O mais recente padrão de cibersegurança automotiva, ISO / SAE 21434, visa fornecer aos veículos conectados uma proteção robusta contra ataques cibernéticos maliciosos. O padrão exige que os OEMs e suas cadeias de abastecimento apliquem uma abordagem de segurança desde o projeto a seus componentes, servidores e processos para reduzir o risco de ser vulnerável a ataques em qualquer ponto da vida de um veículo, desde o conceito inicial e fases de projeto até fim da vida.
De acordo com a ISO / SAE 21434, a segurança deve ser considerada para todos os sistemas eletrônicos no carro conectado, em todas as fases, desde o conceito até a fabricação e o descomissionamento, e os sistemas devem ser projetados de forma que ofereçam proteção robusta contra ameaças em evolução. Os requisitos definidos pelo padrão devem ser incorporados ao DNA de uma empresa, e as organizações devem implementar um Sistema de Gerenciamento de Segurança Cibernética (CSMS), incluindo o gerenciamento de riscos de segurança cibernética.
Os veículos conectados inevitavelmente se comunicarão com entidades externas, de outros veículos à infraestrutura de cidade inteligente e à nuvem. Se não forem protegidos, os sistemas eletrônicos do veículo podem ser comprometidos por invasores. Medidas de segurança robustas são essenciais para evitar ataques e proteger o veículo, seus sistemas e as redes de back-end que os atendem contra ataques cibernéticos.
Os esforços para criar um padrão de cibersegurança automotiva começaram em 2016, quando a Society of Automotive Engineering (SAE) e a International Organization for Standardization (ISO) embarcaram em uma iniciativa conjunta para criar um padrão do setor para a cibersegurança veicular. Ambas as organizações trabalharam separadamente em segurança automotiva e padrões relacionados à segurança: ISO 26262 é o padrão de segurança funcional automotivo renomado, e SAE aproveitou a estrutura da ISO 26262 ao criar J3061, o “Guia de Segurança Cibernética para Sistemas Ciber-Físicos”.
As duas organizações finalmente uniram forças e colaboraram com fabricantes de automóveis, fornecedores de componentes e sistemas e fornecedores de segurança cibernética - envolvendo mais de 100 especialistas de mais de 82 empresas em 16 países. O novo padrão ISO / SAE 21434 é o resultado dessa colaboração. Ele define requisitos procedimentais e organizacionais precisos para alcançar uma segurança cibernética robusta de veículos. Também detalhadas na norma estão as etapas necessárias para realizar a análise de ameaças e avaliação de risco de ameaças cibernéticas em potencial ao longo do ciclo de vida do veículo. Além disso, as organizações precisam monitorar eventos de segurança cibernética e gerenciar incidentes quando eles ocorrem.
Além disso, a partir de julho de 2022, os fabricantes de veículos (OEMs automotivos) devem cumprir a nova regulamentação de segurança cibernética automotiva UN R155 para lançamentos de novos tipos de veículos na Europa, Japão e Coréia, o que representa mais de um terço da produção global de veículos. Espera-se que outras regiões o sigam.
O UN R155 é mais um passo para aumentar a segurança cibernética. O regulamento foi adotado em 2020 pela Comissão Econômica das Nações Unidas para a Europa (UNECE) WP.29, também conhecido como Fórum Mundial para Harmonização de Regulamentações de Veículos. De acordo com o UN R155, os fabricantes de veículos podem obter a aprovação de tipo de veículo e vender novos tipos de veículos somente se tiverem um CSMS certificado em vigor.
O padrão ISO / SAE 21434 suporta a implementação dos requisitos R155 em organizações em toda a cadeia de abastecimento. NXP é o primeiro Semicondutores fornecedor a ser certificado pela TÜV SÜD em conformidade com a ISO / SAE 21434. Isso ajuda os OEMs a atender aos requisitos da regulamentação R155.
É importante enfatizar que o padrão não significa que os OEMs devam desmontar os sistemas existentes e remover componentes legados à vontade. Eles devem analisar os sistemas automotivos e determinar se seus componentes atendem aos critérios de segurança relevantes. Essa análise será mais fácil para componentes novos e compatíveis. Os componentes de prateleira existentes exigirão avaliação adicional quanto à sua adequação e para identificar - e resolver - quaisquer falhas de segurança em potencial. Considerando a infinidade de componentes eletrônicos usados em um carro novo de fornecedores Tier 1 e Tier 2, a responsabilidade será compartilhada, com as implicações abrangendo toda a cadeia de abastecimento.
Os produtos automotivos futuros devem estar em conformidade com o padrão e os fabricantes devem fornecer evidências de suporte. A NXP e outros fornecedores devem trabalhar em estreita colaboração com os clientes Tier 1 e OEM e ajudá-los a realizar suas avaliações de risco e validação de conformidade.
No futuro, os consumidores e os fabricantes de automóveis beneficiarão da implementação das normas e da adesão aos regulamentos. Os consumidores podem desfrutar de serviços consistentes e contínuos tecnologia que melhora a segurança e a experiência do usuário com proteção robusta contra ataques cibernéticos e ameaças em evolução.
sobre NXP Semiconductors