bezpieczeństwo danych-poufność, integralność i dostępność

myśl o informacji jako o wszystkich fragmentach, które są zebrane na temat czegoś lub kogoś. W pojeździe informacje obejmują dane użytkownika, informacje wymieniane między systemami elektronicznymi, a nawet oprogramowanie, które jest przechowywane w celu zapewnienia działania systemów. Cyberbezpieczeństwo oznacza po prostu, że informacje są chronione przed przestępczym lub nieautoryzowanym użyciem i/lub że podejmowane są środki w tym celu.

kiedy analizujemy cyberbezpieczeństwo, pierwszym krokiem jest przyjrzenie się triadzie C-I-A, która jest dobrze znanym modelem rozwoju cyberbezpieczeństwa. C-I – A oznacza poufność, integralność i dostępność – te koncepcje bezpieczeństwa pomagają kierować polityką bezpieczeństwa cybernetycznego. Systemy samochodowe i powiązana z nimi infrastruktura muszą być chronione przed umyślnym lub przypadkowym naruszeniem poufności, integralności lub dostępności informacji, które przechowują, przetwarzają i przekazują, bez uszczerbku dla bezpieczeństwa i funkcjonalności. Ważne jest zrozumienie każdego z tych pojęć, ponieważ wszystkie zagrożenia, zagrożenia i podatności są mierzone pod kątem ich potencjalnej zdolności do naruszenia jednej lub wszystkich tych zasad.

• poufność zapewnia, że wymieniane dane nie są dostępne dla nieuprawnionych użytkowników. Użytkownikami mogą być aplikacje, procesy, inne systemy i/lub ludzie. Podczas projektowania systemu powinny istnieć odpowiednie mechanizmy kontroli w celu egzekwowania poufności, a także zasady, które określają, co upoważnieni użytkownicy mogą, a czego nie mogą zrobić z danymi. Im bardziej wrażliwe dane, tym wyższy poziom poufności. Dlatego wszystkie wrażliwe dane powinny być zawsze kontrolowane i monitorowane.Aby zachować poufność w systemach motoryzacyjnych, dane muszą być chronione wewnątrz i na zewnątrz pojazdu, podczas gdy są przechowywane (dane w spoczynku), podczas przesyłania (dane w ruchu) i podczas przetwarzania (dane w użyciu). Ochrona pamięci może być stosowana do danych w użyciu. Kryptografia jest doskonała do ochrony poufności danych w spoczynku i danych w ruchu, ale należy pamiętać, że narzuca złożoność obliczeniową i zwiększa opóźnienia, dlatego należy ją stosować ostrożnie w systemach wrażliwych na czas.

• integralność to zdolność do zapewnienia, że system i jego dane nie zostały poddane nieautoryzowanej modyfikacji. Ochrona integralności chroni nie tylko dane, ale także systemy operacyjne, aplikacje i sprzęt przed modyfikacją przez osoby nieupoważnione. W systemach motoryzacyjnych CRC zapewnia ochronę integralności przed przypadkowymi lub złośliwymi błędami; nie nadaje się jednak do ochrony przed celową zmianą danych. W związku z tym dane wrażliwe powinny zawierać kryptograficzne sumy kontrolne w celu weryfikacji integralności. Ponadto należy wprowadzić mechanizmy umożliwiające wykrywanie przypadków naruszenia integralności i przywracanie poprawnego stanu każdego dotkniętego systemu lub danych.

• dostępność gwarantuje, że systemy, aplikacje i dane są dostępne dla użytkowników, gdy ich potrzebują. Najczęstszym atakiem wpływającym na dostępność jest odmowa usługi, w której atakujący przerywa dostęp do informacji, systemu, urządzeń lub innych zasobów sieciowych. Odmowa usługi w wewnętrznej sieci pojazdów może spowodować, że ECU nie będzie w stanie uzyskać dostępu do informacji potrzebnych do działania, a ECU może stać się nieoperacyjny lub nawet najgorsze może doprowadzić system do stanu niebezpiecznego. Aby uniknąć problemów z dostępnością, konieczne jest uwzględnienie ścieżek nadmiarowych i strategii przełączania awaryjnego na etapie projektowania, a także systemów zapobiegania włamaniom, które mogą monitorować schemat ruchu w sieci, określać, czy występuje anomalia i blokować ruch w sieci, gdy jest to konieczne.

Triada C-I-A jest bardzo podstawowym modelem bezpieczeństwa, ale jak w przypadku każdego modelu istnieje pole do poprawy; inne atrybuty, takie jak brak odrzucenia i uwierzytelnianie, są ważne i należy je również rozważyć. Ale przynajmniej zapewnienie uwzględnienia trzech aspektów triady C-I-A jest ważnym pierwszym krokiem w kierunku zaprojektowania dowolnego bezpiecznego systemu.

jeśli chcesz dowiedzieć się więcej o procesach cyberbezpieczeństwa, powiązanych standardach i ich wpływie na przemysł motoryzacyjny, przyjdź na nasze dwudniowe szkolenie UL-CCSP w motoryzacji.