Kybernetická bezpečnost v automobilovém průmyslu: Nové povinné předpisy

OBSAH

• Proč kybernetická bezpečnost v automobilovém průmyslu?
• Co znamená kybernetická bezpečnost v automobilovém průmyslu?
• Praktický příklad: Dopady útoku
• Bezpečnost IT a aktualizace softwaru vozidel
• Koho se týkají nové předpisy?
• Kybernetická bezpečnost podle R 155 EHK OSN
• Co je to systém řízení kybernetické bezpečnosti (CSMS)?
• Co upravuje aktualizace softwaru EHK OSN podle R 156?
• Je kybernetická bezpečnost v automobilovém průmyslu certifikovatelná?
• Norma ISO/SAE 21434 jako podpora dobré pověsti
• Exkurs: Další důležité předpisy pro automobilový průmysl
• Kontrolní seznamy pro požadavky UNECE na bezpečnost v automobilovém průmyslu
• Certifikace pomocí DQS

Proč kybernetická bezpečnost v automobilovém průmyslu?

Kybernetická bezpečnost v automobilovém průmyslu je pro výrobce automobilů výzvou současnosti. Každé další komunikační rozhraní a součástka je potenciálním bodem útoku pro kybernetické zločince. Potenciál škod způsobených manipulací se rychle zvyšuje, například s ohledem na autonomně řízená vozidla nebo elektronicky řízené jízdní a brzdové funkce.

Z tohoto důvodu OSN definuje základní rámec kybernetické bezpečnosti automobilů dvěma novými předpisy. Jedná se o UNECE Cyber Security (UN R 155), který přímo odkazuje na novou normu ISO/SAE 21434, a UNECE Software Updating (UN R 156). V červenci 2022 vstoupily v platnost předpisy pro nové typy vozidel (v EU). Automobilový průmysl proto čelí velkým výzvám - zejména proto, že mnozí výrobci originálního vybavení (OEM) a dodavatelé kritizují nové předpisy jako velmi obecné. Zde je rozšířeno přání konkrétních doporučení pro opatření jako závazné ochranné zábrany.

Co znamená kybernetická bezpečnost v automobilovém průmyslu?

Zatímco mezinárodní norma ISO 27001 představuje mezioborový přístup k bezpečnosti informací, pojem kybernetická bezpečnost v automobilovém průmyslu popisuje bezpečnost digitálních systémů v automobilovém průmyslu. Naše motorová vozidla jsou stále více závislá na síťových elektronických systémech a softwarových aplikacích. V důsledku toho je ochrana a zabezpečení těchto komponent stále důležitější - a to napříč celým odvětvím. Začíná to u výrobce vozidel, pokračuje u dodavatelů a poskytovatelů technických služeb a rozšiřuje se na poskytovatele softwaru a služeb ICT infrastruktury. Dva nové předpisy OSN, určené výrobcům a jejich dodavatelům, mají zajistit bezpečnost IT v automobilovém průmyslu.

Proč potřebujeme kybernetickou bezpečnost v automobilovém průmyslu?

Propojená vozidla: to znamená inovativní asistenční systémy, (částečně) autonomní řízení, propojená výroba zahrnující dodavatele, propojené vozy s propojenými službami - digitalizace se jasně projevuje téměř ve všech oblastech automobilového průmyslu a rychle postupuje. Rostoucí konektivita však v konečném důsledku znamená stále více kódu, který může být ohrožen nejrůznějšími způsoby. Koneckonců moderní automobily obsahují až 150 elektronických řídicích jednotek a přibližně 100 milionů řádků kódu, což se má do roku 2030 ztrojnásobit. Množství softwaru v dnešních vozidlech je již nyní čtyřikrát větší než u stíhačky.

Nejen od pandemie Corony a s ní spojeného nárůstu kybernetických útoků je třeba věnovat zvláštní pozornost bezpečnosti IT, resp. kybernetické bezpečnosti automobilů. Vozidlo musí být schopno vždy zaručit svou funkční bezpečnost. Potenciál škod způsobených kybernetickými útoky na chytré automobily je obrovský. Je třeba vzít v úvahu hororové scénáře velkoobjemových útoků ("Všechny elektronické brzdy ve vozidlech výrobce jsou současně paralyzovány hackerským útokem."). Zde jsou zapotřebí přesné a účinné bezpečnostní koncepty.

