Hanna Taller is a content creator for PTC’s ALM Marketing team. She is responsible for increasing brand awareness and driving thought leadership for Codebeamer. Hanna is passionate about creating insightful content centered around ALM, life sciences, automotive technology, and avionics.
Al giorno d'oggi, la connettività nei veicoli è più che mai elevata, il che significa maggiori rischi per la cybersecurity delle auto nel suo complesso. Dal WiFi al Bluetooth, all'LTE e all'USB, il numero di interfacce connesse nelle automobili aumenta esponenzialmente ogni anno. Secondo ABI Research, solo nel 2020 sono state vendute 30 milioni di nuove auto connesse e si prevede che questo numero salirà a 115 milioni di auto a livello globale entro il 2025. Ma l'aumento della connettività comporta maggiori rischi per la sicurezza, ed è per questo che l'industria automobilistica ha sviluppato lo standard ISO 21434, che promuove la cybersicurezza nei sistemi dei veicoli stradali. Continuate a leggere per saperne di più sulla norma ISO 21434 e su come la vostra organizzazione può prepararsi!
Sebbene i vantaggi derivanti dalla guida di un'auto connessa siano parecchi (connettività wireless 5G per abilitare le funzionalità di guida autonoma, sistemi di navigazione avanzati, meno incidenti stradali sono solo alcuni di questi), la crescente quantità di software nei veicoli ha anche portato a un aumento delle preoccupazioni relative alla sicurezza informatica. Le auto connesse in rete e semi-autonome sono più vulnerabili agli attacchi informatici rispetto alle loro predecessori. Di conseguenza, i produttori di tutto il mondo stanno cercando di mitigare queste vulnerabilità e di ridurre la probabilità di incidenti e lesioni che potrebbero causare.
Tuttavia, gli standard di sicurezza del settore esistenti per l'ingegneria della sicurezza informatica dei veicoli stradali non erano sufficientemente esaustivi e non contemplavano le misure di salvaguardia che dovrebbero essere adottate per mitigare i rischi di sicurezza informatica. Di conseguenza, era necessario un nuovo standard per garantire che la cybersecurity automobilistica sia presa in considerazione in ogni fase del ciclo di vita del prodotto nello sviluppo automobilistico e che le necessarie salvaguardie siano implementate in ogni fase del processo. È qui che entra in gioco la norma ISO 21434.
Che cos'è la norma ISO/SAE 21434?
ISO 21434 “Road vehicles - cybersecurity engineering” è uno standard del settore automobilistico sviluppato dall'International Standard of Organization (ISO) insieme alla Society of Automotive Engineers (SAE). Questo standard si basa sul suo predecessore, ISO 26262, che non copre lo sviluppo di software o sottosistemi. La norma ISO 21434 si concentra sui rischi di cybersecurity insiti nella progettazione e nello sviluppo dell'elettronica per auto. Fornisce linee guida aggiornate per la gestione della sicurezza, per le attività continue legate alla sicurezza e per i metodi di valutazione e mitigazione dei rischi.
La norma ISO 21434 fornisce una linea guida per garantire la sicurezza informatica dei sistemi elettronici dei veicoli stradali. È stata sviluppata per garantire che gli OEM e i fornitori tengano conto della cybersecurity in ogni fase del ciclo di vita del prodotto, dalla fase di ideazione fino alla dismissione. Per approfondire questo aspetto, la norma ISO 21434 fornisce la terminologia, gli obiettivi, i requisiti e le linee guida di cui le organizzazioni hanno bisogno per:
- Definire politiche e processi di cybersecurity
- Analizzare, identificare e gestire i rischi di cybersecurity.
- Promuovere una cultura della "sicurezza per la progettazione" o della cybersecurity all'interno dell'organizzazione.
La norma ISO 21434 si applica a tutto il software incluso nei veicoli, ai sistemi e ai componenti elettronici e, non da ultimo, anche all'hardware. L'obiettivo generale dello standard è quello di fornire una linea guida completa per gli sviluppatori del settore automobilistico, che li aiuterà a coprire gli argomenti di cybersecurity durante l'intero ciclo di vita dello sviluppo, assicurandosi che anche l'intera catena dei fornitori sia coperta.
