Η επίδειξη της σημασίας της ασφάλειας δεν γίνεται πολύ πιο αξέχαστη από ό,τι οι Charlie Miller και Chris Valasek χακάροντας ένα τζιπ και οδηγώντας το σε ένα χαντάκι. Τα αποτελέσματα αυτής της κίνησης ήταν μακροχρόνια, πυροδοτώντας συζητήσεις τόσο στα μέσα ενημέρωσης όσο και στην αυτοκινητοβιομηχανία σχετικά με το εξελισσόμενο τοπίο απειλών καθώς τα οχήματα αυτοματοποιούνται ολοένα και περισσότερο.
Η Το μέσο αυτοκίνητο περιέχει πάνω από 150 ηλεκτρονικές μονάδες ελέγχου, και η επιφάνεια επίθεσης και η πιθανότητα πιθανών τρωτών σημείων να μπουν στον τελικό σχεδιασμό συνεχίζουν να αυξάνονται. Καθώς ο κλάδος μετακινείται από κάθετες πλατφόρμες που βασίζονται σε υλικό σε οριζόντιες πλατφόρμες που καθορίζονται από λογισμικό, είναι σημαντικό να διασφαλιστεί ότι οι κατασκευαστές και οι προμηθευτές περιλαμβάνουν ισχυρούς ελέγχους κυβερνοασφάλειας και απορρήτου δεδομένων στα στοιχεία και τα σχέδιά τους.
Επιπλέον, η έλλειψη ημιαγωγών που επηρέασε πολλούς κατασκευαστές το 2021 οδήγησε επίσης τις εταιρείες να εξετάσουν την αλυσίδα εφοδιασμού τους και να εξετάσουν το ενδεχόμενο να φέρουν την ανάπτυξη τσιπ εσωτερικά, πράγμα που σημαίνει ότι αναλαμβάνουν ακόμη μεγαλύτερη ευθύνη για τον μετριασμό των κινδύνων για την ασφάλεια στον κυβερνοχώρο υλικού και λογισμικού.
Οι ρυθμιστικοί φορείς αρχίζουν να λαμβάνουν μέτρα για να διασφαλίσουν ότι η κυβερνοασφάλεια ενσωματώνεται στη βάση των νέων αυτοκινήτων που έρχονται στην αγορά και ελέγχονται διεξοδικά. Είναι ευρέως κατανοητό ότι το ασφαλές λογισμικό και το υλικολογισμικό από μόνα τους δεν επαρκούν για τη δημιουργία ενός οχήματος με προστασία από παραβιάσεις. Σύντομα οι κατασκευαστές πρωτότυπου εξοπλισμού και οι αλυσίδες εφοδιασμού τους θα πρέπει να πληρούν νέα πρότυπα τόσο για τις διαδικασίες ανάπτυξης υλικού όσο και λογισμικού, όπως π.χ. ISO/SAE 21434. Προχωρώντας προς τα εμπρός, ολόκληρη η αλυσίδα εφοδιασμού αυτοκινήτων, συμπεριλαμβανομένων των ECU, αναμένεται να περιλαμβάνει διαφανείς και καλά τεκμηριωμένες διαδικασίες που περιέχουν ολοκληρωμένη επαλήθευση ασφάλειας.
ISO/SAE 21434 Οδικά Οχήματα — Μηχανική Κυβερνοασφάλειας
Ο νέος Διεθνής Οργανισμός Τυποποίησης (ISO) και η SAE International ISO/SAE 21434 Τα πρότυπα καλύπτουν «...μηχανικές απαιτήσεις για τη διαχείριση κινδύνων κυβερνοασφάλειας σχετικά με την ιδέα, την ανάπτυξη προϊόντων, την παραγωγή, τη λειτουργία, τη συντήρηση και τον παροπλισμό ηλεκτρικών και ηλεκτρονικών (E/E) συστημάτων σε οδικά οχήματα, συμπεριλαμβανομένων των στοιχείων και των διεπαφών τους». Τα μοντέλα Ιουνίου 2022 που κυκλοφόρησαν στην Ευρώπη, την Ιαπωνία και την Κορέα θα είναι από τα πρώτα αυτοκίνητα που πρέπει να αποδείξουν τη συμμόρφωση με αυτά τα νέα πρότυπα.
