Демонстрація важливості безпеки не запам’ятовується більше, ніж успішні дії Чарлі Міллера та Кріса Валасека зламати джип і з'їхати на ньому в кювет. Наслідки цього стремління були довготривалими, що викликало дискусії як у ЗМІ, так і в автомобільній промисловості про розвиток загроз, оскільки транспортні засоби стають все більш автоматизованими.
Команда Середній автомобіль містить понад 150 електронних блоків управління, а поверхня атаки та ймовірність того, що потенційні вразливості потраплять у остаточний дизайн, продовжують зростати. Оскільки галузь переходить від вертикальних апаратних платформ до горизонтальних програмно-визначених платформ, дуже важливо переконатися, що виробники та постачальники включають надійні засоби кібербезпеки та конфіденційності даних у свої компоненти та конструкції.
Крім того, дефіцит напівпровідників, який вплинув на багатьох виробників у 2021 році, також змусив компанії перевірити свій ланцюжок постачання та розглянути можливість залучити розробку мікросхем власними силами, що означає взяти на себе ще більше відповідальності за пом’якшення ризиків кібербезпеки апаратного та програмного забезпечення.
Регуляторні органи починають вживати заходів, щоб гарантувати, що кібербезпека закладена в основу нових автомобілів, які виходять на ринок і ретельно перевіряються. Добре зрозуміло, що для створення захищеного від несанкціонованого втручання транспортного засобу недостатньо тільки безпечного програмного забезпечення та мікропрограми. Невдовзі виробники оригінального обладнання та їхні ланцюги поставок повинні будуть відповідати новим стандартам для процесів розробки апаратного та програмного забезпечення, таких як ISO/SAE 21434. У майбутньому весь ланцюжок постачання автомобілів, включно з ECU, повинен включати прозорі та добре задокументовані процеси, які включають комплексну перевірку безпеки.
ISO/SAE 21434 Дорожні транспортні засоби — Розробка кібербезпеки
Нова Міжнародна організація стандартизації (ISO) і SAE International ISO/SAE 21434 стандарти охоплюють «…технічні вимоги до управління ризиками кібербезпеки щодо концепції, розробки продуктів, виробництва, експлуатації, обслуговування та виведення з експлуатації електричних і електронних (E/E) систем у транспортних засобах, включаючи їх компоненти та інтерфейси». Моделі червня 2022 року, випущені в Європі, Японії та Кореї, будуть одними з перших автомобілів, які повинні підтвердити відповідність цим новим стандартам.
Хоча цілісний підхід до кібербезпеки є важливою частиною структури, організації, які підходять до етапів розробки концепції та продукту без надійної методології перевірки кібербезпеки та зрілої програми, можуть зіткнутися з проблемами.
Визначення концепцій та цілей кібербезпеки
Рухаючись вперед, організаціям потрібно буде продемонструвати, що кібербезпека ретельно керується та враховується на кожному рівні ланцюга постачання. Це включає чітке визначення засобів контролю та вимог, а також їх перевірку.
Погана специфікація призводить до неточних, оманливих або неперевірених вимог безпеки. Усі елементи, цілі та концепції кібербезпеки мають бути задокументовані, зрозумілі та доведені до відома зацікавлених сторін. До них належать самі активи, їх взаємодія та будь-які конструктивні особливості чи якість середовища розгортання пристрою, спрямовані на збереження цілей безпеки активу.
І елементи керування, які ви збираєтеся використовувати для зменшення ризику, і вимоги до безпеки мають бути результатом ретельного аналізу загроз та оцінки ризиків.
Безпечна розробка та дизайн продуктів
Визначені засоби контролю та визначені вимоги безпеки становитимуть ядро специфікації кібербезпеки та безпосередньо ведуть до плану перевірки безпеки.
Вони повинні відповідати специфікаціям і цілям, визначеним на вищих рівнях архітектурної абстракції та протягом життєвого циклу проекту. Кожна вимога також має бути фальсифікованою, тобто має існувати спосіб, яким її можна показати хибною з даними через перевірку безпеки.
Добре запущена програма перевірки дозволить командам визначити слабкі місця безпеки в реалізації проекту та перевірити, чи засоби контролю кібербезпеки, використані в проекті, належним чином захищають активи.
