De nieuwste cyberbeveiligingsnorm voor auto's, ISO/SAE 21434, is bedoeld om verbonden voertuigen robuuste bescherming te bieden tegen kwaadwillende cyberaanvallen. De norm vereist dat OEM's en hun toeleveringsketens een security-by-design-benadering toepassen op hun componenten, servers en processen om het risico te verkleinen dat ze op elk moment in de levensduur van een voertuig kwetsbaar zijn voor aanvallen, van de eerste concept- en ontwerpfasen tot eind van het leven.
Volgens ISO/SAE 21434 moet beveiliging worden overwogen voor alle elektronische systemen in de connected car, in elke fase, van concept tot productie tot ontmanteling, en systemen moeten zo worden ontworpen dat ze robuuste bescherming bieden tegen zich ontwikkelende bedreigingen. De eisen die door de norm worden gedefinieerd, moeten worden ingebed in het DNA van een bedrijf en organisaties moeten een Cyber Security Management System (CSMS) implementeren, inclusief cybersecurity-risicobeheer.
Verbonden voertuigen zullen onvermijdelijk communiceren met externe entiteiten, van andere voertuigen tot smart-city-infrastructuur en tot de cloud. Als ze niet worden beveiligd, kunnen de elektronische systemen van het voertuig worden gecompromitteerd door aanvallers. Robuuste beveiligingsmaatregelen zijn essentieel om aanvallen te voorkomen en het voertuig, de systemen en de back-endnetwerken die hen bedienen te beschermen tegen cyberaanvallen.
De inspanningen om een cyberbeveiligingsstandaard voor auto's te creëren, begonnen in 2016, toen de Society of Automotive Engineering (SAE) en de International Organization for Standardization (ISO) een gezamenlijk initiatief begonnen om een industriestandaard voor cyberbeveiliging van voertuigen te creëren. Beide organisaties hadden afzonderlijk gewerkt aan veiligheids- en beveiligingsgerelateerde normen voor auto's: ISO 26262 is de befaamde functionele veiligheidsnorm voor auto's, en SAE maakte gebruik van het kader van ISO 26262 bij het creëren van J3061, de 'Cybersecurity Guidebook for Cyber-Physical Systems'.
De twee organisaties bundelden uiteindelijk hun krachten en werkten samen met autofabrikanten, leveranciers van componenten en systemen en leveranciers van cyberbeveiliging, waarbij meer dan 100 experts van meer dan 82 bedrijven in 16 landen betrokken waren. De nieuwe ISO/SAE 21434 norm is het resultaat van deze samenwerking. Het definieert nauwkeurige procedurele en organisatorische vereisten voor het bereiken van robuuste cyberbeveiliging van voertuigen. Ook gedetailleerd in de norm zijn de stappen die nodig zijn voor het uitvoeren van dreigingsanalyse en risicobeoordeling van potentiële cyberdreigingen gedurende de levenscyclus van het voertuig. Bovendien moeten organisaties cyberbeveiligingsgebeurtenissen monitoren en incidenten beheren wanneer ze zich voordoen.
Bovendien moeten voertuigfabrikanten (OEM's in de automobielindustrie) vanaf juli 2022 voldoen aan de nieuwe VN-regelgeving voor cyberbeveiliging in de automobielsector, R155, voor de lancering van nieuwe voertuigtypes in Europa, Japan en Korea, die meer dan een derde van de wereldwijde voertuigproductie vertegenwoordigen. Andere regio's zullen naar verwachting volgen.
UN R155 is een volgende stap in de richting van verbetering van cyberbeveiliging. De verordening is in 2020 aangenomen door de United Nations Economic Commission for Europe (UNECE) WP.29, ook wel bekend als het World Forum for Harmonization of Vehicle Regulations. Onder UN R155 kunnen voertuigfabrikanten alleen voertuigtypegoedkeuring verkrijgen en nieuwe voertuigtypen verkopen als ze een gecertificeerd CSMS hebben.
De norm ISO/SAE 21434 ondersteunt de implementatie van de R155-vereisten in organisaties in de hele toeleveringsketen. NXP is de eerste Halfgeleider leverancier moet door TÜV SÜD worden gecertificeerd om te voldoen aan ISO/SAE 21434. Dit helpt OEM's om te voldoen aan de eisen van de R155-regelgeving.
Het is belangrijk om te benadrukken dat de standaard niet betekent dat OEM's bestaande systemen uit elkaar moeten halen en naar believen legacy-componenten moeten verwijderen. Ze moeten autosystemen analyseren en bepalen of hun componenten voldoen aan relevante veiligheidscriteria. Deze analyse zal gemakkelijker blijken voor nieuwe, conforme componenten. Bestaande kant-en-klare componenten zullen verder moeten worden beoordeeld op hun geschiktheid en om eventuele beveiligingstekortkomingen te identificeren en aan te pakken. Gezien de overvloed aan elektronische componenten die in een nieuwe auto van zowel Tier 1- als Tier 2-leveranciers worden gebruikt, zal de verantwoordelijkheid een gedeelde verantwoordelijkheid zijn, met gevolgen voor de hele toeleveringsketen.
Toekomstige autoproducten moeten aan de norm voldoen en fabrikanten moeten ondersteunend bewijs leveren. NXP en andere leveranciers moeten nauw samenwerken met Tier 1- en OEM-klanten en hen helpen bij het uitvoeren van hun risicobeoordelingen en nalevingsvalidatie.
In de toekomst zullen consumenten en autofabrikanten profiteren van de implementatie van de normen en de naleving van de regelgeving. Consumenten kunnen genieten van consistent en naadloos technologie dat de veiligheid en gebruikerservaring verbetert met robuuste bescherming tegen cyberaanvallen en zich ontwikkelende bedreigingen.
over NXP Semiconductors