Demostrar la importancia de la seguridad no se vuelve más memorable que Charlie Miller y Chris Valasek con éxito. hackear un Jeep y conducirlo a una zanja. Los efectos de ese impulso han sido de largo alcance, generando conversaciones tanto en los medios como en la industria automotriz sobre el panorama de amenazas en evolución a medida que los vehículos se automatizan cada vez más.
El automóvil promedio contiene más de 150 unidades de control electrónico, y la superficie de ataque y la posibilidad de que las vulnerabilidades potenciales se conviertan en el diseño final continúan creciendo. A medida que la industria pasa de plataformas verticales impulsadas por hardware a plataformas horizontales definidas por software, es fundamental garantizar que los fabricantes y proveedores incluyan controles sólidos de ciberseguridad y privacidad de datos en sus componentes y diseños.
Además, la escasez de semiconductores que afectó a muchos fabricantes en 2021 también ha llevado a las empresas a examinar su cadena de suministro y considerar desarrollar el chip internamente, lo que significa asumir una responsabilidad aún mayor para mitigar los riesgos de ciberseguridad de hardware y software.
Los organismos reguladores están comenzando a tomar medidas para garantizar que la ciberseguridad se integre en la base de los nuevos automóviles que llegan al mercado y se prueben exhaustivamente. Es bien sabido que el software y el firmware seguros por sí solos no son suficientes para crear un vehículo a prueba de manipulaciones. Pronto, los fabricantes de equipos originales y sus cadenas de suministro deberán cumplir con nuevos estándares para sus procesos de desarrollo de hardware y software, como ISO/SAE 21434. En el futuro, se espera que toda la cadena de suministro automotriz, incluidas las ECU, incluya procesos transparentes y bien documentados que contengan una verificación de seguridad integral.
ISO/SAE 21434 Vehículos de carretera — Ingeniería de ciberseguridad
La nueva Organización Internacional de Normalización (ISO) y SAE International ISO/SAE 21434 Los estándares cubren "... requisitos de ingeniería para la gestión de riesgos de ciberseguridad con respecto al concepto, desarrollo de productos, producción, operación, mantenimiento y desmantelamiento de sistemas eléctricos y electrónicos (E/E) en vehículos de carretera, incluidos sus componentes e interfaces". Los modelos de junio de 2022 lanzados en Europa, Japón y Corea estarán entre los primeros automóviles que deberán demostrar el cumplimiento de estos nuevos estándares.
Si bien un enfoque holístico de la seguridad cibernética es una parte importante del marco, las organizaciones que se acercan a las fases de desarrollo de productos y conceptos sin una metodología sólida de verificación de seguridad cibernética y un programa maduro pueden experimentar desafíos.
Definición de conceptos y objetivos de ciberseguridad
En el futuro, las organizaciones deberán demostrar que la ciberseguridad se ha gestionado y considerado minuciosamente en todos los niveles de la cadena de suministro. Esto incluye definir claramente los controles y requisitos, así como verificarlos.
Una especificación deficiente conduce a requisitos de seguridad inexactos, engañosos o no verificables. Todos los elementos, objetivos y conceptos de ciberseguridad deben documentarse, comprenderse y comunicarse a las partes interesadas. Estos incluyen los propios activos, sus interacciones y cualquier característica de diseño o calidad del entorno de implementación de un dispositivo destinado a preservar los objetivos de seguridad de un activo.
Tanto los controles que pretende utilizar para mitigar el riesgo como los requisitos de seguridad deben ser el resultado de ejercicios exhaustivos de análisis de amenazas y evaluación de riesgos.
Diseños y desarrollo de productos seguros
Los controles que se decidan y los requisitos de seguridad definidos formarán el núcleo de la especificación de ciberseguridad y conducirán directamente a un plan de verificación de seguridad.
Estos deben ser consistentes con las especificaciones y objetivos definidos en los niveles más altos de abstracción arquitectónica ya lo largo del ciclo de vida del diseño. Cada requisito también debe ser falsificable, es decir, debe haber una manera de demostrar que es falso con datos a través de la verificación de seguridad.
Un programa de verificación bien ejecutado permitirá a los equipos identificar las debilidades de seguridad en la implementación del diseño y validar si los controles de seguridad cibernética utilizados en el diseño protegen adecuadamente los activos.
Integración y verificación
Si bien las vulnerabilidades se pueden introducir en cualquier etapa, muchas ocurren dentro de la compleja interacción de hardware y software presente en los diseños actuales. Por eso, en cada paso del proceso de diseño, desde el nivel de bloque hasta el nivel de sistema y, si corresponde, el software, las organizaciones deben verificar los requisitos de seguridad para garantizar el cumplimiento de especificaciones de seguridad claramente definidas. Las pruebas intermitentes ya no son suficientes. Cada paso de desarrollo, desde el bloque hasta el sistema integrado con software, es otra oportunidad para un error que socava la seguridad. Esto puede dar lugar a sorpresas de seguridad que provoquen el incumplimiento de los plazos y una lucha para finalizar cualquier refinamiento de los controles de ciberseguridad necesarios antes del cierre.
