ISO 21434 - cybersäkerhet för fordon

Jonathan Mikaelsfjord 20 november, 2019

Introduktion

Ökar cybersäkerheten i vägfarande fordon

En ny standard inom informationsteknologi håller på att tas fram; ISO 21434. Denna nya standard är specifikt riktad mot vägfarande fordon och ämnar skydda dessa mot IT- och cyberangrepp. Målet med standarden är att skapa en strukturerad process för att säkerställa att IT-/cybersäkerhet beaktas i alla faser i ett vägfarande fordons livscykel, från designfas till produktion och underhåll och slutligen till avveckling.

ISO 21434

En ISO standard skapar ett tydligt tillvägagångssätt för att bibehålla kontinuitet över den globala marknaden då upphandlingar av material, teknik och tjänster alla enkelt kan kravställas utefter ISO standarder.

ISO 21434 ska bidra till att uppnå och bibehålla en likvärdig nivå vad gäller cybersäkerhet i vägfarande fordon. Standarden ska skapa ett helhetstänk som ska främja medvetenhet kring IT/cybersäkerhet och dess risker samt möjligheter vid beslutsfattande.

Varför behövs en standard inom cybersäkerhet för vägfarande fordon?

Nya vägfarande fordon utvecklas kontinuerligt och dessa blir alltmer uppkopplade till diverse externa system. Det kan gälla uppkoppling av hela fordonet och/eller uppkoppling av delsystem i fordonet. Dessa uppkopplingar kan utnyttjas av antagonistiska aktörer som en attackvektor mot system som fordonet är uppkopplat mot eller så kan det utnyttjas för att direkt angripa fordonet i sig, detta genom att ta över styrning eller bromsar för att orsaka olyckor eller liknande. Dessa scenarion är inte science fiction utan detta är möjliga scenarion redan idag. Vid enkla sökningar på internet så kommer det upp hundratusentals sökträffar just hur ett fordon kan hackas – det finns även videodemonstrationer av dessa scenarion som så kallade ethical hackers tagit fram.  Därav finns det ett behov av att stärka cybersäkerhetsskyddet i vägfarande fordon och gärna på ett sätt så att hela marknaden följer dessa krav. Ett sätt att göra detta på är genom att producera en standard som berör området och som ökar fokuset på cybersäkerhet genom hela fordonets livscykel.

Principer

ISO 21434 appliceras enbart på vägfarande fordon, det vill säga inte offroadmaskiner eller liknande. Standarden kommer även att kunna appliceras på interna system i vägfordon, delar av vägfordon, mjukvaror i vägfordon samt även på system som är agerar kontaktväg mellan vägfarande fordon och externa nätverk/system.

Målet är inte att skapa ett 100%-igt cybersäkerhetsskydd, vilket i princip är omöjligt att uppnå, utan istället uppnå en rimlig säkerhet i fordonen och deras system genom riskeliminering, riskreducering och riskacceptans.  Vad som anses som rimligt skydd bedöms genom att gå igenom stegen i standarden för riskanalys.

Riskhantering

ISO21434 är som sagt riskorienterad vilket innebär att en stor del av standardens fokus ligger på just analys, värdering och åtgärder av risker. I standardens riskhanteringssteg kommer i dagsläget följande aktiviteter att innefattas.

  • Identifiering av skyddsvärda tillgångar i systemet
  • Hotanalys, det vill säga en analys av vad som kan hota systemet och hur
  • Konsekvensbedömning, vilket är en bedömning av vilka konsekvenser de olika hoten och riskerna skulle kunna innefatta.
  • Sårbarhetsanalys, en analys av vilka särskilda hot och risker som systemet är särskilt sårbart mot.
  • Attackvektoranalys, en kartläggning av på vilka sätt systemet skulle kunna angripas på.
  • Genomförbarhet av attack, en analys och bedömning av hur genomförbar en särskild attack är och hur stor risken är att någon har tillräckliga resurser och tillräckligt motiv för att genomföra en sådan attack.
  • Riskvärdering, i detta steg så viktas samtliga hot, risker och sårbarheter för att få fram en prioriteringsgrad bland dessa vilket i sin tur styr vilka som bör åtgärdas och vilka som kan accepteras som de är.
  • Slutligen genomförs en analys för hur åtgärder för de prioriterade riskerna ska genomföras och vad de ska innefatta. I detta steg undersöks även om riskerna elimineras, reduceras eller enbart förändras av de eventuella åtgärderna.

Vad innehåller inte standarden?

ISO21434 kommer inte att beröra följande punkter:

  • Standarden kommer inte rekommendera specifika cybersäkerhetslösningar eller teknologier.
  • Kommer inte innehålla krav på specifika saneringslösningar inom cybersäkerhet.
  • Kommer inte innehålla krav på telekommunikationslösningar eller system.
  • Kommer inte specificera krav för ”connected back-office”, det vill säga supporttjänster för vägfarande fordon.
  • Kommer inte specificera krav för fordonsladdare.
  • Kommer inte specificera unika krav för självkörande fordon utan kraven som presenteras kommer beröra alla vägfarande fordon, självkörande eller inte.
  • Standarden kommer inte på något sätt att täcka tekniska lösningar/åtgärder utan kommer enbart att presentera processer för det kontinuerliga arbetet med IT- och cybersäkerhet. Det vill säga kommer standarden främst att berätta för dig hur du ska gå tillväga sett utifrån ett designperspektiv.

Vem berör standarden?

Med utgångspunkt presenterad information så blir det tydligt att standarden inte enbart kommer beröra tillverkare av vägfarande fordon utan även dess underleverantörer eftersom standarden är utformad på så vis att även delar och mjukvaror som ska ingå i ett fordon kan kravställas enligt standarden.

Därmed kommer det med stor säkerhet framöver bli allt vanligare att både tillverkare av vägfarande fordon och underleverantörer till dessa tillverkare kravställs enligt ISO 21434 vid upphandlingar.

Det finns i dagsläget inget datum för när standarden släpps men det finns information om att standarden kommer att släppas antingen i slutet av 2019 eller tidigt 2020.

Är du ett företag som arbetar inom fordonsindustrin, antingen med design, produktion, underhåll av hela eller delar av fordon eller med programvaror för vägfarande fordon så kommer ISO 21434 att vara en viktig standard att hålla koll på i framtiden.

Jonathan Mikaelsfjord
Senaste inläggen av Jonathan Mikaelsfjord