Ενώ η ολιστική προσέγγιση της κυβερνοασφάλειας αποτελεί σημαντικό μέρος του πλαισίου, οι οργανισμοί που προσεγγίζουν τις φάσεις της ιδέας και της ανάπτυξης προϊόντων χωρίς ισχυρή μεθοδολογία επαλήθευσης κυβερνοασφάλειας και ώριμο πρόγραμμα ενδέχεται να αντιμετωπίσουν προκλήσεις.
Καθορισμός εννοιών και στόχων κυβερνοασφάλειας
Προχωρώντας προς τα εμπρός, οι οργανισμοί θα πρέπει να αποδείξουν ότι η κυβερνοασφάλεια έχει γίνει διεξοδική διαχείριση και εξέταση σε κάθε επίπεδο της εφοδιαστικής αλυσίδας. Αυτό περιλαμβάνει τον σαφή καθορισμό ελέγχων και απαιτήσεων καθώς και την επαλήθευση τους.
Οι κακές προδιαγραφές οδηγούν σε ανακριβείς, παραπλανητικές ή μη επαληθεύσιμες απαιτήσεις ασφαλείας. Όλα τα στοιχεία, οι στόχοι και οι έννοιες για την ασφάλεια στον κυβερνοχώρο θα πρέπει να τεκμηριώνονται, να κατανοούνται και να κοινοποιούνται στους ενδιαφερόμενους. Αυτά περιλαμβάνουν τα ίδια τα στοιχεία, τις αλληλεπιδράσεις τους και κάθε σχεδιαστικό χαρακτηριστικό ή ποιότητα του περιβάλλοντος ανάπτυξης μιας συσκευής που αποσκοπεί στη διατήρηση των στόχων ασφαλείας ενός στοιχείου.
Και οι δύο έλεγχοι που σκοπεύετε να χρησιμοποιήσετε για τον μετριασμό των απαιτήσεων κινδύνου και ασφάλειας θα πρέπει να προκύπτουν από διεξοδική ανάλυση απειλών και ασκήσεις αξιολόγησης κινδύνου.
Ασφαλής ανάπτυξη και σχεδίαση προϊόντων
Οι έλεγχοι που αποφασίζονται και οι απαιτήσεις ασφαλείας που ορίζονται θα αποτελέσουν τον πυρήνα των προδιαγραφών για την ασφάλεια στον κυβερνοχώρο και θα οδηγήσουν απευθείας σε ένα σχέδιο επαλήθευσης ασφάλειας.
Αυτά πρέπει να συνάδουν με τις προδιαγραφές και τους στόχους που ορίζονται σε υψηλότερα επίπεδα αρχιτεκτονικής αφαίρεσης και μέσω του κύκλου ζωής του σχεδίου. Κάθε απαίτηση θα πρέπει επίσης να είναι παραποιήσιμη, δηλαδή, πρέπει να υπάρχει τρόπος να αποδειχθεί ψευδής με δεδομένα μέσω επαλήθευσης ασφαλείας.
Ένα καλά εκτελούμενο πρόγραμμα επαλήθευσης θα επιτρέψει στις ομάδες να εντοπίσουν τις αδυναμίες ασφάλειας στην υλοποίηση του σχεδιασμού και να επικυρώσουν εάν οι έλεγχοι κυβερνοασφάλειας που χρησιμοποιούνται στη σχεδίαση προστατεύουν σωστά τα περιουσιακά στοιχεία.