Praktický příklad: Účinky útoku

V roce 2015 předvedli dva američtí IT experti možný dopad hackerského útoku na vůz Jeep Cherokee. Kompromitovali systém Uconnect, který kombinuje mnoho elektronických funkcí vozidla od infotainmentu po navigaci. Slouží také jako rozhraní pro mobilní zařízení a na požádání otevírá hotspot WLAN - jinými slovy má IP adresu. K demonstraci svých schopností si oba hackeři pozvali novináře, který o chvíli později musel bezmocně sledovat, jak ztrácí kontrolu nad vozidlem.

Ze vzdálenosti více než 1000 kilometrů hackeři nejprve prostřednictvím svého notebooku zapnuli klimatizaci a rádio. Poté postříkali čelní sklo vodou ze stěračů a nakonec jednoduše vypnuli motor - uprostřed mezistátní dálnice (obdoba evropské dálnice). Po tomto prvním důkazu vážných zranitelností v IT infrastruktuře vozidel šli ještě o něco dál. Na prázdném parkovišti předvedli, že mohou dokonce ovlivňovat řízení nebo ovládat brzdy. Důsledkem bylo stažení 1,4 milionu vozidel a pokuta 105 milionů dolarů.

Bezpečnost IT a aktualizace softwaru vozidel

Selektivní opatření dnes již nestačí k celistvé ochraně vozidel. Namísto toho jsou zapotřebí systematické a strategické přístupy, které stanoví jasné požadavky na rozsah, výkonnost a audit bezpečnostního systému. Strategický přístup by měl zahrnovat celý životní cyklus výrobku. Zde je třeba se zaměřit například na dlouhodobou dostupnost aktualizací softwaru nebo na integraci celého dodavatelského řetězce.

Za účelem vytvoření vhodného rámce pro kybernetickou bezpečnost automobilů přijalo Světové fórum pro harmonizaci předpisů pro vozidla Evropské hospodářské komise OSN (EHK OSN) v létě 2020 poprvé dva závazné předpisy. Předpisy zveřejněné pod zkratkami UNECE R 155 a UNECE R 156 se týkají bezpečnosti IT a aktualizací softwaru ve vozidlech, a jsou tedy úzce propojeny.

Předpisy vstoupily v platnost na začátku roku 2021. Od července 2022 bude jejich dodržování povinné pro nové typy vozidel. Výrobcům, kteří požadavky nesplní, pak bude hrozit neregistrace příslušných typů vozidel. A konečně od července 2024 se budou předpisy vztahovat na všechna nově vyrobená vozidla.

Předpisy v zásadě vyžadují zavedení opatření ve čtyřech oblastech:

• řízení kybernetických rizik pro vozidla
• ochrana vozidel podle přístupu "security-by-design" s cílem zmírnit rizika v celém hodnotovém řetězci
• odhalování útoků a obrana proti nim v rámci celého vozového parku
• Poskytování aktualizací softwaru z hlediska bezpečnosti a zavedení právního základu pro aktualizace softwaru vozidel přes internet (O.T.A.).

Kybernetická bezpečnost v automobilovém průmyslu: Koho se nové předpisy týkají?

Předpisy OSN hovoří především o tom, že výrobci vozidel jsou povinni implementovat nové požadavky. To však zahrnuje i monitorování a audit kybernetické bezpečnosti v celém dodavatelském řetězci, aby bylo vždy prokázáno dodržování předpisů. Výrobce je tedy povinen monitorovat dodavatele. A bude proto velmi pravděpodobně vyžadovat, aby nové normy implementovali i jeho dodavatelé.

Oba předpisy se vztahují na osobní automobily, dodávky, nákladní automobily a autobusy, pokud jsou vybaveny funkcemi automatizovaného řízení. Do této kategorie patří také nové typy automatizovaných podvozků, kyvadlových vozidel nebo srovnatelných vozidel. Kromě toho se předpisy vztahují také na přívěsy, které obsahují alespoň jednu elektronickou řídicí jednotku.

Čeho se týká kybernetická bezpečnost EHK OSN podle pravidla R 155?

