Niewiele bardziej zapada w pamięć wykazanie, jak ważne jest bezpieczeństwo, niż sukces Charliego Millera i Chrisa Valaska zhakowanie jeepa i wjechanie nim do rowu. Efekty tego dążenia były dalekosiężne, wywołując dyskusje zarówno w mediach, jak i w branży motoryzacyjnej na temat zmieniającego się krajobrazu zagrożeń, w miarę jak pojazdy stają się coraz bardziej zautomatyzowane.
Połączenia przeciętny samochód zawiera ponad 150 elektronicznych jednostek sterujących, a powierzchnia ataku i szansa, że potencjalne luki znajdą się w ostatecznym projekcie, wciąż rosną. W miarę jak branża przechodzi od pionowych platform sterowanych sprzętowo do poziomych platform definiowanych programowo, niezwykle ważne jest, aby producenci i dostawcy uwzględniali w swoich komponentach i projektach solidne kontrole bezpieczeństwa cybernetycznego i prywatności danych.
Ponadto niedobór półprzewodników, który dotknął wielu producentów w 2021 r., skłonił również firmy do zbadania swojego łańcucha dostaw i rozważenia wprowadzenia rozwoju chipów we własnym zakresie, co oznacza przyjęcie jeszcze większej odpowiedzialności za łagodzenie zagrożeń związanych z cyberbezpieczeństwem sprzętu i oprogramowania.
Organy regulacyjne zaczynają podejmować kroki w celu zapewnienia, że cyberbezpieczeństwo jest wbudowane w podstawę nowych samochodów wchodzących na rynek i dokładnie testowanych. Powszechnie wiadomo, że samo bezpieczne oprogramowanie i oprogramowanie układowe nie wystarczą do stworzenia pojazdu odpornego na manipulacje. Wkrótce producenci oryginalnego sprzętu i ich łańcuchy dostaw będą musieli spełnić nowe standardy zarówno w zakresie procesów opracowywania sprzętu, jak i oprogramowania, takich jak: ISO/SAE21434. Idąc dalej, oczekuje się, że cały łańcuch dostaw w branży motoryzacyjnej, w tym ECU, będzie obejmował przejrzyste i dobrze udokumentowane procesy, które obejmują kompleksową weryfikację bezpieczeństwa.
ISO/SAE 21434 Pojazdy drogowe — Inżynieria bezpieczeństwa cybernetycznego
Nowa Międzynarodowa Organizacja Normalizacyjna (ISO) i SAE International ISO/SAE21434 normy obejmują „… wymagania inżynieryjne dotyczące zarządzania ryzykiem cybernetycznym w odniesieniu do koncepcji, rozwoju produktu, produkcji, eksploatacji, konserwacji i wycofania z eksploatacji systemów elektrycznych i elektronicznych (E/E) w pojazdach drogowych, w tym ich komponentów i interfejsów”. Modele wprowadzone na rynek w Europie, Japonii i Korei w czerwcu 2022 r. będą jednymi z pierwszych samochodów, które będą musiały udowodnić zgodność z nowymi normami.
Chociaż holistyczne podejście do cyberbezpieczeństwa jest istotną częścią ram, organizacje zbliżające się do fazy rozwoju koncepcji i produktu bez solidnej metodologii weryfikacji bezpieczeństwa cybernetycznego i dojrzałego programu mogą napotkać wyzwania.
Definiowanie koncepcji i celów cyberbezpieczeństwa
Idąc dalej, organizacje będą musiały wykazać, że bezpieczeństwo cybernetyczne było dokładnie zarządzane i rozważane na każdym poziomie łańcucha dostaw. Obejmuje to jasne zdefiniowanie kontroli i wymagań, a także ich weryfikację.
Słaba specyfikacja prowadzi do niedokładnych, wprowadzających w błąd lub niemożliwych do zweryfikowania wymagań dotyczących bezpieczeństwa. Wszystkie elementy, cele i koncepcje cyberbezpieczeństwa powinny być udokumentowane, zrozumiałe i przekazane zainteresowanym stronom. Obejmują one same zasoby, ich interakcje oraz wszelkie cechy projektowe lub jakość środowiska wdrażania urządzenia, które mają na celu zachowanie celów związanych z bezpieczeństwem zasobu.
Zarówno kontrole, których zamierzasz użyć w celu ograniczenia ryzyka, jak i wymagania bezpieczeństwa, powinny wynikać z dokładnej analizy zagrożeń i ćwiczeń oceny ryzyka.
Bezpieczny rozwój i projekty produktów
Ustalone kontrole i określone wymagania bezpieczeństwa będą stanowić rdzeń specyfikacji cyberbezpieczeństwa i prowadzić bezpośrednio do planu weryfikacji bezpieczeństwa.
Muszą one być zgodne ze specyfikacjami i celami określonymi na wyższych poziomach abstrakcji architektonicznej oraz w całym cyklu życia projektu. Każde wymaganie powinno być również falsyfikowalne, tj. musi istnieć sposób, w jaki można wykazać jego fałszywość za pomocą danych poprzez weryfikację bezpieczeństwa.
Dobrze prowadzony program weryfikacyjny umożliwi zespołom zidentyfikowanie słabych punktów bezpieczeństwa w implementacji projektu i zweryfikowanie, czy kontrole bezpieczeństwa cybernetycznego zastosowane w projekcie odpowiednio chronią zasoby.
