać swoją pracę.

Dostęp mają tylko osoby upoważnione!

Specjalistę ds. obsługi pojazdów w warsztacie można porównać do administratora systemu. Jeśli w codziennej działalności przez wykwalifikowanych techników mechatroników naprawiane są problemy mechaniczne, skrzynie biegów, sprzęgła, hamulce, wówczas „przyuczanie” lub „resetowanie” sprzętu, oprogramowania oraz ochrona dostępu coraz częściej wysuwają się na pierwszy plan. Zasadniczo zgodnie z rozporządzeniem UE 2018/858, producenci pojazdów muszą zapewnić niezależnym warsztatom samochodowym dostęp do wszystkich istotnych danych i funkcji, aby mogły one odpowiednio serwisować i naprawiać pojazd. Obejmuje to również aktualizacje oprogramowania. Nie powinno być niekorzystnej sytuacji konkurencyjnej między warsztatami markowymi i niemarkowymi.

SERMA: Nareszcie ujednolicone rozwiązanie umożliwiające dostęp

Aby jednak zapewnić, że tylko upoważnione i wykwalifikowane osoby mają chroniony dostęp do odpowiednich danych dotyczących bezpieczeństwa i kradzieży, dostęp do informacji dotyczących napraw i konserwacji (RMI) za pośrednictwem portali producentów został zablokowany od 01.04.2024 r. Aby uzyskać dostęp do odpowiednich danych po zalogowaniu, potrzebny jest również spersonalizowany, elektroniczny certyfikat SERMA. Od dłuższego czasu dyskutowano nad ujednoliconym rozwiązaniem umożliwiającym dostęp. SERMA teraz to umożliwia.

W Szwecji rozporządzenie obowiązuje od 1. października 2023 r. W Danii, Finlandii i Norwegii od 1. lutego 2024 r. Datą początkową dla Belgii, Niemiec, Luksemburga, Holandii, Austrii, Portugalii i Hiszpanii był 1. kwietnia. Inne kraje UE rozpoczęły procedurę SERMI od 01.06 lub dopiero od 01.08.2024 r.

Kto potrzebuje certyfikatu SERMA?

SERMA (Secure-Repair and Maintenance-Authorisation) jest jednostką oceniającą zgodność i oznacza ogólnoeuropejski zharmonizowany system akredytacji, który pomaga niezależnym uczestnikom rynku w bezpiecznej konserwacji i naprawie pojazdów. Dotyczy to również sytuacji, gdy ma to wpływ na funkcje bezpieczeństwa pojazdu (np. w wyniku aktualizacji oprogramowania). SERMI (Secure-Repair and Maintenance-Information) to ogólnoeuropejska instytucja, która została założona w celu dalszego rozwoju, obsługi oraz utrzymania systemu i procesu. Oba skróty SERMA i SERMI są zwykle używane jako synonimy.

SERMA ma znaczenie w przypadku niezależnych warsztatów, które pracują z oryginalną diagnostyką producenta, firm, które oferują usługę zdalnej diagnostyki (usługa zdalna) lub autoryzowanych warsztatów, które naprawiają inne marki pojazdów. SERMA dotyczy również producentów lub sprzedawców wyposażenia warsztatowego, narzędzi lub części zamiennych, wydawców informacji technicznych lub usług pomocy w przypadku awarii, dostawców usług kontroli i testowania oraz instytucji szkoleniowych i dokształcających. A ponadto: Firmy, które wykonują tuning, np. dokonują zmiany mocy znamionowej silnika lub emisji spalin, nie otrzymają certyfikatu SERMA zgodnie z przepisami UE.

Oto jak działa proces rejestracji i weryfikacji w ramach SERMA

Elektroniczny certyfikat może zostać uzyskany przez firmy motoryzacyjne lub mechatroników pojazdów silnikowych po złożeniu wniosku online, na przykład za pośrednictwem portalu aplikacyjnego SERMA (https://register.serma.eu). Istnieją również inni certyfikowani dostawcy usług, tacy jak KIWA lub Global Network Group TIC, za pośrednictwem których można złożyć wniosek. W każdym przypadku wymagany jest wyciąg z rejestru handlowego, dowód ubezpieczenia od odpowiedzialności cywilnej firmy oraz aktualne zaświadczenia o niekaralności poszczególnych pracowników. Jednostka oceniająca zgodność z wymogami SERMA ma następnie za zadanie sprawdzenie wniosku o certyfikat i autoryzację pracowników.