R 155 EHK OSN definuje požadavky na ochranu vozidel před kybernetickými útoky. Klíčovým bodem je zde zavedení systému řízení kybernetické bezpečnosti (CSMS) ve všech společnostech, které uvádějí vozidla na trh. Zajímavé je, že tento požadavek mění pohled výrobců. Jejich vývojové aktivity již nekončí zahájením výroby (SOP). Namísto toho existuje povinnost průběžně kontrolovat bezpečnostní systémy po celou dobu životního cyklu vozidla, včetně všech nezbytných vylepšení.

Tímto způsobem zákonodárce zohledňuje vysoce dynamickou povahu vývoje softwaru a jeho zajištění. Kromě toho má systém řízení zajistit dodržování bezpečnostních požadavků v celém dodavatelském řetězci. To není snadný úkol vzhledem k tomu, že dodavatelé v současnosti představují více než 70 % objemu softwaru.

Pro zajištění komplexní bezpečnosti navzdory těmto složitostem - od vývoje až po hotové vozidlo na silnici - je důležité uvažovat o systému CSMS komplexně. Kromě toho musí být vozidla navrhována na základě přístupu "security-by-design". Záměrem je, aby brána pro útočníky byla od samého počátku co nejmenší.

Co je to systém řízení kybernetické bezpečnosti (CSMS)?

Klíčové vlastnosti systému CSMS jsou:

• Řízení rizik: organizace používá procesy k identifikaci, hodnocení a zmírňování rizik kybernetických hrozeb.
• Řízení rizik zahrnuje celý životní cyklus produktu - od vývoje až po provozní fázi u koncového zákazníka.
• Sledování nových zranitelností a známých útoků s cílem reagovat novými aktualizacemi.
• Umožňuje nezávislé posouzení akreditovaným testovacím institutem.

Důležitý kladný bod v praxi: Systematizace kybernetické bezpečnosti, která přichází se zavedením CSMS, nutí společnosti řešit problematiku informační bezpečnosti rizikově orientovaným způsobem.

To zahrnuje úplné vymezení a vyhodnocení rizik a zamyšlení se nad tím, jak pravděpodobné je, že nastanou. Toto posouzení rizik poskytuje spolehlivé východisko pro snížení konkrétních potenciálních škod na přijatelnou úroveň - jde o osvědčený a pragmatický přístup.

Kybernetická bezpečnost v automobilovém průmyslu: Co upravuje norma UNECE R 156?

Vzhledem k tomu, že se plně autonomní vozidla budou v dohledné budoucnosti účastnit i silničního provozu, je stěžejní náležitě udržovat software vozidla a trvale jej aktualizovat, například prostřednictvím oprav chyb nebo aktualizací. Nařízení R 156 proto předepisuje zavedení a provozování standardně vyhovujícího systému správy aktualizací softwaru (SUMS) pro všechna vozidla. Jeho cílem je zajistit trvalou bezpečnost po celou dobu životního cyklu vozidla.

I po mnoha letech nebo desetiletích musí být možné bezpečně a spolehlivě instalovat aktualizace. Kromě toho R 156 vytváří právní základ pro takzvané aktualizace "Over-the-Air" (O.T.A.), které umožňují kdykoli a v krátkém čase aktualizovat vozidla bez ohledu na jejich umístění.

Pro srovnání, současní výrobci mobilních telefonů poskytují jen malé záruky ohledně toho, kolik nadcházejících generací softwaru budou podporovat nebo v jakých časových obdobích budou starším zařízením ještě poskytovány bezpečnostní aktualizace. Pokud se výrobci mobilních telefonů s afinitou k IT chtějí co nejdříve vyhnout problémům spojeným s životním cyklem svých výrobků, pak to jasně ukazuje na problémy spojené s IT, kterým nyní čelí automobilový průmysl se svými dlouhými životními cykly výrobků.

Je současná kybernetická bezpečnost v automobilovém průmyslu certifikovatelná?

Podle předpisů EU musí výrobci neustále zajišťovat funkčnost svých systémů řízení a rozsáhle dokumentovat stav veškerého svého softwaru.

S cílem poskytnout certifikovatelný standard pro funkčnost systému CSMS vydala Mezinárodní organizace pro normalizaci (ISO) společně se Společností automobilových inženýrů (SAE) v srpnu 2021 normu ISO/SAE 21434. V odborných kruzích se očekává, že norma ISO/SAE 21434 poskytne základ uznávaný schvalovacími orgány pro zavedení systému řízení kybernetické bezpečnosti u výrobce vozidel.

