2022年7月6日,聯合國歐洲經濟委員會第155號法規 (UN R155) 在歐洲生效。就在一年前,ISO/SAE 21434標準的第一版剛剛發布。這些都是汽車業的里程碑,加速了從模糊安全向通過設計開發流程保障安全的轉變。
對于消費者而言這是極好的消息,因為它讓人們高度相信黑客無法對日益聯網的汽車造成嚴重破壞。然而,對于汽車業而言這帶來了巨大的挑戰,其中一項就是如何滿足規定的嚴格期限。
在本篇博文中,我將回顧一下R155和ISO/SAE 21434的發展歷史,說明恩智浦如何在標準發布后不久就成功實現合規性。在第二部分中,我將深入剖析汽車業在開始采用這些要求開發新車輛及其組件時所面臨的部分挑戰。
?
查看確認恩智浦符合ISO/SAE 21434標準的證書,點擊這里>>
2021年9月,恩智浦宣布符合ISO/SAE 21434汽車網絡安全的新標準,了解為什么這很重要,請點擊這里>>
什么是車型審批?
像其他許多地區一樣,歐洲實行車型審批制度。這意味著,所有車輛必須成功通過指定檢測機構和實驗室(“技術服務機構”)的合規檢測,才能在地方當局登記在公共道路上使用。2022年7月6日以來,這些測試還將評估新車型遵守網絡安全新法規UN R155的情況,該新法規將網絡安全作為新車型的強制要求。
ISO/SAE 21434標準為車輛及其組件提供了明確的安全要求,以保護它們免受攻擊。該標準還支持在整個供應鏈的組織中實施R155的要求。因此,遵守這一標準實際上是對恩智浦等汽車芯片供應商的一項要求。
為什么要這么做呢?
如今,汽車可以通過USB、CAN總線、Wi-Fi、藍牙、蜂窩和以太網等許多不同的接口連接,因此惡意行為者的攻擊向量使得汽車成為誘人的攻擊目標。隨著黑客精通尋找車輛組件和系統的入口點并利用它們謀利,這些風險已急劇增加。
為了應對這些新挑戰,2016年汽車業不僅開始制定新法規,還開始制定相關的汽車網絡安全標準。這些舉措由世界車輛法規協調論壇 (UNECE WP.29)、汽車業、汽車工程學會和國際標準化組織 (ISO) 帶頭實施。UN R155和ISO/SAE 21434就是這些工作的成果。
這兩個標準并不一樣,因此說明它們如何協同工作非常重要。UN R155條例是具有約束力的指令,車型必須遵循它才能獲得型式批準,進入采用UN R155條例的60多個國家的市場。
而ISO/SAE 21434是由SAE和ISO創建的標準。最初,兩個組織就安全標準開展了單獨的工作,但最終還是通力合作,與汽車制造商、組件和系統供應商、網絡安全產品供應商、管理機構以及來自16個國家超過82家公司的100多名專家進行了合作。該標準支持在整個供應鏈的組織中實施R155的要求。因此,UN R155和ISO/SAE互為補充,共同規定了未來車輛的網絡安全要求。
新標準有哪些新要求?
ISO/SAE 21434為聯網車輛建立了網絡安全工程基準,并解決了電氣和電子系統的工程設計問題。該標準列明了從概念和開發到生產、運營、維護和退役的整個車輛生命周期內的明確組織和程序要求, 呼吁采取有效方法培養網絡安全文化,包括網絡安全意識管理、能力管理和持續改進以及整個供應鏈的密切合作。它還規定了威脅分析和風險評估 (TARA) 方法,以識別并確定潛在威脅、可行性和影響。
UN R155要求OEM安裝經過認證的網絡安全管理系統 (CSMS)。CSMS是一種基于風險的系統性方法,定義了組織流程和政策、責任以及治理,以處理與車輛網絡威脅相關的風險并保護車輛免受網絡攻擊。它要求采取措施來管理車輛網絡風險,通過設計保護車輛安全以降低整個價值鏈的風險,并檢測和應對安全事件。
簡而言之,UN R155要求部署CSMS,而ISO/SAE 21434則說明了如何實施CSMS。關于UN R155和ISO/SAE 21434發展歷史的更多詳情,請訪問我之前發布的博文 《全新21434汽車工程網絡安全標準》。
認證方面的情況如何?