Jeśli wynik testu jest pozytywny, SERMA przyznaje autoryzację dostępu właśnie do wspomnianych informacji dotyczących napraw i konserwacji (RMI) istotnych z punktu widzenia bezpieczeństwa i kradzieży. Upoważnieni pracownicy otrzymują spersonalizowany certyfikat elektroniczny bezpośrednio na swój smartfon za pośrednictwem aplikacji (aplikacja Digidentity Wallet). Jest on ważny przez pięć lat. Procedura kontrolna jest przeprowadzana zgodnie z ogólnounijnym programem SERMI i rozporządzeniem w sprawie homologacji typu (UE) 2018/858.

Cyberbezpieczeństwo + bramki

Od lipca 2024 r. dyrektywa UE ECE R155 (cyberbezpieczeństwo) będzie miała również zastosowanie do wszystkich nowo produkowanych pojazdów. Zobowiązuje to producentów do ochrony swoich pojazdów przed zagrożeniami bezpieczeństwa w całym cyklu życia pojazdu za pomocą systemu zarządzania cyberbezpieczeństwem (CSMS). Zapewniają to między innymi tzw. bramki cyberbezpieczeństwa producentów, które uniemożliwiają ogólny dostęp z zewnątrz do jednostek sterujących.

Certyfikat SERMA upoważnia warsztat samochodowy do dostępu do danych dotyczących bezpieczeństwa i kradzieży za pośrednictwem portalu producenta. Czy powyższe oznacza również, że kwestia bramek cyberbezpieczeństwa została rozwiązana? Nie według ekspertów z Hella Gutmann. Obie blokady bezpieczeństwa powinny być rozpatrywane oddzielnie. Właśnie dlatego funkcja „Cyber Security Management” (CSM), która jest bezpłatna dla warsztatów, została zaimplementowana w oprogramowaniu testerów diagnostycznych z serii Mega Macs. Funkcja ta może być również używana do komunikacji z zabezpieczonymi pojazdami za pośrednictwem bramki bezpieczeństwa. Hella Gutmann zapewnia tzw. „usługę zdalną” w ewentualnych przypadkach aktywacji komponentów. Jeśli jest to zamierzone, certyfikat SERMA i funkcja CSM dają użytkownikowi wszystkie uprawnienia administratora.

Aktualizacje oprogramowania „bezprzewodowo”

Nie tylko dlatego, że wielu producentów pojazdów oferuje również aktualizacje „bezprzewodowo” lub aktywację dodatkowych funkcji online (lub uczyniło z tego model biznesowy), nacisk kładziony jest na przejrzystość i bezpieczeństwo. Warsztaty samochodowe również coraz częściej przeprowadzają aktualizacje lub uaktualnienia dla swoich klientów w ten sposób.

Dane są przesyłane za pośrednictwem sieci telefonii komórkowej lub WLAN. Obie nie zawsze działają stabilnie, a aktualizacje są czasami anulowane. Integralność danych musi być zatem zagwarantowana w celu uniknięcia błędów. Jest to zgodne z dyrektywą UE R156 (aktualizacje oprogramowania), która będzie miała również zastosowanie do wszystkich nowych pojazdów sprzedawanych od lipca 2024 r. Zgodnie z dyrektywą producent pojazdu musi w każdym przypadku zapewnić bezpieczną instalację oprogramowania oraz uniemożliwić manipulację i nieautoryzowany dostęp. Ponadto właściciele pojazdów muszą być informowani z wyprzedzeniem w przejrzysty sposób. Obowiązuje zasada: Dozwolone jest instalowanie tylko autoryzowanych aktualizacji!