Německé sdružení automobilového průmyslu (VDA) vytvořilo k této normě doplňkový zkušební základ, který může výrobce vozidel použít k auditu systému CSMS svého dodavatele nebo poskytovatele technických služeb. Tímto způsobem může mít CSMS výrobce pozitivní vliv ve smyslu předpisů EHK OSN až na úroveň dodavatele.

Pro certifikaci systému řízení aktualizací softwaru se má stát normou norma ISO 24089. Návrh je však v tuto chvíli (leden 2022) stále otevřený.

Odlišení od systému TISAX®

Je pravda, že TISAX® je také zkušební postup pro bezpečnost informací v automobilovém průmyslu. A podobně jako u certifikace lze splnění požadavků prokázat prostřednictvím hodnocení. TISAX® je však primárně určen poskytovatelům služeb nebo dodavatelům v automobilovém průmyslu, kteří musí svým zákazníkům prokázat, že splňují určité požadavky na bezpečnost informací. Jedním z příkladů je například bezpečné nakládání s daty a informacemi, které zákazník poskytuje dodavateli pro vývojový a výrobní proces. Naproti tomu norma ISO/SAE 21434 je určena výrobcům vozidel, tj. výrobcům originálního vybavení (OEM).

ISO/SAE 21434 jako podpora dobré pověsti

Přístup normy ISO 21434, analogický běžným systémům řízení, jako je ISO 27001, vyžaduje zavedení procesů a postupů při zohlednění identifikovaných rizik.

Deklarovaným cílem normy je zajistit bezpečnost všech elektrických a především elektronických systémů zpracovávajících data v průběhu celého životního cyklu výrobku až po jeho likvidaci. Tím se chce stát zavedenou a závaznou normou kvality pro kybernetickou bezpečnost v automobilovém průmyslu.

Pro splnění tohoto holistického přístupu norma definuje CSMS pro oblasti návrhu zabezpečení, vývoje produktu, údržby produktu, detekce rizik, zmírňování nebezpečí, likvidace produktu a souvisejících průběžných procesů. Obsahuje také předpisy pro odpovědnost v případě distribuovaného vývoje produktů mezi výrobci a dodavateli, aniž by konkrétně předepisovala konkrétní technologie nebo řešení.

Výrobci a dodavatelé vozidel by neměli implementaci normy ISO 21434 považovat za další zátěž pro svou každodenní činnost. Naopak, certifikace nabízí skutečnou přidanou hodnotu v mnoha oblastech - klíčová slova: kybernetické pojištění, kybernetická odpovědnost a pověst na trhu. V důsledku toho se někdy mohou stát dokonce konkurenční výhodou. Koneckonců nejmodernější zabezpečení IT potvrzené nezávislými odborníky a potvrzená ochrana dat jsou v oboru stále více považovány za důležité kvalitativní znaky.

Exkurs: Další důležité předpisy pro automobilový průmysl

IATF 16949

Automobilový průmysl si zakládá na vynikající kvalitě procesů, neustálém zlepšování procesů, nejvyšších standardech a inovacích. IATF 16949 je standardem pro systémy řízení kvality dodavatelů v automobilovém průmyslu.

TISAX®

TISAX® je společný postup testování a výměny certifikátů pro automobilový průmysl. Je založen na dotazníku "ISA - Information Security Assessment", který vyvinulo německé sdružení automobilového průmyslu (VDA). Ten zase obsahuje základní aspekty mezinárodní normy ISO/IEC 27001 a rozšiřuje je o model vyspělosti.

ISO 26262

Cílem implementace normy je zajistit funkční bezpečnost systému s elektrickými nebo elektronickými součástmi v motorovém vozidle. Norma se skládá z dvanácti částí. Část 1: Slovník, Část 2: Řízení funkční bezpečnosti, Část 3: Fáze koncepce, Část 4: Vývoj výrobku na úrovni systému, Část 5: Vývoj výrobku na úrovni hardwaru, Část 6: Vývoj výrobku na úrovni softwaru, Část 7: Výroba, provoz, servis a vyřazení z provozu, Část 8: Podpůrné procesy, Část 9: Analýza orientovaná na úroveň integrity bezpečnosti automobilů (ASIL) a analýza orientovaná na bezpečnost, Část 10: Směrnice k ISO 26262, Část 11: Směrnice pro aplikaci ISO 26262 na polovodiče a Část 12: Přizpůsobení pro motocykly.