Muchas características introducidas para mitigar el riesgo, como Hardware Root of Trust (HRoT), pueden introducir vulnerabilidades en las fases de diseño e integración. Como componentes altamente configurables, es crucial detectar y prevenir vulnerabilidades en la configuración específica instanciada en la plataforma. Esto nuevamente destaca la importancia de realizar análisis y verificación de seguridad a nivel del sistema para garantizar que la integración de controles de seguridad como un HRoT no introduzca vulnerabilidades.
Tradicionalmente, los enfoques de verificación, como las pruebas funcionales o las pruebas de penetración, pueden ser difíciles de escalar durante esta fase, especialmente cuando los equipos intentan equilibrar los esfuerzos de verificación exhaustivos con las realidades de las limitaciones de recursos y plazos. Sin embargo, las plataformas de seguridad de hardware automatizadas pueden ayudar a las organizaciones a ser más eficientes sin dejar de realizar pruebas exhaustivas.
Ciberseguridad mejorada para toda la industria automotriz
Lanzar vehículos al mercado sin una seguridad de software y hardware bien examinada puede tener graves consecuencias, que estándares como ISO/SAE 21434 puede ayudar a las organizaciones a evitar. Introducir vehículos en el mercado sin un software y una seguridad de hardware bien examinados es un error costoso. Una vulnerabilidad de hardware detectada tarde en el ciclo de diseño aumentará el tiempo de comercialización y reducirá la confianza del proveedor. Si se explota con éxito en la producción, la vida y la seguridad de los consumidores pueden ser la consecuencia.
Cerrar la brecha entre la definición de requisitos de seguridad consistentes y la verificación de una manera más eficiente y completa brinda más confianza en la seguridad de sus diseños. Obtenga más información sobre cómo evitar sorpresas de seguridad en los semiconductores para automóviles y descargue el infografía.
Fuente: https://semiengineering.com/iso-sae-21434-secure-hardware-development-in-modern-vehicles/
- 2021
- 2022
- Nuestra Empresa
- Todos
- entre
- análisis
- Otra
- aplicable
- enfoque
- Activos
- Confirmación de Viaje
- coches
- automotor
- industria del automóvil
- Comienzo
- de
- carros
- Causar
- retos
- chip
- viniendo
- Empresas
- integraciones
- compliance
- confianza
- Configuración
- contiene
- continue
- conversaciones
- crítico
- La Ciberseguridad
- datos
- privacidad de datos
- despliegue
- Diseño
- diseños
- Desarrollo
- No
- conducción
- durante
- Entorno
- equipo
- especialmente
- Europa
- esperado
- experience
- Feature
- Caracteristicas
- Nombre
- formulario
- adelante
- Fundación
- Marco conceptual
- brecha
- Goals
- Crecer
- Materiales
- ayuda
- altamente
- HTTPS
- Identifique
- Incluye
- aumente
- energético
- COMPLETAMENTE
- integración
- interacción
- Internacional
- Introducido
- IT
- Japón
- jeep
- Corea
- Lead
- APRENDE:
- LED
- Nivel
- Realizar
- Management
- Mercado
- Medios
- modelos
- más,
- se mueve
- Oportunidad
- organización
- para las fiestas.
- (PDF)
- fase
- plataforma
- Plataformas
- presente
- política de privacidad
- en costes
- Producto
- desarrollo de productos
- Producción
- Programa
- proporciona un
- calidad
- realidades
- reducir
- liberado
- Requisitos
- Recurso
- Riesgo
- evaluación de riesgos
- Gestión sistemática del riesgo,
- Safety
- Escala
- EN LINEA
- semiconductor
- Semiconductores
- importante
- Software
- Desarrollo de software ad-hoc
- Etapa
- estándares de salud
- Con éxito
- proveedores
- suministro
- cadena de suministro
- Cadenas de suministro
- Superficie
- te
- Todas las funciones a su disposición
- Pruebas
- A través de esta formación, el personal docente y administrativo de escuelas y universidades estará preparado para manejar los recursos disponibles que derivan de la diversidad cultural de sus estudiantes. Además, un mejor y mayor entendimiento sobre estas diferencias y similitudes culturales permitirá alcanzar los objetivos de inclusión previstos.
- de hoy
- Confía en
- vehículo
- Vehículos
- Verificación
- Vulnerabilidades
- vulnerabilidad
- dentro de
- sin
- Youtube