Perché è importante la cybersecurity nel settore automobilistico?
La sicurezza informatica nel settore automobilistico è fondamentale, poiché i veicoli moderni si affidano in larga misura al software per funzioni critiche come lo sterzo, la frenata e la navigazione. La maggiore connettività aumenta il rischio di attacchi informatici, che possono compromettere la sicurezza e mettere in pericolo vite umane. La possibilità di compromettere un gran numero di veicoli e di utilizzarli in una rete rappresenta un'ulteriore minaccia. Le auto connesse gestiscono anche informazioni sensibili che, senza un'adeguata sicurezza, potrebbero essere vulnerabili al furto di identità e alla sorveglianza non autorizzata. Il potenziale pericolo che i malintenzionati rappresentano per un singolo veicolo (o per intere flotte di veicoli) non è più il regno della fantascienza. Mentre le case automobilistiche si affrettano ad adattarsi a una nuova realtà di auto connesse con serie funzionalità intelligenti, un attacco significativo ai sistemi delle auto potrebbe infliggere un colpo paralizzante alla loro reputazione, al loro marchio e alla loro posizione competitiva in un mercato in rapida evoluzione.
Una cybersecurity solida ed efficace è fondamentale per mantenere la fiducia del pubblico in tecnologie come la guida autonoma e le comunicazioni vehicle-to-vehicle (V2V). Mentre le case automobilistiche spendono miliardi per innovare le funzionalità intelligenti, gli attacchi riusciti ai loro veicoli non sono solo una responsabilità per i loro marchi, ma minacciano di erodere la domanda di queste funzionalità viste come una responsabilità. Poiché la sicurezza informatica sta rapidamente diventando importante quanto la sicurezza degli incidenti, le organizzazioni hanno bisogno di standard forti per garantire che il pubblico possa fidarsi della sicurezza delle proprie auto. La conformità a standard come l'ISO 21434 è il modo migliore per queste aziende di ridurre i rischi, prevenire le perdite finanziarie e proteggere la propria reputazione.
Qual è l'obiettivo della norma ISO 21434?
La norma ISO 21434 prevede che la sicurezza informatica sia integrata in ogni fase del ciclo di vita del prodotto automobilistico. Lo standard aiuta i produttori e i fornitori a identificare e gestire efficacemente i rischi di cybersecurity dalla fase iniziale di progettazione fino alla produzione e allo smantellamento. In definitiva, mira a proteggere i sistemi dei veicoli dalle minacce informatiche, a garantire la sicurezza degli utenti e a mantenere la fiducia nelle tecnologie dei veicoli connessi e autonomi.
Quali sono i vantaggi della ISO 21434?
Mantenere un processo di gestione sicuro
L'adozione della norma ISO 21434 aiuta le organizzazioni a stabilire e mantenere un processo di gestione sicuro, incorporando le migliori pratiche di cybersecurity in tutto il ciclo di vita del prodotto. Ciò garantisce che le potenziali vulnerabilità siano identificate e affrontate tempestivamente, riducendo il rischio di costosi richiami e incidenti di sicurezza in seguito.
Mitigare le minacce potenziali
La norma ISO 21434 fornisce un approccio strutturato per la valutazione del rischio e la gestione delle minacce, consentendo alle organizzazioni di anticipare e prevenire meglio i cyberattacchi. Questa strategia completa aumenta la resilienza complessiva dei sistemi dei veicoli e supporta il miglioramento continuo delle misure di sicurezza informatica. Attenuando efficacemente le potenziali minacce, le aziende automobilistiche possono proteggere le funzioni critiche e mantenere la massima sicurezza per gli utenti.
Migliorare l'efficienza operativa
L'integrazione dei requisiti di cybersecurity nei flussi di lavoro di sviluppo promuove una maggiore efficienza operativa. La norma ISO 21434 snellisce i processi e riduce le ridondanze, facilitando una migliore collaborazione tra i reparti e le parti interessate.
