Przemysł motoryzacyjny w coraz większym stopniu opiera się na oprogramowaniu, siłą rzeczy więc cyberbezpieczeństwo stało się jednym z podstawowych elementów zapewnienia bezpieczeństwa pojazdów, a nie odrębną, dobrą praktyką. Coraz większa ilość kodu, dzięki któremu funkcjonują nawet wydawać by się mogło proste pojazdy, stwarza nowe możliwości ataków. Aby się przed nimi uchronić, należy zintegrować pojęcia bezpieczeństwa cybernetycznego oraz bezpieczeństwa funkcjonalnego pojazdów.
Norma ISO/SAE 21434 to międzynarodowy standard dla branży motoryzacyjnej, mający na celu wdrożenie wymagań dot. zapewnienia cyberbezpieczeństwa w nowoczesnych pojazdach. Norma określa wymagania dotyczące budowy bezpiecznych systemów elektrycznych i elektronicznych, w tym ich komponentów i interfejsów, oraz zapewniania ich bezpieczeństwa przez cały okres eksploatacji. W treści normy pojawia się pojęcie systemu zarządzania bezpieczeństwem cybernetycznym (CSMS), co wskazuje na silne odniesienie do treści Regulaminu ONZ nr 155 (Jednolite przepisy dotyczące homologacji pojazdów w zakresie cyberbezpieczeństwa i systemu zarządzania bezpieczeństwem), a tym samym określa techniczne warunki wstępne homologacji typu pojazdów drogowych. Norma ISO/SAE 21434 obejmuje etapy rozwoju, produkcji, eksploatacji i ponownego przetwarzania w cyklu życia pojazdu.
Obecnie nikogo nie dziwi posiadanie w samochodzie osobowym wielu portów USB, łączności z urządzeniami przez Bluetooth, połączenia z siecią LTE czy 5G czy generowanie pokładowego WiFi dla pasażerów. I choć jazda samochodem podłączonym do sieci ma wiele zalet (np. łączność bezprzewodowa 5G umożliwiająca samodzielną jazdę, ekspresowe wezwanie pomocy w razie wypadku, zaawansowane systemy nawigacji, inteligentne sterowanie ruchem), rosnąca ilość oprogramowania w pojazdach doprowadziła również do zwiększonego ryzyka naruszenia bezpieczeństwa zarówno systemów pojazdu, jak i docelowo osób, które z niego korzystają. W rezultacie producenci pojazdów starają się usunąć wszelkie podatności obniżające ich bezpieczeństwo, aby zmniejszyć ilość wypadków i skalę obrażeń, które mogą powodować.
Norma ISO/SAE 21434 określa ramy dla ustanowienia zabezpieczeń w całym łańcuchu dostaw. Może być wykorzystana do wdrożenia systemu zarządzania cyberbezpieczeństwem, w tym zarządzania ryzykiem naruszenia cyberbezpieczeństwa, w ustrukturyzowanym i systematycznym podejściu. Zapewnia kompatybilność i integrację z innymi powiązanymi normami motoryzacyjnymi, takimi jak ISO 26262, ISO/PAS 21448 i IATF 16949. Realizując wymagania norm SAE J3061 i ISO/SAE 21434, każda organizacja będzie w stanie odpowiednio do oszacowanego ryzyka ochronić pojazdy i ich elementy składowe przed cyberatakami. Co istotne, w treści normy zawarte zostały przykłady najlepszych praktyk, narzędzi, rodzajów ataków i sposobów reagowania na incydenty.
W każdym dobrze zaprojektowanym systemie pojawiają się 2 pojęcia: wprowadzania zmian i ciągłego doskonalenia. Jest to naturalny proces wzmacniania bezpiecznej infrastruktury, projektowania i wdrażania nowych rozwiązań. W przypadku każdego rodzaju produktu pojawią się jego aktualizacje, wersjonowanie, wykrycie exploitów 0 Day, ataki na łańcuch dostaw i inne nieoczekiwane zdarzenia. Właśnie dzięki wprowadzanym zmianom i ciągłym doskonaleniu jesteśmy w stanie odpowiadać na te zagrożenia chroniąc swoje zasoby. Model V przedstawiony w normie ISO/SAE 21434 wizualizuje wspomniany iteracyjny proces projektowania zabezpieczeń. Zarówno w sprzęcie (hardware), jak i oprogramowaniu (software) jest wiele komponentów i funkcji mających wpływ na cykl życia produktu, przy czym za te elementy w dużej mierze odpowiadają dostawcy i podwykonawcy (w tym m.in. twórcy oprogramowania). Wraz z wydłużaniem się łańcucha dostaw, bezpieczeństwo staje się coraz bardziej fragmentaryczne, w wyniku czego cały system zaczyna się rozpadać.
Autor: Tomasz Cieślik