Dimostrare l'importanza della sicurezza non può essere più memorabile del successo di Charlie Miller e Chris Valasek ha hackerato una Jeep e l'ha portata in un fosso. Gli effetti di tale spinta sono stati di lunga portata, innescando conversazioni sia nei media che nell’industria automobilistica sull’evoluzione del panorama delle minacce man mano che i veicoli diventano sempre più automatizzati.
I un'auto media contiene oltre 150 centraline elettroniche, e la superficie di attacco e la possibilità che potenziali vulnerabilità entrino nel progetto finale continuano a crescere. Mentre il settore passa da piattaforme verticali basate sull’hardware a piattaforme orizzontali definite dal software, è fondamentale garantire che produttori e fornitori includano solidi controlli sulla sicurezza informatica e sulla privacy dei dati nei loro componenti e progetti.
Inoltre, la carenza di semiconduttori che ha colpito molti produttori nel 2021 ha anche portato le aziende a esaminare la propria catena di fornitura e a prendere in considerazione l’idea di portare internamente lo sviluppo dei chip, il che significa assumersi una responsabilità ancora maggiore per mitigare i rischi di sicurezza informatica hardware e software.
Gli organismi di regolamentazione stanno iniziando ad adottare misure per garantire che la sicurezza informatica sia integrata nelle fondamenta delle nuove automobili immesse sul mercato e testata approfonditamente. È risaputo che software e firmware sicuri da soli non sono sufficienti per creare un veicolo a prova di manomissione. Presto i produttori di apparecchiature originali e le loro catene di fornitura dovranno soddisfare nuovi standard sia per i processi di sviluppo hardware che per quelli software, ad esempio ISO/SAE21434. Andando avanti, ci si aspetta che l’intera catena di fornitura automobilistica, comprese le ECU, includa processi trasparenti e ben documentati che contengano una verifica di sicurezza completa.
ISO/SAE 21434 Veicoli stradali: ingegneria della sicurezza informatica
La nuova Organizzazione Internazionale per la Standardizzazione (ISO) e SAE International ISO/SAE21434 Gli standard riguardano "...requisiti ingegneristici per la gestione del rischio di sicurezza informatica riguardanti il concetto, lo sviluppo del prodotto, la produzione, il funzionamento, la manutenzione e lo smantellamento dei sistemi elettrici ed elettronici (E/E) nei veicoli stradali, compresi i loro componenti e interfacce." I modelli di giugno 2022 rilasciati in Europa, Giappone e Corea saranno tra le prime auto che dovranno dimostrare la conformità a questi nuovi standard.
Sebbene un approccio olistico alla sicurezza informatica costituisca una parte significativa del quadro normativo, le organizzazioni che si avvicinano alle fasi di sviluppo del concetto e del prodotto senza una solida metodologia di verifica della sicurezza informatica e un programma maturo potrebbero incontrare sfide.
Definire concetti e obiettivi di sicurezza informatica
Andando avanti, le organizzazioni dovranno dimostrare che la sicurezza informatica è stata gestita e considerata attentamente a ogni livello della catena di fornitura. Ciò include la definizione chiara di controlli e requisiti, nonché la loro verifica.
Specifiche inadeguate portano a requisiti di sicurezza imprecisi, fuorvianti o non verificabili. Tutti gli elementi, gli obiettivi e i concetti di sicurezza informatica dovrebbero essere documentati, compresi e comunicati alle parti interessate. Questi includono le risorse stesse, le loro interazioni e qualsiasi caratteristica di progettazione o qualità dell'ambiente di distribuzione di un dispositivo destinata a preservare gli obiettivi di sicurezza di una risorsa.
Sia i controlli che intendi utilizzare per mitigare i rischi che i requisiti di sicurezza dovrebbero risultare da un'analisi approfondita delle minacce e da esercizi di valutazione del rischio.
Proteggi lo sviluppo e la progettazione dei prodotti
I controlli decisi e i requisiti di sicurezza definiti costituiranno il nucleo delle specifiche di sicurezza informatica e porteranno direttamente a un piano di verifica della sicurezza.
Questi devono essere coerenti con le specifiche e gli obiettivi definiti ai livelli più alti di astrazione architettonica e attraverso il ciclo di vita del progetto. Ogni requisito dovrebbe anche essere falsificabile, ovvero deve esserci un modo per poterlo dimostrare falso con i dati attraverso la verifica di sicurezza.
Un programma di verifica ben gestito consentirà ai team di identificare i punti deboli della sicurezza nell’implementazione della progettazione e di verificare se i controlli di sicurezza informatica utilizzati nella progettazione proteggono adeguatamente le risorse.
