Demonstrarea importanței securității nu devine mult mai memorabilă decât Charlie Miller și Chris Valasek cu succes spargerea unui Jeep și împingerea lui într-un șanț. Efectele acestui impuls au fost de lungă durată, declanșând conversații atât în mass-media, cât și în industria auto despre peisajul amenințărilor în evoluție, pe măsură ce vehiculele devin din ce în ce mai automatizate.
mașina medie conține peste 150 de unități de control electronic, iar suprafața de atac și șansa ca potențialele vulnerabilități să fie incluse în designul final continuă să crească. Pe măsură ce industria trece de la platforme verticale bazate pe hardware la platforme orizontale definite de software, este esențial să ne asigurăm că producătorii și furnizorii includ controale solide de securitate cibernetică și confidențialitate a datelor în componentele și design-urile lor.
În plus, deficitul de semiconductori care a afectat mulți producători în 2021 a determinat companiile să își examineze lanțul de aprovizionare și să ia în considerare dezvoltarea de cipuri în interior, ceea ce înseamnă să-și asume și mai multă responsabilitate pentru atenuarea riscurilor de securitate cibernetică hardware și software.
Organismele de reglementare încep să ia măsuri pentru a se asigura că securitatea cibernetică este construită în temelia noilor automobile care vin pe piață și sunt testate temeinic. Este bine înțeles că numai software-ul și firmware-ul securizat nu sunt suficiente pentru a crea un vehicul inviolabil. În curând, producătorii de echipamente originale și lanțurile lor de aprovizionare vor trebui să îndeplinească noi standarde atât pentru procesele lor de dezvoltare hardware, cât și pentru software, cum ar fi ISO/SAE 21434. În continuare, întregul lanț de aprovizionare pentru automobile, inclusiv ECU, va fi de așteptat să includă procese transparente și bine documentate care conțin o verificare completă a securității.
ISO/SAE 21434 Vehicule rutiere — Inginerie de securitate cibernetică
Noua Organizație Internațională pentru Standardizare (ISO) și SAE International ISO/SAE 21434 standardele acoperă „…cerințele de inginerie pentru managementul riscului de securitate cibernetică în ceea ce privește conceptul, dezvoltarea produsului, producția, operarea, întreținerea și dezafectarea sistemelor electrice și electronice (E/E) din vehiculele rutiere, inclusiv componentele și interfețele acestora.” Modelele din iunie 2022 lansate în Europa, Japonia și Coreea vor fi printre primele mașini care trebuie să dovedească conformitatea cu aceste noi standarde.
În timp ce o abordare holistică a securității cibernetice este o parte semnificativă a cadrului, organizațiile care abordează fazele de dezvoltare a conceptului și a produsului fără o metodologie robustă de verificare a securității cibernetice și un program matur se pot confrunta cu provocări.
Definirea conceptelor și obiectivelor de securitate cibernetică
În continuare, organizațiile vor trebui să demonstreze că securitatea cibernetică a fost gestionată și luată în considerare temeinic la fiecare nivel al lanțului de aprovizionare. Aceasta include definirea clară a controalelor și cerințelor, precum și verificarea acestora.
Specificarea slabă duce la cerințe de securitate inexacte, înșelătoare sau neverificabile. Toate elementele, obiectivele de securitate cibernetică și conceptele ar trebui să fie documentate, înțelese și comunicate părților interesate. Acestea includ activele în sine, interacțiunile lor și orice caracteristică de proiectare sau calitate a mediului de implementare a unui dispozitiv menită să păstreze obiectivele de securitate ale unui activ.
Atât controalele pe care intenționați să le utilizați pentru a atenua riscul, cât și cerințele de securitate ar trebui să rezulte dintr-o analiză amănunțită a amenințărilor și exerciții de evaluare a riscurilor.
Dezvoltarea și designul produselor sigure
Controalele care sunt decise și cerințele de securitate definite vor forma nucleul specificației de securitate cibernetică și vor duce direct la un plan de verificare a securității.
Acestea trebuie să fie în concordanță cu specificațiile și obiectivele definite la niveluri superioare de abstractizare arhitecturală și prin ciclul de viață al designului. Fiecare cerință ar trebui să fie, de asemenea, falsificabilă, adică trebuie să existe o modalitate de a se dovedi falsă cu datele prin verificarea de securitate.
Un program de verificare bine gestionat va permite echipelor să identifice punctele slabe de securitate în implementarea designului și să valideze dacă controalele de securitate cibernetică utilizate în proiectare protejează în mod corespunzător activele.
