datasikkerhed-fortrolighed, integritet og tilgængelighed
når køretøjer bliver mere forbundet, og deres systemer er mere afhængige af komplekse netværksoplysninger, er beskyttelse af oplysningerne en prioriteret opgave.
tænk på information som alle de bits og stykker, der er samlet om noget eller nogen. I et køretøj dækker information brugerens detaljer, de oplysninger, der udveksles mellem elektroniske systemer, og endda det program, der er gemt for at få systemerne til at fungere. Cybersikkerhed betyder simpelthen, at oplysningerne er beskyttet mod kriminel eller uautoriseret brug, og/eller at der træffes foranstaltninger for at opnå dette.
når vi analyserer cybersikkerhed, er det første skridt at undersøge C-i-A-triaden, som er en velkendt model for cybersikkerhedsudvikling. C-i – a står for fortrolighed, integritet og tilgængelighed-disse sikkerhedskoncepter hjælper med at styre cybersikkerhedspolitikker. Bilsystemer og tilhørende infrastruktur skal beskyttes mod bevidst eller utilsigtet kompromittering af fortroligheden, integriteten eller tilgængeligheden af de oplysninger, de opbevarer, behandler og kommunikerer uden at hindre sikkerhed og funktionalitet. Det er vigtigt at forstå hvert af disse begreber, fordi alle risici, trusler og sårbarheder måles for deres potentielle evne til at kompromittere et eller alle disse principper.
- fortrolighed sikrer, at udvekslede data ikke er tilgængelige for uautoriserede brugere. Brugerne kan være applikationer, processer, andre systemer og/eller mennesker. Når man designer et system, skal der være passende kontrolmekanismer til håndhævelse af fortrolighed samt politikker, der dikterer, hvad autoriserede brugere kan og ikke kan gøre med dataene. Jo mere følsomme dataene er, desto højere er fortrolighedsniveauet. Derfor bør alle følsomme data altid kontrolleres og overvåges.For at opretholde fortrolighed i bilsystemer skal data beskyttes i og uden for køretøjet, mens de opbevares (data i hvile), mens de overføres (data i bevægelse), og mens de behandles (data i brug). Hukommelsesbeskyttelse kan anvendes på data i brug. Kryptografi er fremragende til at beskytte fortroligheden af data i hvile og data i bevægelse, men husk, at det pålægger beregningskompleksitet og øger latenstiden, så det skal bruges med forsigtighed i tidsfølsomme systemer.
- integritet er evnen til at sikre, at et system og dets data ikke har lidt uautoriseret ændring. Integritetsbeskyttelse beskytter ikke kun data, men også operativsystemer, applikationer og udstyr mod at blive ændret af uautoriserede personer. I bilsystemer er CRC kendt for at give integritetsbeskyttelse mod utilsigtede eller ikke-ondsindede fejl; det er dog ikke egnet til beskyttelse mod forsætlig ændring af data. Derfor bør de følsomme data omfatte kryptografiske kontrolsummer til verifikation af integritet. Desuden bør der være mekanismer til at opdage, hvornår integriteten er blevet krænket, og til at gendanne ethvert berørt system eller data tilbage til deres korrekte tilstand.
- tilgængelighed garanterer, at systemer, applikationer og data er tilgængelige for brugerne, når de har brug for dem. Det mest almindelige angreb, der påvirker tilgængeligheden, er denial-of-service, hvor angriberen Afbryder adgangen til information, system, enheder eller andre netværksressourcer. En nægtelse af service i et internt køretøjsnetværk kan resultere i, at en ECU ikke kan få adgang til de oplysninger, der er nødvendige for at fungere, og ECU ‘ en kan blive ikke-operationel eller endda værst, det kan bringe systemet til en usikker tilstand. For at undgå tilgængelighedsproblemer er det nødvendigt at inkludere redundansstier og failover-strategier i designfasen samt at inkludere indbrudsforebyggelsessystemer, der kan overvåge netværkstrafikmønster, afgøre, om der er en anomali og blokere netværkstrafik, når det er nødvendigt.
C – i-A-triaden er en meget grundlæggende sikkerhedsmodel, men som med enhver model er der plads til forbedringer; andre attributter såsom ikke-afvisning og godkendelse er vigtige og skal også overvejes. Men i det mindste at sikre, at de tre aspekter af C-i-A-triaden er dækket, er et vigtigt første skridt i retning af at designe ethvert sikkert system.
hvis du vil vide mere om cybersikkerhedsprocesser, relaterede standarder og deres indvirkning på bilindustrien, kom til vores to-dages ul-CCSP-træning i bilindustrien.