Інтеграція та перевірка
Хоча уразливості можуть виникнути на будь-якому етапі, багато з них виникають у складній взаємодії апаратного та програмного забезпечення, наявного в сучасних конструкціях. Ось чому на кожному етапі процесу проектування, від рівня блоку до рівня системи та, якщо це застосовно, програмного забезпечення, організації повинні перевіряти вимоги безпеки, щоб забезпечити відповідність чітко визначеним специфікаціям безпеки. Переривчастого тестування вже недостатньо. Кожен крок розробки – від блоку до інтегрованої системи з програмним забезпеченням – це ще одна можливість для помилки, яка підриває безпеку. Це може призвести до сюрпризів безпеки, які призведуть до пропуску термінів і зусиль, щоб завершити будь-які уточнення елементів керування кібербезпекою, необхідні перед записом.
Багато функцій, запроваджених для зменшення ризику, наприклад Hardware Root of Trust (HRoT), можуть самі по собі створювати вразливості на етапах проектування та інтеграції. Оскільки компоненти з високою можливістю конфігурації, дуже важливо виявляти та запобігати вразливостям у конкретній конфігурації, створеній на платформі. Це ще раз підкреслює важливість виконання аналізу безпеки та перевірки на системному рівні, щоб гарантувати, що інтеграція засобів контролю безпеки, таких як HRoT, не створює вразливостей.
Традиційно такі підходи перевірки, як функціональне тестування або тестування на проникнення, можуть бути складними для масштабування на цьому етапі, особливо коли команди намагаються збалансувати зусилля з вичерпної перевірки з обмеженнями ресурсів і термінів. Однак автоматизовані апаратні платформи безпеки можуть допомогти організаціям підвищити ефективність, водночас виконуючи комплексне тестування.
Покращена кібербезпека для всієї автомобільної промисловості
Виведення транспортних засобів на ринок без ретельно перевіреного програмного та апаратного забезпечення може мати серйозні наслідки, які стандарти, як ISO/SAE 21434 може допомогти організаціям уникнути. Виведення транспортних засобів на ринок без ретельно перевіреного програмного та апаратного забезпечення безпеки є дорогою помилкою. Уразливість апаратного забезпечення, виявлена на пізній стадії циклу проектування, збільшить час виходу на ринок і знизить довіру постачальників. Якщо його успішно використовувати у виробництві, наслідком можуть бути життя та безпека споживачів.
Усунення розриву між визначенням узгоджених вимог безпеки та ефективнішою та комплексною перевіркою забезпечує більшу впевненість у безпеці ваших проектів. Дізнайтеся більше про те, як уникнути сюрпризів безпеки в автомобільних напівпровідниках і завантажте інфографіки.
Джерело: https://semiengineering.com/iso-sae-21434-secure-hardware-development-in-modern-vehicles/
- 2021
- 2022
- МЕНЮ
- ВСІ
- серед
- аналіз
- Інший
- застосовно
- підхід
- Активи
- Автоматизований
- автомобілів
- автомобільний
- автомобільна промисловість
- початок
- автомобіль
- автомобілів
- Викликати
- проблеми
- чіп
- майбутній
- Компанії
- комплекс
- дотримання
- довіра
- конфігурація
- містить
- продовжувати
- розмови
- критичний
- Кібербезпека
- дані
- конфіденційність даних
- розгортання
- дизайн
- конструкцій
- розробка
- Ні
- водіння
- під час
- Навколишнє середовище
- обладнання
- особливо
- Європа
- очікуваний
- досвід
- особливість
- риси
- Перший
- форма
- Вперед
- фонд
- Рамки
- розрив
- Цілі
- Рости
- апаратні засоби
- допомога
- дуже
- HTTPS
- ідентифікувати
- У тому числі
- Augmenter
- промисловість
- інтегрований
- інтеграція
- взаємодія
- Міжнародне покриття
- введені
- IT
- Japan
- джип
- Корея
- вести
- УЧИТЬСЯ
- Led
- рівень
- рівні
- Робить
- управління
- ринок
- Медіа
- Моделі
- більше
- рухається
- необхідний
- Можливість
- організація
- організації
- фаза
- платформа
- Платформи
- представити
- недоторканність приватного життя
- процес
- процеси
- Product
- розробка продукту
- Production
- програма
- забезпечує
- якість
- реалії
- зменшити
- випущений
- Вимога
- ресурс
- Risk
- оцінка ризику
- управління ризиками
- Безпека
- шкала
- безпеку
- напівпровідник
- Напівпровідникові прилади
- значний
- Софтвер
- розробка програмного забезпечення
- Стажування
- стандартів
- Успішно
- постачальники
- поставка
- ланцюжка поставок
- Ланцюги постачання
- поверхню
- система
- Systems
- Тестування
- через
- сьогоднішній
- Довіряйте
- автомобіль
- Транспортні засоби
- перевірка
- Уразливості
- вразливість
- в
- без
- YouTube
