Turvallisuuden tärkeyden osoittaminen ei muutu paljon mieleenpainuvammaksi kuin Charlie Miller ja Chris Valasek onnistuneesti hakkeroida Jeeppiä ja ajaa sen ojaan. Sen vaikutukset ovat olleet kauaskantoisia, ja ne ovat herättäneet keskusteluja sekä tiedotusvälineissä että autoteollisuudessa muuttuvasta uhkakuvasta ajoneuvojen automatisoituessa yhä enemmän.
- Keskimääräinen auto sisältää yli 150 elektronista ohjausyksikköä, ja hyökkäyspinta ja mahdollisuus, että mahdolliset haavoittuvuudet pääsevät lopulliseen suunnitteluun, kasvavat edelleen. Teollisuuden siirtyessä vertikaalisista laitteistopohjaisista alustoista horisontaalisiin ohjelmiston määrittämiin alustoihin, on tärkeää varmistaa, että valmistajat ja toimittajat sisällyttävät omiin komponentteihinsa ja suunnitelmiinsa vankat kyberturvallisuuden ja tietosuojan hallintalaitteet.
Lisäksi moniin valmistajiin vuonna 2021 vaikuttanut puolijohdepula on myös saanut yritykset tarkastelemaan toimitusketjuaan ja harkitsemaan sirukehityksen tuomista sisäisiin, mikä tarkoittaa entistä suuremman vastuun ottamista laitteiston ja ohjelmiston kyberturvallisuusriskien vähentämisestä.
Sääntelyelimet alkavat ryhtyä toimiin varmistaakseen, että kyberturvallisuus sisällytetään markkinoille tulevien ja perusteellisesti testattujen uusien autojen perustaan. Ymmärretään hyvin, että suojattu ohjelmisto ja laiteohjelmisto eivät yksin riitä luomaan väärentämisen estävää ajoneuvoa. Alkuperäisten laitevalmistajien ja niiden toimitusketjujen on pian täytettävä uudet standardit sekä laitteisto- että ohjelmistokehitysprosesseissaan, kuten esim. ISO/SAE 21434. Jatkossa koko autoteollisuuden toimitusketjun, mukaan lukien ECU:t, odotetaan sisältävän läpinäkyviä ja hyvin dokumentoituja prosesseja, jotka sisältävät kattavan turvatarkastuksen.
ISO/SAE 21434 Maantieajoneuvot — Kyberturvallisuustekniikka
Uusi kansainvälinen standardointijärjestö ISO ja SAE International ISO/SAE 21434 Standardit kattavat "...kyberturvallisuusriskien hallinnan suunnitteluvaatimukset, jotka koskevat tieajoneuvojen sähköisten ja elektronisten (E/E) järjestelmien konseptia, tuotekehitystä, tuotantoa, käyttöä, kunnossapitoa ja käytöstä poistamista, mukaan lukien niiden komponentit ja liitännät." Kesäkuussa 2022 Euroopassa, Japanissa ja Koreassa julkaistut mallit ovat ensimmäisiä autoja, joiden on todistettava näiden uusien standardien noudattaminen.
Vaikka kokonaisvaltainen lähestymistapa kyberturvallisuuteen on tärkeä osa viitekehystä, organisaatiot, jotka lähestyvät konsepti- ja tuotekehitysvaiheita ilman vankkaa kyberturvallisuuden varmennusmenetelmää ja kypsää ohjelmaa, voivat kohdata haasteita.
Kyberturvallisuuden käsitteiden ja tavoitteiden määrittely
Jatkossa organisaatioiden on osoitettava, että kyberturvallisuutta on hallittu ja harkittu perusteellisesti toimitusketjun kaikilla tasoilla. Tämä sisältää valvonnan ja vaatimusten selkeän määrittelyn sekä niiden tarkistamisen.
Huono erittely johtaa epätarkkoihin, harhaanjohtaviin tai todentamattomiin turvallisuusvaatimuksiin. Kaikki kohteet, kyberturvallisuustavoitteet ja käsitteet tulee dokumentoida, ymmärtää ja viestiä sidosryhmille. Näitä ovat itse resurssit, niiden vuorovaikutus ja mikä tahansa laitteen käyttöönottoympäristön suunnitteluominaisuus tai laatu, jonka tarkoituksena on säilyttää omaisuuden suojaustavoitteet.
Sekä ohjauskeinojen, joita aiot käyttää riskien vähentämiseen, että turvallisuusvaatimusten tulee perustua perusteelliseen uhka-analyysiin ja riskinarviointiin.
Turvallinen tuotekehitys ja suunnittelu
Päätetyt kontrollit ja määritellyt turvallisuusvaatimukset muodostavat kyberturvallisuusmäärityksen ytimen ja johtavat suoraan turvallisuuden todentamissuunnitelmaan.
Niiden on oltava sopusoinnussa arkkitehtonisen abstraktion korkeammilla tasoilla ja suunnittelun elinkaaren aikana määriteltyjen eritelmien ja tavoitteiden kanssa. Jokaisen vaatimuksen tulee myös olla väärennettävä, eli se täytyy olla keino, jolla se voidaan osoittaa vääriksi tiedoilla turvatarkastuksen kautta.
Hyvin hoidetun varmennusohjelman avulla tiimit voivat tunnistaa suunnittelun toteutuksen tietoturvaheikkoudet ja vahvistaa, suojaavatko suunnittelussa käytetyt kyberturvallisuuden hallintalaitteet oikein.