Ridurre i costi
Nel tempo, investire in misure di cybersecurity solide come la ISO 21434 può portare a significativi risparmi sui costi. Le organizzazioni possono ridurre al minimo le perdite finanziarie prevenendo violazioni di dati, guasti ai sistemi e potenziali controversie. La conformità a questo standard aiuta anche a evitare multe e conseguenze legali, rendendola una strategia economicamente vantaggiosa per la sicurezza a lungo termine.
Dimostrare una sicurezza informatica avanzata
L'implementazione della norma ISO 21434 è un modo sicuro per dimostrare la propria dedizione a pratiche avanzate di cybersecurity. Questo impegno migliora la reputazione e crea fiducia nei clienti per quanto riguarda la sicurezza e l'affidabilità dei veicoli connessi e autonomi. L'adesione a standard di cybersecurity rigorosi promuove la fiducia tra le parti interessate e contribuisce a garantire un vantaggio competitivo nell'industria automobilistica in continua evoluzione.
In che modo la norma ISO 21434 influisce sugli OEM e sui fornitori del settore automobilistico?
Lo scopo della norma ISO 21434 è quello di incoraggiare gli OEM e i fornitori del settore automobilistico a prendere in considerazione le problematiche e le misure di cybersecurity durante l'intero ciclo di vita del prodotto. Per conformarsi ai requisiti di cybersecurity ISO per il settore automobilistico, gli OEM e i fornitori dovranno essere in grado di dimostrare di aver implementato le misure di salvaguardia raccomandate e di aver svolto la dovuta diligenza. La norma richiede inoltre che OEM e fornitori dimostrino che l'intera catena di fornitura è coperta: la piena responsabilità rimane del produttore.
L'ISO 21434 promuove l'adozione da parte delle organizzazioni di una mentalità "security and privacy first", ed è per questo che l'ISO 21434 definisce le linee guida per l'intero ciclo di vita dello sviluppo del prodotto. Segue il modello a V e descrive in dettaglio come la cybersicurezza entra in ogni fase: dalla definizione dei requisiti alla progettazione, all'implementazione, ai test, alle operazioni, fino al ritiro. Alcune delle attività che OEM e fornitori dovranno svolgere secondo questa linea guida sono le seguenti:
- Esecuzione di valutazioni dei rischi
- Identificare le vulnerabilità della sicurezza informatica
- Garantire che lo sviluppo sia intrapreso con le giuste salvaguardie per affrontare queste vulnerabilità.
- Testare rigorosamente le applicazioni e i componenti software/hardware per assicurarsi che questi rischi siano stati mitigati.
Lo standard impone rigorosi processi di verifica e convalida per garantire la solidità delle misure di cybersecurity durante l'intero ciclo di vita dell'automobile. Le organizzazioni devono condurre valutazioni complete dei rischi, eseguire test di penetrazione e monitorare continuamente i sistemi per mantenere la conformità. Le moderne soluzioni di application lifecycle management (ALM) possono aiutare le organizzazioni automobilistiche a conformarsi a requisiti rigorosi come la norma ISO 21434, fornendo tracciabilità end-to-end, trasparenza e collaborazione efficiente lungo il ciclo di vita dell'ingegneria. In ultima analisi, ciò può garantire una posizione proattiva sulla cybersecurity e favorire la resilienza contro le minacce in evoluzione.
ISO 21434 sulla cybersecurity: Qual è lo standard ingegneristico?
La norma ISO 21434 presenta una serie di requisiti per l'ingegneria della sicurezza informatica nel settore automobilistico. Questi servono ad analizzare le vulnerabilità e a mettere in atto misure di salvaguardia per garantire il massimo livello di sicurezza informatica possibile. L'approccio si basa sulla premessa che la cybersecurity dovrebbe essere al primo posto in tutte le questioni di progettazione ed essere considerata in ogni fase del ciclo di vita del prodotto, piuttosto che una misura isolata che viene introdotta separatamente in una fase successiva. In termini pratici, ciò si ripercuote su scelte come il linguaggio di programmazione utilizzato, ad esempio, in quanto è necessario implementare tecniche di codifica sicure, oltre a definizioni sintattiche e semantiche non ambigue.
