SERMA - Veri erişimi ve güvenliği

Bağımsız motorlu araç işletmeleri için güvenlik ve hırsızlıkla ilgili araç bilgilerine ve RMI’ya erişim güvence altına alınmış olmalıdır. SERMA ön koşulları oluşturmakta, siber güvenlik önlemleri de buna eklenmektedir.

Şirketlerdeki BT altyapısı söz konusu olduğunda, sistem yöneticisi ilgili “ana hakları” ve koruma mekanizmalarını saklı tutar. Başka hiçbir çalışan yeni donanım ekleyemez, hassas verilere erişemez, yazılım yükleyemez veya güncelleme yapamaz. Bunun için geçerli sebepler var. Ağ, her bir bilgisayar, kötü amaçlı yazılımlara, arızalara ve hatta yetkisiz üçüncü taraf erişimine karşı korunmalıdır. Modern motorlu araçlarda da bireysel ve bazen oldukça karmaşık görevleri yerine getiren sayısız küçük bilgisayar, yani kontrol üniteleri bulunmaktadır. Ve bunlar ağa bağlıdır, birbirleriyle iletişim halindedir ve araçlardan hassas veriler toplamaktadır. Bununla birlikte, bağımsız motorlu araç atölyeleri işlerini yürütebilmek için teknik arka plan bilgisine ve erişim haklarına ihtiyaç duyarlar.

Sadece yetkili olan kişilerin erişimi vardır!

Atölyedeki bir motorlu araç servis uzmanı, bir sistem yöneticisi ile karşılaştırılabilir. Eğer günlük işlerde kalifiye mekatronik teknisyenleri tarafından giderilen mekanik sorunlar, şanzıman, debriyaj, frenler söz konusu ise, donanımın “öğretilmesi” veya “sıfırlanması”, genel olarak yazılım ve erişim koruması giderek daha fazla ön plana çıkmaktadır. Prensip olarak araç üreticileri, 2018/858 sayılı AB Yönetmeliği uyarınca bağımsız motorlu araç işletmelerine bir araca uygun şekilde bakım ve onarım yapabilmeleri için, ilgili tüm veri ve işlevlere erişim izni vermelidir. Buna yazılım güncellemeleri de dahildir. Markalı ve markadan bağımsız şirketler arasında rekabet dezavantajı olmamalıdır.

SERMA: Nihayet standartlaştırılmış bir erişim çözümü

Bununla birlikte, ilgili güvenlik ve hırsızlıkla ilgili verilere yalnızca yetkili ve kalifiye kişilerin korumalı erişimini sağlamak için, üretici portalları aracılığıyla onarım ve bakım bilgilerine (RMI, Repair and Maintenance Information) erişim 01.04.2024 tarihinden itibaren engellenmiştir. Giriş yaptıktan sonra ilgili verilere erişmek için, ek olarak kişiselleştirilmiş, elektronik bir SERMA Sertifikasına da ihtiyaç vardır. Tek tip bir erişim çözümü çok uzun süre tartışıldı. SERMA şimdi bunu sunuyor.

Düzenleme, İsveç’te 1 Ekim 2023 tarihinden bu yana yürürlüktedir. Danimarka, Finlandiya ve Norveç'te ise 1 Şubat 2024 tarihinden itibaren yürürlüktedir. Belçika, Almanya, Lüksemburg, Hollanda, Avusturya, Portekiz ve İspanya için başlangıç tarihi 1 Nisan’dır. Diğer AB ülkeleri, SERMI Prosedürünü 01.06. veya 01.08.2024 tarihinde başlatmıştır.

Kimlerin SERMA sertifikasyonuna ihtiyacı var?

SERMA (Secure Repair and Maintenance Authorisation/Güvenli Onarım ve Bakım Yetkisi) uygunluk değerlendirme kuruluşudur ve bağımsız piyasa oyuncularının araçların bakım ve onarımını güvenli bir şekilde yapmalarına yardımcı olan Avrupa çapında uyumlaştırılmış bir akreditasyon sistemi anlamına gelmektedir. Bu, aracın güvenlik özelliklerinin (örneğin yazılım güncellemeleri nedeniyle) etkilenmesi durumunda da geçerlidir. SERMI (Secure Repair and Maintenance Information/Güvenli Onarım ve Bakım Bilgileri), sistemi ve süreci daha da geliştirmek, işletmek ve sürdürmek için kurulan Avrupa çapında bir kurumdur. SERMA ve SERMI kısaltmaları, genellikle eş anlamlı olarak kullanılmaktadır.

SERMA, orijinal üretici arıza teşhisi ile çalışan bağımsız motorlu araç atölyeleri, uzaktan arıza teşhis hizmeti (Remote Service) sunan şirketler veya diğer araç markalarını tamir eden yetkili servisler için geçerlidir. Ancak SERMA, aynı zamanda atölye ekipmanı, alet veya yedek parça üreticileri veya satıcıları, teknik bilgi veya arıza yardım hizmetleri yayıncıları, muayene ve test hizmetleri sağlayıcılarının yanı sıra mesleki eğitim ve geliştirme eğitimi kurumları için de geçerli bir konudur. Bu arada: Motorun nominal gücünde veya emisyon davranışında değişiklikler gibi modifiye önlemleri uygulayan şirketler, AB yönetmelikleri uyarınca SERMA için onay almayacaktır.

