TAM CERT Magyarország Vizsgáló és Tanúsító Kft.

Új korszak az autóknak a kiberbiztonságban! Itt az ISO 21434

2024.05.09.

Az autók a szemünk előtt fejlődtek járműből szuperhatékony kiberfizikai rendszerekké. Az elektronikus alkatrészek, szoftverek és összekapcsolt eszközök új korszakot nyitottak az autózás történetében. Ezzel párhuzamosan viszont nő a fenyegetések kockázata is. Az autóipar válasza ezekre az “ISO/SAE 21434 Road vehicles – Cybersecurity engineering”, egy forradalmian új szabvány, ami már a tervezési fázistól segít kezelni a kiberbiztonsági kihívásokat.

Az autókra irányuló kiberbiztonsági fenyegetések komoly aggodalomra adnak okot, hiszen a járművek egyre összekapcsoltabban működnek és egyre inkább támaszkodnak az elektronikus rendszerekre. Ha ezeket a hackerek képesek kijátszani, azzal akár tömegek életét sodorhatják veszélybe. Lássunk erre néhány példát!

Kész életveszély, ha meghackelnek

A támadók kihasználhatják az autóra csatlakoztatott rendszerek – például az infotainment, a Bluetooth vagy a Wi-Fi – a sebezhetőségeit, hogy jogosulatlanul hozzáférjenek a jármű vezérlőrendszereihez. Lehallgathatják a vezeték nélküli jeleket, nyomon követhetik a jármű helyzetét, vagy rosszindulatú parancsokat adhatnak be.

Ha már beléptek a rendszerbe, még olyan kritikus funkciókat is manipulálhatnak, mint a fékezés, a gyorsítás és a kormányzás. A kulcs nélküli beléptető- és gyújtásrendszerek is védtelenek lehetnek az olyan technikákkal szemben, mint a relé-támadások, amelyek során a kulcscsomó adta jelet erősíthetik fel, úgy, hogy az autó akár magától kinyíljon vagy elinduljon.

Egy kártékony szoftver megzavarhatja a jármű funkcióit, ellophatja az érzékeny adatokat, vagy akár váltságdíjat is követelhet értük a tulajdonostól. Az ilyen szoftverek különböző módon hatolhatnak be a rendszerekbe, például frissítések során, de akár a szerelők által diagnosztikára használt OBD-II porton keresztül is.

A hálózatba kapcsolt autók hatalmas mennyiségű adatot gyűjtenek az utasokról, beleértve a helymeghatározási előzményeket, a vezetési viselkedést és a személyes preferenciákat is. Az ilyen adatokhoz való hozzáférés akár személyazonosság-lopáshoz is vezethet.

A kiberbiztonsági tervezés tehát példátlan kihívást jelent a teljes autóipar számára, a gyártóktól a hatóságokon át egészen a fogyasztók szintjéig.

Mitől különleges az új autóipari kiberbiztonsági szabvány?

Az ISO/SAE 21434, hivatalos nevén „Road Vehicles – Cybersecurity Engineering” (Közúti járművek – Kiberbiztonsági tervezés) a Nemzetközi Szabványügyi Szervezet (ISO) és a Society of Automotive Engineers (SAE) közös szüleménye.

Először fordul elő, hogy egy kiberbiztonsági szabvány egyszerre érint szinte minden műveletet, szerepet, eljárást, folyamatot és résztvevő szervezetet, így lefedi a járművet körülvevő teljes ökoszisztémát.

Az ISO/SAE 21434 legfőbb célja, hogy a kiberbiztonbágot a fejlesztés megkerülhetetlen részévé tegye, elérve, hogy ezek a szempontok az életciklus minden szakaszában érvényesüljenek. Ugyanakkor átfogó útmutatót nyújt ahhoz is, hogyan kezeljük az egyes kockázatokat, a koncepciótól és a fejlesztéstől a gyártásig, az üzemeltetésig és a karbantartásig.

A szabvány középpontjában a kiberbiztonsági tervezés koncepciója áll. A cél, hogy a gyártók szisztematikusan azonosítsák és mérsékeljék a gépjárművek rendszereihez és alkatrészeihez kapcsolódó kiberbiztonsági kockázatokat. A szabvány következetes folyamatot vázol fel, amit követve meghatározhatják a biztonsági követelményeket, majd végrehajthatják és  ellenőrizhetik az intézkedéseket.

Az ISO/SAE 21434 egyik legfontosabb alapelve az együttműködés. Ösztönzi a kommunikációt az autógyártók, a beszállítók, a szabályozó hatóságok és más érintett felek között, hogy elősegítse a legjobb gyakorlatok közös megértését. Hangsúlyozza a folyamatos nyomonkövetés és a fejlesztés fontosságát is, felismerve, hogy a kiberbiztonság dinamikus terület, ami folyamatos alkalmazkodást igényel.

Ez a szabvány tehát korszakalkotó előrelépést jelent az autóipar kiberbiztonsága terén, az elfogadottá tétele pedig sürgető feladat. Egy ilyen összetett, mindenre kiterjedő dokumentumot nehéz elsőre befogadni, de mi a QTICS-nál segítünk, ha Ön elakadna az értelmezéssel. A beágyazott rendszerekkel, hálózati rendszerekkel és IoT kiberbiztonsággal foglalkozó tanácsadóként arra törekszünk, hogy ügyfeleink számára teljeskörű egyértelműséget biztosítsuk az új szabványnak való megfelelés érdekében.

Kapcsolat: info@tamcert.hu