Integrointi ja todentaminen
Vaikka haavoittuvuuksia voidaan ottaa käyttöön missä tahansa vaiheessa, monet niistä ilmenevät nykypäivän laitteistojen ja ohjelmistojen monimutkaisessa vuorovaikutuksessa. Siksi organisaatioiden tulee jokaisessa suunnitteluprosessin vaiheessa, lohkotasolta järjestelmätasolle, ja tarvittaessa ohjelmistotasolle, tarkistaa turvallisuusvaatimukset varmistaakseen, että ne noudattavat selkeästi määriteltyjä suojausmäärityksiä. Jaksottainen testaus ei enää riitä. Jokainen kehitysvaihe – lohkosta integroituun järjestelmään ohjelmistoineen – on uusi mahdollisuus turvallisuutta heikentävälle virheelle. Tämä voi johtaa tietoturvayllätyksiin, jotka aiheuttavat määräaikojen ylittymistä ja hankaluuksia kyberturvallisuuden hallintaan tarvittavien tarkennuksien viimeistelemiseksi ennen nauhaa.
Monet riskien vähentämiseksi käyttöön otetut ominaisuudet, kuten HRoT (Hardware Root of Trust), voivat aiheuttaa itse haavoittuvuuksia suunnittelu- ja integrointivaiheessa. Erittäin konfiguroitavina komponentteina on ratkaisevan tärkeää havaita ja estää haavoittuvuudet tietyssä alustassa ilmennetyssä kokoonpanossa. Tämä korostaa jälleen kerran, kuinka tärkeää on suorittaa tietoturva-analyysi ja -tarkistus järjestelmätasolla, jotta varmistetaan, että suojausohjaimien, kuten HRoT:n, integrointi ei aiheuta haavoittuvuuksia.
Perinteisesti varmennusmenetelmät, kuten toiminnallinen testaus tai läpäisytestaus, voivat olla haastavia skaalata tässä vaiheessa, varsinkin kun tiimit yrittävät tasapainottaa kattavat todentamistoimenpiteet resurssien ja määräaikojen rajoitusten kanssa. Automatisoidut laitteiston suojausalustat voivat kuitenkin auttaa organisaatioita toimimaan tehokkaammin samalla, kun ne suorittavat kattavan testauksen.
Parannettu kyberturvallisuus koko autoteollisuudelle
Ajoneuvojen tuomisella markkinoille ilman tarkasti tarkistettua ohjelmisto- ja laitteistoturvallisuutta voi olla vakavia seurauksia, joista standardit pitävät ISO/SAE 21434 voi auttaa organisaatioita välttämään. Ajoneuvojen tuominen markkinoille ilman tarkasti tarkistettua ohjelmisto- ja laitteistoturvallisuutta on kallis virhe. Myöhään suunnitteluvaiheessa havaittu laitteiston haavoittuvuus pidentää markkinoilletuloaikaa ja vähentää toimittajan luottamusta. Jos sitä hyödynnetään onnistuneesti tuotannossa, seurauksena voi olla kuluttajien henki ja turvallisuus.
Johdonmukaisten turvallisuusvaatimusten määrittelyn ja tehokkaamman ja kattavamman todentamisen välisen eron kurominen lisää luottamusta suunnitelmiesi turvallisuuteen. Lue lisää autojen puolijohteiden turvallisuusyllätysten välttämisestä ja lataa infographic.
Lähde: https://semiengineering.com/iso-sae-21434-secure-hardware-development-in-modern-vehicles/
- 2021
- 2022
- Meistä
- Kaikki
- keskuudessa
- analyysi
- Toinen
- sovelletaan
- lähestymistapa
- Varat
- Automatisoitu
- autot
- Automotive
- Autoteollisuuden
- Alku
- auto
- autot
- Aiheuttaa
- haasteet
- siru
- tuleva
- Yritykset
- monimutkainen
- noudattaminen
- luottamus
- Konfigurointi
- sisältää
- jatkaa
- keskustelut
- kriittinen
- tietoverkkojen
- tiedot
- Tietosuoja
- käyttöönotto
- Malli
- mallit
- Kehitys
- ei
- ajo
- aikana
- ympäristö
- laitteet
- erityisesti
- Eurooppa
- odotettu
- experience
- Ominaisuus
- Ominaisuudet
- Etunimi
- muoto
- Eteenpäin
- perusta
- Puitteet
- kuilu
- Tavoitteet
- Kasvaa
- Tarvikkeet
- auttaa
- erittäin
- HTTPS
- tunnistaa
- Mukaan lukien
- Kasvaa
- teollisuus
- integroitu
- integraatio
- vuorovaikutus
- kansainvälisesti
- käyttöön
- IT
- Japani
- jeeppi
- Korea
- johtaa
- OPPIA
- Led
- Taso
- tasot
- Tekeminen
- johto
- markkinat
- Media
- mallit
- lisää
- liikkuu
- tarvitaan
- Tilaisuus
- organisaatio
- organisaatioiden
- vaihe
- foorumi
- Platforms
- esittää
- yksityisyys
- prosessi
- Prosessit
- Tuotteet
- tuotekehitys
- tuotanto
- Ohjelma
- tarjoaa
- laatu
- realiteetit
- vähentää
- julkaistu
- vaatimukset
- resurssi
- Riski
- riskinarviointi
- riskienhallinta
- Turvallisuus
- Asteikko
- turvallisuus
- puolijohde
- Puolijohteet
- merkittävä
- Tuotteemme
- ohjelmistokehitys
- Vaihe
- standardit
- Onnistuneesti
- toimittajat
- toimittaa
- toimitusketju
- Toimitusketjut
- pinta
- järjestelmä
- järjestelmät
- Testaus
- Kautta
- tämän päivän
- Luottamus
- ajoneuvo
- Ajoneuvot
- Vahvistus
- haavoittuvuuksia
- alttius
- sisällä
- ilman
- youtube
