datasäkerhet-sekretess, integritet och tillgänglighet
med fordon som blir mer anslutna och deras system förlitar sig mer på komplex nätverksinformation är skyddet av informationen en prioriterad uppgift.
Tänk på information som alla bitar som samlas om något eller någon. I ett fordon täcker informationen användarens detaljer, informationen som utbyts mellan elektroniska system och även programvaran som lagras för att systemen ska fungera. Cybersäkerhet innebär helt enkelt att informationen skyddas mot kriminell eller obehörig användning och/eller att åtgärder vidtas för att uppnå detta.
när vi analyserar cybersäkerhet är det första steget att undersöka C-i-A-triaden, som är en välkänd modell för cybersäkerhetsutveckling. C-i-A står för sekretess, integritet och tillgänglighet – dessa säkerhetskoncept hjälper till att vägleda cybersäkerhetspolicyer. Fordonssystem och tillhörande infrastruktur måste skyddas mot avsiktlig eller oavsiktlig kompromiss av konfidentialitet, integritet eller tillgänglighet av den information som de lagrar, bearbetar och kommunicerar utan att hindra säkerhet och funktionalitet. Det är viktigt att förstå vart och ett av dessa begrepp eftersom alla risker, hot och sårbarheter mäts för deras potentiella förmåga att äventyra en eller alla dessa principer.
- Sekretess säkerställer att data som utbyts inte är tillgängliga för obehöriga användare. Användarna kan vara applikationer, processer, andra system och/eller människor. Vid utformning av ett system bör adekvata kontrollmekanismer för att upprätthålla konfidentialitet finnas på plats, liksom policyer som dikterar vad auktoriserade användare kan och inte kan göra med uppgifterna. Ju känsligare data, desto högre sekretessnivå. Därför bör alla känsliga data alltid kontrolleras och övervakas.För att upprätthålla konfidentialitet i fordonssystem måste data skyddas inom och utanför fordonet, medan det lagras (data i vila), medan det överförs (data i rörelse) och medan det behandlas (data som används). Minnesskydd kan tillämpas på data som används. Kryptografi är utmärkt för att skydda konfidentialiteten hos data i vila och data i rörelse, men kom ihåg att det medför beräkningskomplexitet och ökar latensen, så det bör användas med försiktighet i tidskänsliga system.
- integritet är förmågan att säkerställa att ett system och dess data inte har lidit obehörig modifiering. Integritetsskydd skyddar inte bara data utan även operativsystem, applikationer och hårdvara från att ändras av obehöriga personer. I fordonssystem är CRC känt för att ge integritetsskydd mot oavsiktliga eller icke-skadliga fel; det är dock inte lämpligt för att skydda mot avsiktlig ändring av data. Därför bör de känsliga uppgifterna innehålla kryptografiska kontrollsummor för verifiering av integritet. Dessutom bör det finnas mekanismer för att upptäcka när integriteten har kränkts och för att återställa alla berörda system eller data till deras korrekta tillstånd.
- tillgänglighet garanterar att system, applikationer och data är tillgängliga för användare när de behöver dem. Den vanligaste attacken som påverkar tillgängligheten är denial-of-service där angriparen avbryter åtkomst till information, system, enheter eller andra nätverksresurser. En överbelastning i ett internt fordonsnät kan leda till att en ECU inte kan få tillgång till den information som behövs för att fungera och ECU kan bli icke-operativ eller till och med värst det kan få systemet till ett osäkert tillstånd. För att undvika tillgänglighetsproblem är det nödvändigt att inkludera redundansvägar och failoverstrategier i designfasen, samt att inkludera intrångsförebyggande system som kan övervaka nätverkstrafikmönster, avgöra om det finns en anomali och blockera nätverkstrafik vid behov.
C-i-A-triaden är en mycket grundläggande säkerhetsmodell, men som med alla modeller finns det utrymme för förbättringar; andra attribut som icke-avvisning och autentisering är viktiga och måste också övervägas. Men åtminstone, att se till att de tre aspekterna av C-i-A-triaden täcks är ett viktigt första steg mot att utforma alla säkra system.
om du vill veta mer om cybersäkerhetsprocesser, relaterade standarder och deras inverkan på bilindustrin, kom till vår två dagars UL-CCSP-utbildning i fordonsindustrin.