Al giorno d'oggi, la connettività nei veicoli è più che mai elevata, il che significa maggiori rischi per la cybersecurity delle auto nel suo complesso. Dal WiFi al Bluetooth, all'LTE e all'USB, il numero di interfacce connesse nelle automobili aumenta esponenzialmente ogni anno. Secondo ABI Research, solo nel 2020 sono state vendute 30 milioni di nuove auto connesse e si prevede che questo numero salirà a 115 milioni di auto a livello globale entro il 2025. Ma l'aumento della connettività comporta maggiori rischi per la sicurezza, ed è per questo che l'industria automobilistica ha sviluppato lo standard ISO 21434, che promuove la cybersicurezza nei sistemi dei veicoli stradali. Continuate a leggere per saperne di più sulla norma ISO 21434 e su come la vostra organizzazione può prepararsi!
Sebbene i vantaggi derivanti dalla guida di un'auto connessa siano parecchi (connettività wireless 5G per abilitare le funzionalità di guida autonoma, sistemi di navigazione avanzati, meno incidenti stradali sono solo alcuni di questi), la crescente quantità di software nei veicoli ha anche portato a un aumento delle preoccupazioni relative alla sicurezza informatica. Le auto connesse in rete e semi-autonome sono più vulnerabili agli attacchi informatici rispetto alle loro predecessori. Di conseguenza, i produttori di tutto il mondo stanno cercando di mitigare queste vulnerabilità e di ridurre la probabilità di incidenti e lesioni che potrebbero causare.
Tuttavia, gli standard di sicurezza del settore esistenti per l'ingegneria della sicurezza informatica dei veicoli stradali non erano sufficientemente esaustivi e non contemplavano le misure di salvaguardia che dovrebbero essere adottate per mitigare i rischi di sicurezza informatica. Di conseguenza, era necessario un nuovo standard per garantire che la cybersecurity automobilistica sia presa in considerazione in ogni fase del ciclo di vita del prodotto nello sviluppo automobilistico e che le necessarie salvaguardie siano implementate in ogni fase del processo. È qui che entra in gioco la norma ISO 21434.
ISO 21434 “Road vehicles - cybersecurity engineering” è uno standard del settore automobilistico sviluppato dall'International Standard of Organization (ISO) insieme alla Society of Automotive Engineers (SAE). Questo standard si basa sul suo predecessore, ISO 26262, che non copre lo sviluppo di software o sottosistemi. La norma ISO 21434 si concentra sui rischi di cybersecurity insiti nella progettazione e nello sviluppo dell'elettronica per auto. Fornisce linee guida aggiornate per la gestione della sicurezza, per le attività continue legate alla sicurezza e per i metodi di valutazione e mitigazione dei rischi.
La norma ISO 21434 fornisce una linea guida per garantire la sicurezza informatica dei sistemi elettronici dei veicoli stradali. È stata sviluppata per garantire che gli OEM e i fornitori tengano conto della cybersecurity in ogni fase del ciclo di vita del prodotto, dalla fase di ideazione fino alla dismissione. Per approfondire questo aspetto, la norma ISO 21434 fornisce la terminologia, gli obiettivi, i requisiti e le linee guida di cui le organizzazioni hanno bisogno per:
La norma ISO 21434 si applica a tutto il software incluso nei veicoli, ai sistemi e ai componenti elettronici e, non da ultimo, anche all'hardware. L'obiettivo generale dello standard è quello di fornire una linea guida completa per gli sviluppatori del settore automobilistico, che li aiuterà a coprire gli argomenti di cybersecurity durante l'intero ciclo di vita dello sviluppo, assicurandosi che anche l'intera catena dei fornitori sia coperta.
Lo scopo della norma ISO 21434 è quello di incoraggiare gli OEM e i fornitori del settore automobilistico a prendere in considerazione le problematiche e le misure di cybersecurity durante l'intero ciclo di vita del prodotto. Per conformarsi ai requisiti di cybersecurity ISO per il settore automobilistico, gli OEM e i fornitori dovranno essere in grado di dimostrare di aver implementato le misure di salvaguardia raccomandate e di aver svolto la dovuta diligenza. La norma richiede inoltre che OEM e fornitori dimostrino che l'intera catena di fornitura è coperta: la piena responsabilità rimane del produttore.
L'ISO 21434 promuove l'adozione da parte delle organizzazioni di una mentalità "security and privacy first", ed è per questo che l'ISO 21434 definisce le linee guida per l'intero ciclo di vita dello sviluppo del prodotto. Segue il modello a V e descrive in dettaglio come la cybersicurezza entra in ogni fase: dalla definizione dei requisiti alla progettazione, all'implementazione, ai test, alle operazioni, fino al ritiro. Alcune delle attività che OEM e fornitori dovranno svolgere secondo questa linea guida sono le seguenti:
La norma ISO 21434 presenta una serie di requisiti per l'ingegneria della sicurezza informatica nel settore automobilistico. Questi servono ad analizzare le vulnerabilità e a mettere in atto misure di salvaguardia per garantire il massimo livello di sicurezza informatica possibile. L'approccio si basa sulla premessa che la cybersecurity dovrebbe essere al primo posto in tutte le questioni di progettazione ed essere considerata in ogni fase del ciclo di vita del prodotto, piuttosto che una misura isolata che viene introdotta separatamente in una fase successiva. In termini pratici, ciò si ripercuote su scelte come il linguaggio di programmazione utilizzato, ad esempio, in quanto è necessario implementare tecniche di codifica sicure, oltre a definizioni sintattiche e semantiche non ambigue.
L'UN R155 è uno dei regolamenti rilasciati dal forum di armonizzazione mondiale delle normative sui veicoli dell'UNECE (WP.29), insieme al regolamento fratello UN 156.
RN155 richiede l'utilizzo di un sistema di gestione della cybersecurity certificato, oltre a prestare particolare attenzione a:
UN R155 e ISO sono molto simili: il primo è un regolamento delle Nazioni Unite, mentre il secondo è uno standard industriale. Entrambi sono linee guida con requisiti che devono essere soddisfatti per promuovere la sicurezza informatica nell'industria automobilistica. Disporre degli strumenti giusti per supportare la conformità è essenziale per soddisfare i requisiti degli standard ISO e delle normative ONU sulla sicurezza informatica nel settore automobilistico e per ottenere l'approvazione dei prodotti da immettere sul mercato.