SERMA’da kayıt ve kontrol prosedürü nasıl işler

Motorlu araç/ticari araç işletmesi veya motorlu araç mekatronik teknisyeni olarak elektronik sertifika, örneğin SERMA başvuru portalı (https://register.serma.eu) üzerinden online başvuru yapıldıktan sonra alınabilir. KIWA veya Global Network Group TIC gibi başka belgelendirilmiş hizmet sağlayıcıları da mevcuttur ve bunlar aracılığıyla başvuru yapmak mümkündür. Her durumda, ticaret sicilinin bir sureti, işletme mali sorumluluk sigortasının kanıtı ve ilgili çalışanların güncel iyi hal belgeleri gereklidir. Uygunluk değerlendirme kuruluşu SERMA daha sonra çalışanlarınızın onay ve yetkilendirilmesi için başvuruyu kontrol etme görevini üstlenir.

Kontrol sonucunun olumlu olması halinde, SERMA tam olarak bu hırsızlık ve güvenlikle ilgili onarım ve bakım bilgilerine (RMI) erişim yetkisi verir. Yetkilendirilen çalışanlar, bir uygulama (Digidentity Wallet App) aracılığıyla doğrudan akıllı telefonlarına kişiselleştirilmiş bir elektronik sertifika alırlar. Bu sertifika beş yıl süreyle geçerlidir. Test prosedürü, AB çapında SERMI şemasına ve 2018/858 (AB) sayılı Tip Onayı Yönetmeliğine uygun olarak gerçekleştirilir.

Siber güvenlik + Ağ geçitleri

Temmuz 2024’ten itibaren, yeni üretilen tüm araçlar için ek olarak AB direktifi ECE R155 (Siber Güvenlik) geçerlidir. Bu da üreticileri, bir Cyber Security Management System/Siber Güvenlik Yönetim Sistemi (CSMS) yardımıyla araçlarını tüm yaşam döngüleri boyunca güvenlik risklerine karşı korumakla yükümlü kılmaktadır. Bu, diğer şeylerin yanı sıra, üreticilerin kontrol ünitelerine genel dışarıdan erişimi engelleyen siber güvenlik ağ geçitleri ile sağlanmaktadır.

Motorlu araç işletmesi, SERMA Sertifikası ile üretici portalı üzerinden güvenlik ve hırsızlıkla ilgili verilere erişim yetkisine sahip olur. Bu sayede siber güvenlik ağ geçitleri konusu da halledilmiş mi oluyor? Hella Gutmann uzmanlarına göre, hayır. İki güvenlik bariyeri birbirinden ayrı olarak değerlendirilmelidir. Bu nedenle, atölyeler için ücretsiz olan “Cyber Security Management/Siber Güvenlik Yönetimi” (CSM) işlevi, Mega Macs serisi arıza teşhis cihazlarının yazılımına yerleştirilmiştir. Güvenlikli araçlarla bir güvenlik ağ geçidi üzerinden iletişim kurulması da bu işlevle gerçekleştirilebilir. Bileşenlerin aktivasyonu ile ilgili olası durumlar için Hella Gutmann, “Uzaktan Servis” olarak adlandırılan hizmeti devam ettirmektedir. İstenirse, SERMA Sertifikası ve CSM işlevi ile neredeyse tüm yönetici haklarına sahip olunabilir.

“Kablosuz” yazım güncellemeleri

Özellikle de birçok araç üreticisi “kablosuz” güncellemeler veya ek işlevlerin online aktivasyonunu sunduğu için (veya bunu bir iş modeli haline getirdiği için), şeffaflık ve güvenlik odak noktasındadır. Motorlu araç atölyeleri de müşterileri için bu tür güncelleme veya yükseltme işlemlerini giderek daha fazla gerçekleştirmektedir.

Veriler cep telefonu şebekesi veya WLAN üzerinden aktarılmaktadır. Her ikisi de her zaman kararlı bir şekilde mevcut değildir ve güncellemeler bazen kesintiye uğramaktadır. Bu nedenle, hataları önlemek için veri bütünlüğü sağlanmış olmalıdır. Benzer şekilde Temmuz 2024’ten itibaren satılan tüm yeni araçlar için de geçerli olan AB Direktifi R156 (Yazılım Güncellemeleri) bunu öngörmektedir. Direktif uyarınca, araç üreticisi her durumda yazılımın güvenli bir şekilde kurulmasını, bir manipülasyon ve yetkisiz erişimin engellenmesini sağlamak zorundadır. Ayrıca, araç sahipleri önceden şeffaf bir şekilde bilgilendirilmelidir. Temel olarak geçerli olan şudur: Sadece yetkilendirilmiş güncellemeler yüklenebilir!