Kontrolní seznamy: Splňujete požadavky UNECE na bezpečnost automobilů?

Katalog požadavků EHK OSN je široký a na první pohled může být ohromující. Následující tři kontrolní seznamy by vám měly poskytnout kompaktní přehled předpisů - a první dojem, zda vaše stávající systémy řízení již vyhovují předpisům EHK OSN.

Podle předpisu EHK OSN o kybernetické bezpečnosti a systémech řízení kybernetické bezpečnosti musí výrobci pro získání schválení typu splňovat následující požadavky.

Požadavky na systémy řízení kybernetické bezpečnosti.

• Systém CSMS je zaveden a může být uplatňován ve fázi vývoje, výroby a po výrobě silničních vozidel.
• Analýzy posouzení rizik jsou prováděny a slouží svému účelu.
• Jsou stanovena opatření ke zmírnění rizik.
• Funkčnost opatření na zmírnění rizik je ověřitelná prostřednictvím testování.
• Jsou zavedena opatření pro identifikaci kybernetických útoků a obranu proti nim.
• Metodická forenzní analýza dat umožňuje analýzu úspěšných útoků.
• Jsou zavedena opatření na podporu monitorovací kapacity pro relevantní hrozby, zranitelnosti a kybernetické útoky.
• Výrobce vozidel podává zprávy schvalovacímu orgánu alespoň jednou ročně.

Podle předpisu EHK OSN o aktualizacích softwaru a systémech řízení aktualizací softwaru musí výrobci pro získání schválení typu splňovat následující požadavky.

Požadavky na systémy řízení aktualizací softwaru

• Je zaveden systém řízení aktualizací softwaru, který lze použít pro silniční vozidla.
• Výrobce plně dokumentuje aktualizace.
• Mechanismus dodávání aktualizací je chráněn před neoprávněným zásahem a lze zajistit integritu a pravost aktualizací.
• Identifikační čísla softwaru nebo verze softwaru jsou chráněny před neoprávněnou změnou.
• Identifikační číslo softwaru je čitelné z vozidla prostřednictvím rozhraní.

Požadavky na aktualizace softwaru over-the-air

• Existuje funkce obnovy v případě, že aktualizace selže.
• Software se aktualizuje pouze tehdy, je-li k dispozici dostatečné napájení.
• Lze zaručit bezpečné provádění aktualizací.
• Uživatelé jsou informováni o každé aktualizaci a o jejím dokončení.
• Aktualizace jsou prováděny pouze tehdy, když je toho vozidlo schopno (například některé aktualizace nelze provádět za jízdy).
• Uživatelé jsou informováni, když je zapotřebí mechanik.

Nastavení kurzu pro úspěšnou certifikaci pomocí systému DQS

Bezpečnost informací a ochrana dat jsou komplexní otázky, které dalece přesahují zabezpečení IT. Zahrnují technické, organizační a infrastrukturní aspekty a dotýkají se legislativních požadavků. Pro účinná ochranná opatření je vhodný systém řízení bezpečnosti informací (ISMS) podle normy ISO/IEC 27001, který lze ideálně doplnit systémem řízení ochrany osobních údajů (PIMS) podle normy ISO/IEC 27701. Norma ISO 21434 by se zase mohla stát základem pro systém řízení kybernetické bezpečnosti (CSMS), který budou brzy vyžadovat licenční orgány.

DQS je váš specialista na audity a certifikace systémů řízení a procesů. Díky našim produktům pro automobilový průmysl, jako je řízení kvality podle IATF 16949 nebo ochrana prototypů u dodavatelů podle TISAX®, jsme my i naši auditoři již získali rozsáhlé znalosti v oboru. Díky více než 35letým zkušenostem a know-how 2 500 auditorů po celém světě jsme vaším kompetentním certifikačním partnerem a poskytujeme odpovědi na všechny otázky týkající se ochrany dat a bezpečnosti informací.