Güvenliğin önemini göstermek, Charlie Miller ve Chris Valasek'ten başarılı bir şekilde daha akılda kalıcı olamaz. bir cipi hacklemek ve onu bir hendeğe sürmek. Bu dürtünün etkileri uzun süredir devam ediyor ve hem medya hem de otomotiv endüstrisinde araçlar giderek daha otomatik hale geldikçe gelişen tehdit ortamı hakkında tartışmalara yol açtı.
The ortalama bir araba 150'den fazla elektronik kontrol ünitesi içerirve saldırı yüzeyi ve potansiyel güvenlik açıklarının nihai tasarıma dönüşme olasılığı artmaya devam ediyor. Endüstri dikey donanım odaklı platformlardan yatay yazılım tanımlı platformlara geçerken, üreticilerin ve tedarikçilerin bileşenlerinde ve tasarımlarında sağlam siber güvenlik ve veri gizliliği kontrolleri içermesini sağlamak kritik önem taşıyor.
Ek olarak, 2021'de birçok üreticiyi etkileyen yarı iletken kıtlığı, şirketleri tedarik zincirlerini incelemeye ve çip geliştirmeyi şirket içinde getirmeyi düşünmeye yöneltti; bu da donanım ve yazılım siber güvenlik risklerini azaltmak için daha fazla sorumluluk üstlenmek anlamına geliyor.
Düzenleyici kurumlar, siber güvenliğin piyasaya sürülen yeni otomobillerin temeline yerleştirildiğinden ve kapsamlı bir şekilde test edildiğinden emin olmak için adımlar atmaya başlıyor. Güvenli yazılım ve donanım yazılımının tek başına kurcalamaya dayanıklı bir araç oluşturmak için yeterli olmadığı iyi anlaşılmıştır. Yakında orijinal ekipman üreticilerinin ve onların tedarik zincirlerinin hem donanım hem de yazılım geliştirme süreçleri için yeni standartları karşılaması gerekecek. ISO/SAE21434. İleriye dönük olarak, ECU'lar dahil tüm otomotiv tedarik zincirinin, kapsamlı güvenlik doğrulaması içeren şeffaf ve iyi belgelenmiş süreçleri içermesi beklenecektir.
ISO/SAE 21434 Karayolu Araçları — Siber Güvenlik Mühendisliği
Yeni Uluslararası Standardizasyon Örgütü (ISO) ve SAE International ISO/SAE21434 standartlar, “…bileşenleri ve arayüzleri de dahil olmak üzere karayolu taşıtlarındaki elektrikli ve elektronik (E/E) sistemlerin konsept, ürün geliştirme, üretim, işletim, bakım ve devreden çıkarılmasına ilişkin siber güvenlik risk yönetimine yönelik mühendislik gerekliliklerini” kapsar. Avrupa, Japonya ve Kore'de piyasaya sürülen Haziran 2022 modelleri, bu yeni standartlara uygunluğu kanıtlaması gereken ilk otomobiller arasında olacak.
Siber güvenliğe bütünsel bir yaklaşım çerçevenin önemli bir parçası olsa da, konsept ve ürün geliştirme aşamalarına sağlam bir siber güvenlik doğrulama metodolojisi ve olgun bir program olmadan yaklaşan kuruluşlar zorluklarla karşılaşabilir.
Siber güvenlik kavramlarını ve hedeflerini tanımlama
İleride, kuruluşların siber güvenliğin tedarik zincirinin her seviyesinde kapsamlı bir şekilde yönetildiğini ve dikkate alındığını göstermeleri gerekecek. Bu, kontrollerin ve gereksinimlerin açıkça tanımlanmasını ve bunların doğrulanmasını içerir.
Zayıf spesifikasyon, hatalı, yanıltıcı veya doğrulanamayan güvenlik gereksinimlerine yol açar. Tüm öğeler, siber güvenlik hedefleri ve kavramları belgelenmeli, anlaşılmalı ve paydaşlara iletilmelidir. Bunlar, varlıkların kendilerini, etkileşimlerini ve bir varlığın güvenlik hedeflerini korumayı amaçlayan bir cihazın dağıtım ortamının herhangi bir tasarım özelliğini veya kalitesini içerir.
Riski azaltmak için kullanmayı düşündüğünüz kontroller ve güvenlik gereksinimleri, kapsamlı tehdit analizi ve risk değerlendirme alıştırmalarından kaynaklanmalıdır.
Güvenli ürün geliştirme ve tasarımlar
Karar verilen kontroller ve tanımlanan güvenlik gereksinimleri, siber güvenlik spesifikasyonunun özünü oluşturacak ve doğrudan bir güvenlik doğrulama planına yol açacaktır.
Bunlar, daha yüksek mimari soyutlama seviyelerinde ve tasarımın yaşam döngüsü boyunca tanımlanan özellikler ve hedeflerle tutarlı olmalıdır. Her gereksinim aynı zamanda yanlışlanabilir olmalıdır, yani güvenlik doğrulaması yoluyla verilerle yanlış gösterilebilmesinin bir yolu olmalıdır.
İyi çalışan bir doğrulama programı, ekiplerin tasarım uygulamasındaki güvenlik zayıflıklarını belirlemesine ve tasarımda kullanılan siber güvenlik kontrollerinin varlıkları düzgün bir şekilde koruyup korumadığını doğrulamasına olanak tanır.