每一套全面的要求都需要一種驗證手段,為此,R155要求OEM的CSMS至少每三年被重新評估一次,以驗證其是否符合R155。它是實現車型批準的前提。在審核機構或技術服務部門成功審核后,OEM收到其CSMS的合規性證書。
供應商需要支持OEM。R155要求OEM證明供應商相關風險已根據CSMS進行了識別和管理。因此,供應商必須向OEMS提供適當的證據。一個切實可行的方法是遵守ISO/SAE 21434,開展適用的網絡安全活動,并生成標準中定義的適用工作產品。
了解恩智浦如何幫助您加快向通過設計開發流程保障安全轉變,請下載白皮書>>
恩智浦如何實現法規合規性
基于在信息安全方面的專業知識以及現有的信息安全與功能安全認證 (通用標準、GSMA、IEC 62443-4-1、ISO 262626、ISO 27001、TISAX等), 恩智浦已經對現有的政策和流程進行了改進和擴展,以滿足ISO/SAE 21434的要求。2022年年中,一個獨立的第三方通過審計和認證證明了恩智浦的合規情況。
這不是一夜之間發生的。事實上,我們實現合規性的努力早在2019年6月就開始了,當時“ISO/SAE 21434的中間基準”已經發布。雖然當時的標準還遠遠不夠穩定,但我們知道R155的時間表會非常緊張,我們預計符合ISO/SAE 21434將很快成為市場要求。
考慮到這一點,我們找出了差距并加以解決。2020年,第一份正式草案(DIS)發布,TüV SüD據此進行了預審計 (合規性評估)。在隨后的幾個月中,我們根據這次預審計的調查結果進一步調整了流程和政策。
最終草案于2021年2月發布,恩智浦成功通過了TüV SüD的審計,并在標準發布幾天后獲得了證書,這證明恩智浦的網絡安全工程流程符合ISO/SAE 21434。恩智浦是第一家獲得此類認證的半導體供應商。此后,至少還有一家大型汽車產品供應商也獲得了這一認證,其他供應商也正在努力達到合規要求。
當然,這只是個開始,在過去12個月中,我們把這些經過認證的流程應用到新的半導體解決方案的開發中。我們正準備進行首次再審計,TüV SüD將審計我們的一些開發項目。
助力實現汽車網絡安全新目標
毫無疑問,實現新的網絡安全要求中提出的目標是一項艱巨的任務,再加上令人眼花繚亂的最后期限,簡直就是工程上的噩夢。但企業并不需要單獨解決這個問題。事實上,業內早就認識到合作是解決與汽車安全相關的共同挑戰的關鍵所在,并在2015年成立了名為汽車信息共享和分析中心 (Auto-ISAC) 的組織。這個行業驅動型論壇分享和分析關于車輛面臨的新網絡安全風險的情報,并共同提高全球汽車業的車輛網絡安全能力。
2016年至2019年期間,該論壇就標準涵蓋的主題編寫了七份最佳做法指南。該論壇與可信賴的同行網絡相結合,不僅有助于成員更快地提升網絡安全能力,還有助于行業實現R155和ISO/SAE 21434合規性。
在本系列的下一篇博文中,我將深入探討汽車業開始將UN R155和ISO/SAE 21434的要求付諸實踐時所面臨的一些挑戰,介紹如何處理傳統組件、定制、需求中的某些含糊之處以及半導體行業必須如何應對這些問題。請繼續關注!
本文作者
Timo van Roermund領導恩智浦汽車安全團隊。他在嵌入式設備的應用安全方面擁有深厚的專業知識,如車聯萬物(Vehicle-to-X)通信系統、車載網絡、架構和系統、物聯網設備、移動電話和可穿戴設備等。他是國際會議的常客。他為行業聯盟(汽車ISAC、C2C-CC)和汽車安全標準的制定做出了各種貢獻。Timo在埃因霍溫理工大學獲得計算機科學與工程碩士學位。
▼▼▼
延伸閱讀
-
全新的21434汽車工程網絡安全標準,點擊訪問>>
-
恩智浦宣布符合汽車網絡安全新標準ISO/SAE 21434,點擊訪問>>
-
車輛安全元件,點擊訪問>>
原文標題:UN R155和ISO/SAE 21434:汽車網絡安全新標準你了解多少?且聽專家解讀~
文章出處:【微信公眾號:NXP客棧】歡迎添加關注!文章轉載請注明出處。
-
NXP
+關注
關注
60文章
1278瀏覽量
184062
原文標題:UN R155和ISO/SAE 21434:汽車網絡安全新標準你了解多少?且聽專家解讀~
文章出處:【微信號:NXP客棧,微信公眾號:NXP客棧】歡迎添加關注!文章轉載請注明出處。
發布評論請先 登錄
相關推薦
評論