II OKJ 2024 to było kolejne wyzwanie. W 2023 przedstawiłem słuchaczom konferencji temat „Zarządzanie cyberbezpieczeństwem w czasach Przemysłu 4.0”. Chcąc niejako kontynuować temat cyberbezpieczeństwa, w 2024 roku postanowiłem opowiedzieć o swoich doświadczeniach zdobytych podczas „Wdrożenia CSMS i SUMS w produkcji pojazdów”.
CSMS czyli Cyber Security Management System wg R155 (UNECE) i SUMS czyli Software Update Management System wg R156 (UNECE) to „nowość” dla producentów pojazdów. Obydwa dokumenty zostały opublikowane na początku 2021 roku ale finalne, pełne obowiązywanie jest wyznaczone na 1/07/2024. Po tej dacie nie będzie można zarejestrować pojazdu, który typ nie był homologowany zgodnie z tymi regulaminami.
Pomimo że obydwa regulaminy są w pewien sposób zbieżne z normą ISO21434 to i tak stanowią tak dużą nowość że producenci pojazdów mają spory problem z wdrożeniem.
Brak szkoleń i opracowań związanych z tymi regulaminami, spowodował spore zamieszanie na rynku.
Pierwszym krokiem było odpowiedzenie sobie na pytania:
1. mamy zasoby żeby podjąć tematy samodzielnie?
2. mamy odpowiednią wiedzę?
Negatywne odpowiedzi zmuszają do podjęcia decyzji: należy znaleźć szkolenia i zasoby ludzkie do wdrożenia obydwu tematów.
Odpowiedzią rynku jest kompletny brak szkolących. Temat nowy, rynek nie zagospodarowany. Nie pomaga LinkedIn, inne SM jak również prywatne kontakty. Kompletna „terra incognita”.
Po kilku tygodniach poszukiwań, rozmów, są pierwsze promyki nadziei. Organy homologujące nie mogą prowadzić szkoleń ale podpowiadają kto w EU prowadzi takie szkolenia z wdrożeniem.
Kolejna „niespodzianka”. Oferty z pięcioma zerami (w €) budzą przerażenie i niestety zwątpienie…
Po kilku miesiącach mozolnych poszukiwań zaczynają się pojawiać firmy, które są gotowe podjąć temat szkoleń i wdrożenia systemu. Gorzej że ich doświadczenie nie do końca pokrywa się z wymaganiami regulaminów. Dla nich to też nowość.
Opcje są dwie: nikt albo ktoś kto ma kompetencje jak najbardziej zbliżone do wymagań regulaminów. Wybór jest prosty: firma najlepiej spełniającą. Tworzymy zespół: KJ, Konstruktorzy Elektronicy, Kierownicy komórek wspierani przez Specjalistę ds. Homologacji. Sprawy sieciowe i sprzętowe możemy powierzyć fachowcom obecnym już w strukturach.
Zdj. z archiwum II Ogólnopolskiej Konferencji Jakościowej “Przyszłość zarządzana przez jakość” – wystąpienie Jacka Śliwińskiego pt. “Zarządzanie cyberbezpieczeństwem w czasach Przemysłu 4.0”.
Na pierwszy ogień idą procedury. Dyskusja nad treścią nie jest zbyt intensywna ale pomaga nam obecni fachowcy. Zaczynamy się rozumieć. Określamy komponenty i dostawców mogących wpływać na Cyberbezpieczeństwo. Przechodzimy do szczegółów, definiowania i oceny ryzyk. I tu bomba: TARA to nic innego jak swoiste PFMEA! I od razu łatwiej. Za chwilę należy zacząć rozmawiać z Dostawcami żeby zrozumieć jak radzą sobie z cyberbezpieczeństwem i to chyba najtrudniejszy element układanki.
Resztę szczegółów i ciąg dalszy opowiedziałem na II OKJ 14-15/05/2024 w Gliwicach. Najistotniejszą konkluzją jest że cel mógł być osiągnięty tylko dzięki pracy zespołu. W pojedynkę, samotnie nie można w racjonalnym terminie uzyskać satysfakcjonującego wyniku.
Jeżeli ciekawią Was tego typu doświadczenia to pamiętajcie że macie szansę zapoznać się z nimi również w przyszłym roku podczas Ogólnopolskiego Kongresu Jakości zaplanowanego przez Jakość Bez Retuszu z Anną Farion wraz z Partnerami.