Entegrasyon ve doğrulama
Güvenlik açıkları herhangi bir aşamada ortaya çıkabilirken, birçoğu günümüz tasarımlarında bulunan donanım ve yazılımın karmaşık etkileşimi içinde ortaya çıkar. Bu nedenle, blok seviyesinden sistem seviyesine ve varsa yazılıma kadar tasarım sürecinin her adımında, kuruluşlar açıkça tanımlanmış güvenlik özelliklerine uygunluğu sağlamak için güvenlik gereksinimlerini doğrulamalıdır. Aralıklı testler artık yeterli değil. Bloktan yazılımlı entegre sisteme kadar her geliştirme adımı, güvenliği baltalayan bir hata için başka bir fırsattır. Bu, kaçırılan teslim tarihlerine neden olan güvenlik sürprizlerine ve bant çıkışından önce gereken siber güvenlik kontrollerinin herhangi bir iyileştirmesini tamamlamak için bir mücadeleye yol açabilir.
Donanım Güven Kökü (HRoT) gibi riski azaltmak için sunulan birçok özellik, tasarım ve entegrasyon aşamalarında güvenlik açıklarını ortaya çıkarabilir. Yüksek düzeyde yapılandırılabilir bileşenler olarak, platformda somutlaştırılan belirli yapılandırmadaki güvenlik açıklarını tespit etmek ve önlemek çok önemlidir. Bu, bir HRoT gibi güvenlik kontrollerinin entegrasyonunun güvenlik açıkları oluşturmamasını sağlamak için sistem düzeyinde güvenlik analizi ve doğrulaması gerçekleştirmenin önemini bir kez daha vurgulamaktadır.
Geleneksel olarak, işlevsel testler veya sızma testi gibi doğrulama yaklaşımlarının, özellikle ekipler kapsamlı doğrulama çabalarını kaynak ve son tarih kısıtlamalarının gerçekleriyle dengelemeye çalıştıkça, bu aşamada ölçeklendirmek zor olabilir. Ancak, otomatikleştirilmiş donanım güvenliği platformları, kapsamlı testler gerçekleştirmeye devam ederken kuruluşların daha verimli olmasına yardımcı olabilir.
Tüm otomotiv endüstrisi için iyileştirilmiş siber güvenlik
Araçların güçlü bir şekilde denetlenmiş yazılım ve donanım güvenliği olmadan piyasaya sürülmesi, aşağıdaki gibi standartların ciddi sonuçları olabilir. ISO/SAE21434 kuruluşların kaçınmasına yardımcı olabilir. Güçlü bir şekilde incelenmiş yazılım ve donanım güvenliği olmadan araçları piyasaya sürmek maliyetli bir hatadır. Tasarım döngüsünün sonlarında tespit edilen bir donanım güvenlik açığı, pazara sunma süresini artıracak ve satıcı güvenini azaltacaktır. Üretimde başarılı bir şekilde kullanılırsa, sonuç tüketicilerin hayatı ve güvenliği olabilir.
Tutarlı güvenlik gereksinimleri tanımlama ile daha verimli ve kapsamlı bir şekilde doğrulama arasındaki boşluğu kapatmak, tasarımlarınızın güvenliği konusunda daha fazla güven sağlar. Otomotiv yarı iletkenlerinde güvenlik sürprizlerinden kaçınma hakkında daha fazla bilgi edinin ve infographic.
Kaynak: https://semiengineering.com/iso-sae-21434-secure-hardware-development-in-modern-vehicles/
- 2021
- 2022
- Hakkımızda
- Türkiye
- arasında
- analiz
- Başka
- uygulanabilir
- yaklaşım
- Varlıklar
- Otomatik
- otomobil
- otomotiv
- Otomotiv endüstrisi
- Başlangıç
- araba
- arabalar
- Sebeb olmak
- zorluklar
- yonga
- gelecek
- Şirketler
- karmaşık
- uyma
- güven
- yapılandırma
- içeren
- devam etmek
- konuşmaları
- kritik
- Siber güvenlik
- veri
- veri gizliliği
- açılma
- Dizayn
- tasarımlar
- gelişme
- Değil
- sürme
- sırasında
- çevre
- ekipman
- özellikle
- AVRUPA
- beklenen
- deneyim
- Özellikler(Hazırlık aşamasında)
- Özellikler
- Ad
- Airdrop Formu
- ileri
- vakıf
- iskelet
- boşluk
- Goller
- Büyümek
- donanım
- yardım et
- büyük ölçüde
- HTTPS
- belirlemek
- Dahil olmak üzere
- Artırmak
- sanayi
- entegre
- bütünleşme
- etkileşim
- Uluslararası
- tanıttı
- IT
- Japonya
- jip
- Kore
- öncülük etmek
- ÖĞRENİN
- Led
- seviye
- seviyeleri
- Yapımı
- yönetim
- pazar
- medya
- modelleri
- Daha
- hamle
- gerekli
- Fırsat
- kuruluşlar
- organizasyonlar
- faz
- platform
- Platformlar
- mevcut
- gizlilik
- süreç
- Süreçler
- PLATFORM
- ürün geliştirme
- üretim
- Programı
- sağlar
- kalite
- gerçeklik gösterileri
- azaltmak
- serbest
- Yer Alan Kurallar
- kaynak
- Risk
- risk değerlendirmesi
- risk yönetimi
- Güvenlik
- ölçek
- güvenlik
- yarıiletken
- Yarı iletkenler
- önemli
- Yazılım
- yazılım geliştirme
- Aşama
- standartlar
- Başarılı olarak
- tedarikçileri
- arz
- tedarik zinciri
- Tedarik zinciri
- yüzey
- sistem
- Sistemler
- Test yapmak
- İçinden
- bugünkü
- Güven
- araç
- Araçlar
- Doğrulama
- güvenlik açıkları
- güvenlik açığı
- içinde
- olmadan
- Youtube