Qual è il rapporto tra la norma ISO 21434 e la norma UN R155?
L'UN R155 è uno dei regolamenti rilasciati dal forum di armonizzazione mondiale delle normative sui veicoli dell'UNECE (WP.29), insieme al regolamento fratello UN 156.
RN155 richiede l'utilizzo di un sistema di gestione della cybersecurity certificato, oltre a prestare particolare attenzione a:
- Analisi, valutazione e gestione dei rischi informatici con i veicoli connessi
- L'uso della cybersecurity "by design" per ridurre i rischi lungo tutta la catena di fornitura
- Mantenere aggiornato il software del veicolo in modo sicuro
- Disporre di sistemi per il rilevamento e l'attenuazione degli incidenti di sicurezza nei veicoli.
UN R155 e ISO sono molto simili: il primo è un regolamento delle Nazioni Unite, mentre il secondo è uno standard industriale. Entrambi sono linee guida con requisiti che devono essere soddisfatti per promuovere la sicurezza informatica nell'industria automobilistica. Disporre degli strumenti giusti per supportare la conformità è essenziale per soddisfare i requisiti degli standard ISO e delle normative ONU sulla sicurezza informatica nel settore automobilistico e per ottenere l'approvazione dei prodotti da immettere sul mercato.
Nel complesso, queste normative offrono garanzie e sfide. Se da un lato le normative e gli standard aiutano a evitare esiti negativi per la cybersecurity, dall'altro hanno costretto i produttori a modificare o reinventare aree significative della loro attività. Si potrebbe affermare che è proprio questo lo scopo di questi standard. Per affrontare con successo questa trasformazione digitale, i leader di mercato non guardano solo ai sistemi CAD, PLM e ALM, ma a soluzioni in grado di integrare entrambi per creare un processo di conformità più affidabile, agile e resistente. La tecnologia giusta aiuta anche a garantire che le case automobilistiche non siano costrette a scegliere tra la rigorosa aderenza agli standard e la velocità di commercializzazione.
Come implementare la ISO/SAE 21434 nel vostro processo?
Prima di implementare la norma ISO 21434, dovreste innanzitutto valutare il vostro attuale quadro di riferimento per la cybersecurity per comprendere le vostre esigenze e le vostre lacune. Quanto efficacemente state identificando e gestendo i rischi di cybersecurity in ogni fase del ciclo di vita del prodotto? Avete un solido programma di formazione per garantire che tutti i team siano consapevoli delle best practice e delle esigenze di conformità? Una volta ottenuta una solida comprensione dei processi attuali, è possibile definire una politica di cybersecurity completa, formare i team sulle best practice e integrare le metodologie di valutazione dei rischi nel ciclo di vita dello sviluppo. L'utilizzo di moderne soluzioni ALM può semplificare ulteriormente questi sforzi centralizzando i processi, migliorando la collaborazione tra i team e fornendo strumenti per monitorare costantemente la conformità e la gestione del rischio. Il giusto approccio, unito al giusto investimento tecnologico, può trasformare la sfida della conformità alla cybersecurity in un vantaggio competitivo.
Ogni giorno che passa, sempre più veicoli (e funzioni al loro interno) diventano connessi. Le funzioni critiche che un tempo erano manuali ora dipendono completamente dal software e la loro sicurezza è più che mai necessaria per garantire la sicurezza degli utenti e la protezione dei dati.
Inizia la tua prova gratuita di Codebeamer
Semplificate la progettazione di prodotti e software complessi su scala. Iniziate la vostra prova gratuita della piattaforma aperta Codebeamer che estende le funzionalità ALM con capacità di configurazione della linea di prodotti e fornisce configurazioni uniche per processi complessi.
Inizia ora