Integrazione e verifica
Sebbene le vulnerabilità possano essere introdotte in qualsiasi fase, molte si verificano all'interno della complessa interazione tra hardware e software presente nei progetti odierni. Ecco perché, in ogni fase del processo di progettazione, dal livello di blocco al livello di sistema e, se applicabile, al software, le organizzazioni dovrebbero verificare i requisiti di sicurezza per garantire la conformità con specifiche di sicurezza chiaramente definite. I test intermittenti non sono più sufficienti. Ogni fase dello sviluppo – dal blocco al sistema integrato con il software – è un’altra occasione per commettere un errore che mina la sicurezza. Ciò può portare a sorprese in termini di sicurezza che causano il mancato rispetto delle scadenze e una corsa per finalizzare eventuali perfezionamenti dei controlli di sicurezza informatica necessari prima del tape-out.
Molte funzionalità introdotte per mitigare il rischio, come l’Hardware Root of Trust (HRoT), possono introdurre vulnerabilità stesse nelle fasi di progettazione e integrazione. Trattandosi di componenti altamente configurabili, è fondamentale rilevare e prevenire le vulnerabilità sulla configurazione specifica istanziata nella piattaforma. Ciò evidenzia ancora una volta l’importanza di eseguire analisi e verifiche di sicurezza a livello di sistema per garantire che l’integrazione di controlli di sicurezza come un HRoT non introduca vulnerabilità.
Tradizionalmente, gli approcci di verifica come i test funzionali o i test di penetrazione possono essere difficili da scalare durante questa fase, soprattutto quando i team cercano di bilanciare gli sforzi di verifica esaustivi con la realtà dei vincoli in termini di risorse e scadenze. Tuttavia, le piattaforme di sicurezza hardware automatizzate possono aiutare le organizzazioni a essere più efficienti pur continuando a eseguire test completi.
Maggiore sicurezza informatica per l’intera industria automobilistica
Portare veicoli sul mercato senza una sicurezza software e hardware fortemente controllata può avere gravi conseguenze, come piace agli standard ISO/SAE21434 può aiutare le organizzazioni a evitare. Introdurre veicoli sul mercato senza un software e una sicurezza hardware fortemente controllati è un errore costoso. Una vulnerabilità hardware rilevata in una fase avanzata del ciclo di progettazione aumenterà il time-to-market e ridurrà la fiducia dei fornitori. Se viene sfruttato con successo nella produzione, la conseguenza può essere la vita e la sicurezza dei consumatori.
Colmare il divario tra la definizione di requisiti di sicurezza coerenti e la verifica in modo più efficiente e completo offre maggiore fiducia nella sicurezza dei progetti. Scopri di più su come evitare sorprese in termini di sicurezza nei semiconduttori automobilistici e scarica il infografica.
Fonte: https://semiengineering.com/iso-sae-21434-secure-hardware-development-in-modern-vehicles/
- 2021
- 2022
- Chi siamo
- Tutti
- tra
- .
- Un altro
- applicabile
- approccio
- Attività
- Automatizzata
- automobili
- settore automobilistico
- industria automobilistica
- Inizio
- auto
- auto
- Causare
- sfide
- patata fritta
- arrivo
- Aziende
- complesso
- conformità
- fiducia
- Configurazione
- contiene
- continua
- Conversazioni
- critico
- Cybersecurity
- dati
- privacy dei dati
- deployment
- Design
- disegni
- Mercato
- non
- guida
- durante
- Ambiente
- usate
- particolarmente
- Europa
- previsto
- esperienza
- caratteristica
- Caratteristiche
- Nome
- modulo
- Avanti
- Fondazione
- Contesto
- divario
- Obiettivi
- Crescere
- Hardware
- Aiuto
- vivamente
- HTTPS
- identificare
- Compreso
- Aumento
- industria
- integrato
- integrazione
- interazione
- Internazionale
- introdotto
- IT
- Giappone
- jeep
- Corea
- portare
- IMPARARE
- Guidato
- Livello
- livelli
- Fare
- gestione
- Rappresentanza
- Media
- modelli
- Scopri di più
- si muove
- di applicazione
- Opportunità
- organizzazione
- organizzazioni
- fase
- piattaforma
- Piattaforme
- presenti
- Privacy
- processi
- i processi
- Prodotto
- sviluppo del prodotto
- Produzione
- Programma
- fornisce
- qualità
- realtà
- ridurre
- rilasciato
- Requisiti
- risorsa
- Rischio
- valutazione del rischio
- gestione del rischio
- Sicurezza
- Scala
- problemi di
- semiconduttore
- Semiconduttori
- significativa
- Software
- lo sviluppo del software
- Stage
- standard
- Con successo
- fornitori
- fornire
- supply chain
- Catene di fornitura
- superficie
- sistema
- SISTEMI DI TRATTAMENTO
- Testing
- Attraverso
- di oggi
- Affidati ad
- veicolo
- Veicoli
- Convalida
- vulnerabilità
- vulnerabilità
- entro
- senza
- youtube