Ένταξη και επαλήθευση
Ενώ τα τρωτά σημεία μπορούν να εισαχθούν σε οποιοδήποτε στάδιο, πολλά συμβαίνουν μέσα στην πολύπλοκη αλληλεπίδραση υλικού και λογισμικού που υπάρχει στα σημερινά σχέδια. Αυτός είναι ο λόγος για τον οποίο, σε κάθε βήμα της διαδικασίας σχεδιασμού, από το επίπεδο μπλοκ έως το επίπεδο συστήματος και, εάν ισχύει, το λογισμικό, οι οργανισμοί θα πρέπει να επαληθεύουν τις απαιτήσεις ασφαλείας για να διασφαλίζουν τη συμμόρφωση με σαφώς καθορισμένες προδιαγραφές ασφαλείας. Οι διαλείπουσες δοκιμές δεν αρκούν πλέον. Κάθε βήμα ανάπτυξης – από το μπλοκ έως το ενσωματωμένο σύστημα με λογισμικό – είναι άλλη μια ευκαιρία για ένα λάθος που υπονομεύει την ασφάλεια. Αυτό μπορεί να οδηγήσει σε εκπλήξεις ασφαλείας που προκαλούν χαμένες προθεσμίες και αγώνα για την ολοκλήρωση τυχόν βελτιώσεων των ελέγχων ασφάλειας στον κυβερνοχώρο που απαιτούνται πριν από την εξαγωγή.
Πολλά χαρακτηριστικά που εισάγονται για τον μετριασμό του κινδύνου, όπως το Hardware Root of Trust (HRoT), μπορούν να εισαγάγουν ευπάθειες από μόνες τους στις φάσεις του σχεδιασμού και της ολοκλήρωσης. Ως στοιχεία με υψηλή δυνατότητα διαμόρφωσης, είναι σημαντικό να εντοπίζονται και να αποτρέπονται τρωτά σημεία στη συγκεκριμένη διαμόρφωση που παρουσιάζεται στην πλατφόρμα. Αυτό υπογραμμίζει και πάλι τη σημασία της διενέργειας ανάλυσης και επαλήθευσης ασφαλείας σε επίπεδο συστήματος για να διασφαλιστεί ότι η ενοποίηση ελέγχων ασφαλείας όπως ένα HRoT δεν εισάγει τρωτά σημεία.
Παραδοσιακά, οι προσεγγίσεις επαλήθευσης όπως η λειτουργική δοκιμή ή η δοκιμή διείσδυσης μπορεί να είναι δύσκολο να κλιμακωθούν κατά τη διάρκεια αυτής της φάσης, ειδικά καθώς οι ομάδες προσπαθούν να εξισορροπήσουν τις εξαντλητικές προσπάθειες επαλήθευσης με την πραγματικότητα των περιορισμών πόρων και προθεσμίας. Ωστόσο, οι αυτοματοποιημένες πλατφόρμες ασφαλείας υλικού μπορούν να βοηθήσουν τους οργανισμούς να είναι πιο αποτελεσματικοί ενώ παράλληλα εκτελούν ολοκληρωμένες δοκιμές.
Βελτιωμένη ασφάλεια στον κυβερνοχώρο για ολόκληρη την αυτοκινητοβιομηχανία
Η διάθεση οχημάτων στην αγορά χωρίς αυστηρά ελεγμένο λογισμικό και ασφάλεια υλικού μπορεί να έχει σοβαρές συνέπειες, όπως τα πρότυπα ISO/SAE 21434 μπορεί να βοηθήσει τους οργανισμούς να αποφύγουν. Η εισαγωγή οχημάτων στην αγορά χωρίς αυστηρά ελεγμένο λογισμικό και ασφάλεια υλικού είναι ένα δαπανηρό λάθος. Μια ευπάθεια υλικού που εντοπίζεται αργά στον κύκλο σχεδίασης θα αυξήσει το χρόνο διάθεσης στην αγορά και θα μειώσει την εμπιστοσύνη των προμηθευτών. Εάν αξιοποιηθεί επιτυχώς στην παραγωγή, η ζωή και η ασφάλεια των καταναλωτών μπορεί να είναι η συνέπεια.