Integracja i weryfikacja
Chociaż luki w zabezpieczeniach mogą pojawić się na każdym etapie, wiele z nich pojawia się w ramach złożonej interakcji sprzętu i oprogramowania obecnych we współczesnych projektach. Dlatego na każdym etapie procesu projektowania, od poziomu bloków do poziomu systemu i, jeśli dotyczy, oprogramowania, organizacje powinny weryfikować wymagania bezpieczeństwa, aby zapewnić zgodność z jasno określonymi specyfikacjami bezpieczeństwa. Przerywane testy już nie wystarczają. Każdy etap rozwoju – od bloku do zintegrowanego systemu z oprogramowaniem – to kolejna okazja do popełnienia błędu podważającego bezpieczeństwo. Może to prowadzić do niespodzianek związanych z bezpieczeństwem, które powodują przekroczenie terminów i trudności w sfinalizowaniu wszelkich udoskonaleń kontroli bezpieczeństwa cybernetycznego, które są potrzebne przed wygaśnięciem taśmy.
Wiele funkcji wprowadzonych w celu ograniczenia ryzyka, takich jak Hardware Root of Trust (HRoT), może same wprowadzać luki w zabezpieczeniach w fazie projektowania i integracji. Ze względu na wysoce konfigurowalne komponenty kluczowe znaczenie ma wykrywanie luk w zabezpieczeniach konkretnej konfiguracji utworzonej na platformie i zapobieganie im. To ponownie podkreśla znaczenie przeprowadzania analizy i weryfikacji bezpieczeństwa na poziomie systemu, aby upewnić się, że integracja kontroli bezpieczeństwa, takich jak HRoT, nie wprowadza luk w zabezpieczeniach.
Tradycyjnie podejścia weryfikacyjne, takie jak testy funkcjonalne lub testy penetracyjne, mogą być trudne do skalowania w tej fazie, zwłaszcza gdy zespoły starają się zrównoważyć wyczerpujące wysiłki weryfikacyjne z realiami ograniczeń zasobów i terminów. Jednak zautomatyzowane platformy zabezpieczeń sprzętowych mogą pomóc organizacjom w zwiększeniu wydajności przy jednoczesnym wykonywaniu kompleksowych testów.
Lepsze cyberbezpieczeństwo dla całej branży motoryzacyjnej
Wprowadzanie pojazdów na rynek bez dokładnie sprawdzonego oprogramowania i zabezpieczeń sprzętowych może mieć poważne konsekwencje, co jest zgodne z normami ISO/SAE21434 może pomóc organizacjom uniknąć Wprowadzanie pojazdów na rynek bez dokładnie sprawdzonego oprogramowania i zabezpieczeń sprzętowych jest kosztownym błędem. Luka w zabezpieczeniach sprzętu wykryta na późnym etapie cyklu projektowania wydłuży czas wprowadzenia produktu na rynek i zmniejszy zaufanie do dostawcy. Jeśli zostanie z powodzeniem wykorzystany w produkcji, konsekwencją może być życie i bezpieczeństwo konsumentów.
Zmniejszenie luki między definiowaniem spójnych wymagań bezpieczeństwa a weryfikacją w bardziej wydajny i kompleksowy sposób zapewnia większe zaufanie do bezpieczeństwa projektów. Dowiedz się więcej o unikaniu niespodzianek związanych z bezpieczeństwem półprzewodników samochodowych i pobierz plik infografika.
Źródło: https://semiengineering.com/iso-sae-21434-secure-hardware-development-in-modern-vehicles/
- 2021
- 2022
- O nas
- Wszystkie kategorie
- wśród
- analiza
- Inne
- odpowiedni
- podejście
- Aktywa
- zautomatyzowane
- motoryzacyjne
- motoryzacyjny
- Przemysł motoryzacyjny
- Początek
- wózek
- samochody
- Spowodować
- wyzwania
- żeton
- przyjście
- Firmy
- kompleks
- spełnienie
- pewność siebie
- systemu
- zawiera
- kontynuować
- rozmowy
- krytyczny
- Bezpieczeństwo cybernetyczne
- dane
- prywatność danych
- Wdrożenie
- Wnętrze
- projekty
- oprogramowania
- Nie
- jazdy
- podczas
- Środowisko
- sprzęt
- szczególnie
- Europie
- spodziewany
- doświadczenie
- Cecha
- Korzyści
- i terminów, a
- Nasz formularz
- Naprzód
- Fundacja
- Framework
- szczelina
- Gole
- Rosnąć
- sprzęt komputerowy
- pomoc
- wysoko
- HTTPS
- zidentyfikować
- Włącznie z
- Zwiększać
- przemysł
- zintegrowany
- integracja
- wzajemne oddziaływanie
- na świecie
- wprowadzono
- IT
- Japonia
- jeep
- Korea
- prowadzić
- UCZYĆ SIĘ
- Doprowadziło
- poziom
- poziomy
- Dokonywanie
- i konserwacjami
- rynek
- Media
- modele
- jeszcze
- porusza się
- potrzebne
- Okazja
- organizacja
- organizacji
- faza
- Platforma
- Platformy
- teraźniejszość
- prywatność
- wygląda tak
- procesów
- Produkt
- rozwój produktów
- Produkcja
- Program
- zapewnia
- jakość
- rzeczywistości
- zmniejszyć
- wydany
- wymagania
- Zasób
- Ryzyko
- ocena ryzyka
- Zarządzanie ryzykiem
- Bezpieczeństwo
- Skala
- bezpieczeństwo
- Semiconductor
- Półprzewodniki
- znaczący
- Tworzenie
- rozwoju oprogramowania
- STAGE
- standardy
- Z powodzeniem
- dostawcy
- Dostawa
- łańcuch dostaw
- Dostarczać łańcuchy
- Powierzchnia
- system
- systemy
- Testowanie
- Przez
- dzisiaj
- Zaufaj
- pojazd
- Pojazdy
- Weryfikacja
- Luki w zabezpieczeniach
- wrażliwość
- w ciągu
- bez
- youtube