L'ultimo standard di sicurezza informatica automobilistica, ISO/SAE 21434, mira a fornire ai veicoli connessi una solida protezione dagli attacchi informatici dannosi. Lo standard richiede agli OEM e alle loro catene di approvvigionamento di applicare un approccio di sicurezza per progettazione ai loro componenti, server e processi per ridurre il rischio di essere vulnerabili agli attacchi in qualsiasi momento della vita di un veicolo, dalle fasi iniziali di progettazione e progettazione fino fine della vita.
Ai sensi della norma ISO/SAE 21434, la sicurezza deve essere presa in considerazione per tutti i sistemi elettronici dell'auto connessa, in ogni fase, dall'ideazione alla produzione fino alla dismissione, e i sistemi devono essere progettati in modo tale da offrire una solida protezione dalle minacce in evoluzione. I requisiti definiti dallo standard devono essere incorporati nel DNA di un'azienda e le organizzazioni devono implementare un sistema di gestione della sicurezza informatica (CSMS), inclusa la gestione del rischio di sicurezza informatica.
I veicoli connessi comunicheranno inevitabilmente con entità esterne, da altri veicoli all'infrastruttura smart-city e al cloud. Se lasciati non protetti, i sistemi elettronici del veicolo potrebbero essere compromessi dagli aggressori. Robuste misure di sicurezza sono essenziali per prevenire attacchi e proteggere il veicolo, i suoi sistemi e le reti di back-end che li servono dagli attacchi informatici.
Gli sforzi per creare uno standard di sicurezza informatica automobilistica sono iniziati nel 2016, quando la Society of Automotive Engineering (SAE) e l'Organizzazione internazionale per la standardizzazione (ISO) hanno avviato un'iniziativa congiunta per creare uno standard di settore per la sicurezza informatica dei veicoli. Entrambe le organizzazioni avevano lavorato separatamente sulla sicurezza automobilistica e sugli standard relativi alla sicurezza: ISO 26262 è il rinomato standard di sicurezza funzionale automobilistico e SAE ha sfruttato il quadro di ISO 26262 durante la creazione di J3061, la "Guida alla sicurezza informatica per i sistemi cyber-fisici".
Le due organizzazioni alla fine hanno unito le forze e hanno collaborato con case automobilistiche, fornitori di componenti e sistemi e fornitori di sicurezza informatica, coinvolgendo oltre 100 esperti di oltre 82 aziende in 16 paesi. Il nuovo standard ISO/SAE 21434 è il risultato di questa collaborazione. Definisce precisi requisiti procedurali e organizzativi per ottenere una solida sicurezza informatica dei veicoli. Nello standard sono inoltre dettagliati i passaggi necessari per eseguire l'analisi delle minacce e la valutazione del rischio di potenziali minacce informatiche durante tutto il ciclo di vita del veicolo. Inoltre, le organizzazioni devono monitorare gli eventi di sicurezza informatica e gestire gli incidenti quando si verificano.
Inoltre, da luglio 2022 in poi, i produttori di veicoli (OEM automobilistici) devono conformarsi alla nuova normativa sulla sicurezza informatica automobilistica R155 delle Nazioni Unite per il lancio di nuovi tipi di veicoli in Europa, Giappone e Corea, che rappresenta oltre un terzo della produzione globale di veicoli. Altre regioni dovrebbero seguire.
UN R155 è un ulteriore passo verso il miglioramento della sicurezza informatica. Il regolamento è stato adottato nel 2020 dalla Commissione economica per l'Europa delle Nazioni Unite (UNECE) WP.29, noto anche come Forum mondiale per l'armonizzazione delle normative sui veicoli. Ai sensi dell'UN R155, i produttori di veicoli possono ottenere l'omologazione del tipo di veicolo e vendere nuovi tipi di veicoli solo se dispongono di un CSMS certificato.
Lo standard ISO/SAE 21434 supporta l'implementazione dei requisiti R155 nelle organizzazioni lungo la catena di approvvigionamento. NXP è il primo Semiconduttore fornitore per essere certificato da TÜV SÜD per essere conforme a ISO/SAE 21434. Questo aiuta gli OEM a soddisfare i requisiti del regolamento R155.
È importante sottolineare che lo standard non significa che gli OEM debbano fare a pezzi i sistemi esistenti e rimuovere i componenti legacy a piacimento. Devono analizzare i sistemi automobilistici e determinare se i loro componenti soddisfano i criteri di sicurezza pertinenti. Questa analisi si rivelerà più semplice per i componenti nuovi e conformi. I componenti standard esistenti richiederanno un'ulteriore valutazione della loro idoneità e per identificare e affrontare eventuali carenze di sicurezza. Considerando la pletora di componenti elettronici utilizzati in una nuova auto da entrambi i fornitori Tier 1 e Tier 2, la responsabilità sarà condivisa, con le implicazioni che abbracciano l'intera catena di approvvigionamento.
I futuri prodotti automobilistici devono essere conformi allo standard e i produttori devono fornire prove a sostegno. NXP e altri fornitori devono lavorare a stretto contatto con i clienti Tier 1 e OEM e aiutarli a condurre le loro valutazioni dei rischi e la convalida della conformità.
Andando avanti, i consumatori e le case automobilistiche trarranno vantaggio dall’implementazione degli standard e dal rispetto delle normative. I consumatori possono godere di un servizio coerente e senza soluzione di continuità la tecnologia che migliora la sicurezza e l'esperienza dell'utente con una solida protezione contro gli attacchi informatici e le minacce in evoluzione.
su NXP Semiconductors