Integrare și verificare
Deși vulnerabilitățile pot fi introduse în orice etapă, multe apar în cadrul interacțiunii complexe a hardware-ului și software-ului prezent în design-urile de astăzi. De aceea, la fiecare pas al procesului de proiectare, de la nivel de bloc până la nivel de sistem și, dacă este cazul, software, organizațiile ar trebui să verifice cerințele de securitate pentru a asigura conformitatea cu specificațiile de securitate clar definite. Testarea intermitentă nu mai este suficientă. Fiecare pas de dezvoltare – de la bloc la sistemul integrat cu software – este o altă oportunitate pentru o greșeală care subminează securitatea. Acest lucru poate duce la surprize de securitate care provoacă nerespectarea termenelor limită și o luptă pentru finalizarea oricăror îmbunătățiri ale controalelor de securitate cibernetică necesare înainte de înregistrare.
Multe caracteristici introduse pentru a atenua riscul, cum ar fi un Hardware Root of Trust (HRoT), pot introduce vulnerabilități în fazele de proiectare și integrare. Fiind componente extrem de configurabile, este esențial să detectați și să preveniți vulnerabilitățile în configurația specifică instanțiată în platformă. Acest lucru evidențiază din nou importanța efectuării analizei și verificării securității la nivel de sistem pentru a se asigura că integrarea controalelor de securitate precum un HRoT nu introduce vulnerabilități.
În mod tradițional, abordările de verificare, cum ar fi testarea funcțională sau testarea de penetrare, pot fi dificil de scalat în această fază, mai ales că echipele încearcă să echilibreze eforturile de verificare exhaustive cu realitățile constrângerilor de resurse și de termen. Cu toate acestea, platformele automate de securitate hardware pot ajuta organizațiile să fie mai eficiente în timp ce efectuează în continuare teste cuprinzătoare.
Securitate cibernetică îmbunătățită pentru întreaga industrie auto
Aducerea pe piață a vehiculelor fără software-ul și securitatea hardware bine verificate poate avea consecințe grave, care standarde precum ISO/SAE 21434 poate ajuta organizațiile să evite. Introducerea pe piață a vehiculelor fără software-ul și securitatea hardware strict verificate este o greșeală costisitoare. O vulnerabilitate hardware detectată târziu în ciclul de proiectare va crește timpul de lansare pe piață și va reduce încrederea furnizorilor. Dacă este exploatat cu succes în producție, viața și siguranța consumatorilor pot fi consecința.
Reducerea decalajului dintre definirea cerințelor de securitate consecvente și verificarea într-o manieră mai eficientă și mai cuprinzătoare oferă mai multă încredere în securitatea proiectelor dvs. Aflați mai multe despre evitarea surprizelor de securitate în semiconductori auto și descărcați infographic.
Sursa: https://semiengineering.com/iso-sae-21434-secure-hardware-development-in-modern-vehicles/
- 2021
- 2022
- Despre Noi
- TOATE
- printre
- analiză
- O alta
- aplicabil
- abordare
- Bunuri
- Automata
- automobile
- auto
- industria de automobile
- Început
- mașină
- masini
- Provoca
- provocări
- cip
- venire
- Companii
- complex
- conformitate
- încredere
- Configuraţie
- conține
- continua
- conversații
- critic
- Securitate cibernetică
- de date
- confidențialitatea datelor
- desfășurarea
- Amenajări
- modele
- Dezvoltare
- Nu
- conducere
- în timpul
- Mediu inconjurator
- echipament
- mai ales
- Europa
- de aşteptat
- experienţă
- Caracteristică
- DESCRIERE
- First
- formă
- Înainte
- Fundație
- Cadru
- decalaj
- Goluri
- Crește
- Piese metalice
- ajutor
- extrem de
- HTTPS
- identifica
- Inclusiv
- Crește
- industrie
- integrate
- integrare
- interacţiune
- Internațional
- introdus
- IT
- Japonia
- jeep
- Coreea
- conduce
- AFLAȚI
- Led
- Nivel
- nivelurile de
- Efectuarea
- administrare
- Piață
- Mass-media
- Modele
- mai mult
- mişcă
- necesar
- Oportunitate
- organizație
- organizații
- fază
- platformă
- Platforme
- prezenta
- intimitate
- proces
- procese
- Produs
- dezvoltare de produs
- producere
- Program
- furnizează
- calitate
- realități
- reduce
- eliberat
- Cerinţe
- resursă
- Risc
- evaluare a riscurilor
- de gestionare a riscurilor
- Siguranţă
- Scară
- securitate
- semiconductor
- Semiconductori
- semnificativ
- Software
- de dezvoltare de software
- Etapă
- standarde
- Reușit
- furnizori
- livra
- lanțului de aprovizionare
- Lanțurile de aprovizionare
- Suprafață
- sistem
- sisteme
- Testarea
- Prin
- azi
- Încredere
- vehicul
- Vehicule
- Verificare
- Vulnerabilitățile
- vulnerabilitate
- în
- fără
- youtube