Το κλείσιμο του χάσματος μεταξύ του καθορισμού συνεπών απαιτήσεων ασφαλείας και της επαλήθευσης με πιο αποτελεσματικό και ολοκληρωμένο τρόπο, παρέχει μεγαλύτερη εμπιστοσύνη στην ασφάλεια των σχεδίων σας. Μάθετε περισσότερα σχετικά με την αποφυγή εκπλήξεων ασφαλείας στους ημιαγωγούς αυτοκινήτων και κατεβάστε το infographic.
Πηγή: https://semiengineering.com/iso-sae-21434-secure-hardware-development-in-modern-vehicles/
- 2021
- 2022
- ΠΛΗΡΟΦΟΡΙΕΣ
- Όλα
- μεταξύ των
- ανάλυση
- Άλλος
- εφαρμόσιμος
- πλησιάζω
- Ενεργητικό
- Αυτοματοποιημένη
- αυτοκίνητα
- αυτοκινήτων
- αυτοκινητοβιομηχανία
- Αρχή
- αυτοκίνητο
- αυτοκίνητα
- Αιτία
- προκλήσεις
- τσιπ
- ερχομός
- Εταιρείες
- συγκρότημα
- Συμμόρφωση
- εμπιστοσύνη
- διαμόρφωση
- Περιέχει
- ΣΥΝΕΧΕΙΑ
- συνομιλίες
- κρίσιμης
- Κυβερνασφάλεια
- ημερομηνία
- Προστασία προσωπικών δεδομένων
- ανάπτυξη
- Υπηρεσίες
- σχέδια
- Ανάπτυξη
- Όχι
- οδήγηση
- κατά την διάρκεια
- Περιβάλλον
- εξοπλισμός
- ειδικά
- Ευρώπη
- αναμένεται
- εμπειρία
- Χαρακτηριστικό
- Χαρακτηριστικά
- Όνομα
- μορφή
- Προς τα εμπρός
- Θεμέλιο
- Πλαίσιο
- χάσμα
- Στόχοι
- Grow
- υλικού
- βοήθεια
- υψηλά
- HTTPS
- προσδιορίσει
- Συμπεριλαμβανομένου
- Αυξάνουν
- βιομηχανία
- ενσωματωθεί
- ολοκλήρωση
- αλληλεπίδραση
- International
- εισήγαγε
- IT
- Ιαπωνία
- τζίπ
- Κορέα
- οδηγήσει
- ΜΑΘΑΊΝΩ
- Led
- Επίπεδο
- επίπεδα
- Κατασκευή
- διαχείριση
- αγορά
- Εικόνες / Βίντεο
- μοντέλα
- περισσότερο
- κινήσεις
- που απαιτούνται
- Ευκαιρία
- επιχειρήσεις
- οργανώσεις
- φάση
- πλατφόρμες
- Πλατφόρμες
- παρόν
- μυστικότητα
- διαδικασια μας
- Διεργασίες
- Προϊόν
- ανάπτυξη προϊόντων
- παραγωγή
- Πρόγραμμα
- παρέχει
- ποιότητα
- πραγματικότητες
- μείωση
- κυκλοφόρησε
- απαιτήσεις
- πόρος
- Κίνδυνος
- εκτίμηση του κινδύνου
- διαχείριση των κινδύνων
- Ασφάλεια
- Κλίμακα
- ασφάλεια
- ημιαγωγός
- Ημιαγωγοί
- σημαντικός
- λογισμικό
- ανάπτυξη λογισμικού
- Στάδιο
- πρότυπα
- Επιτυχώς
- προμηθευτές
- προμήθεια
- αλυσίδας εφοδιασμού
- Αλυσίδες εφοδιασμού
- Επιφάνεια
- σύστημα
- συστήματα
- Δοκιμές
- Μέσω
- σημερινή
- Εμπιστευθείτε
- όχημα
- Οχήματα
- Επαλήθευση
- Θέματα ευπάθειας
- ευπάθεια
- εντός
- χωρίς
- YouTube
