I en allt mer digitaliserad värld kommer snart alla nya fordon att vara uppkopplade via femte generationens telenät (5G). Digitaliseringen av våra fordon är alltså en oundviklig framtid som innebär nya hot mot fordonen, användarna och samhället. Företagen (eller som vi kallar dem, OEMs) måste nu, istället för att vänta och se vad som kommer hända, ta tag i sin produktutveckling och lägga till attributet cybersecurity. I det ingår också underleverantörer och eftermarknadsförmågan. Nedan berättar jag hur.
Först bör vi vara överens om att fordon måste vara säkra på vägarna så att de inte används i syften som exempelvis botnets eller för att extrahera användarinformation. Nu när fordonen i allt högre grad går mot att vara fullständigt uppkopplade datorer likt våra mobiltelefoner ökar attackytan och därmed motivationen hos de som vill angripa dem. I absolut värsta fall kan ett fordon tas över och användas som ett fjärrstyrt vapen där passagerarna är oförmögna att hindra den framrusande besten.
Det har nu gått fem år sedan det kända Jeephacket och tekniken i fordonen har fortsatt utvecklas exponentiellt. Likaså hackarnas förmågor och kapacitet. Som tur är har även myndigheterna vaknat. Under 2020 planeras standarden ISO 21434 släppas. Så snart standarden är släppt kommer även en internationell lag för fordonsutveckling som utvecklats av UNECE (United Nations Economic Commission for Europe). Den kommer i sig att innebära att samtliga uppkopplade fordon måste vara typ-godkända. Typ-godkännandet är en förutsättning för att verka på en rad marknader - bl.a. Europa, Ryssland och Japan. De stora marknaderna i Kina och USA skapar sina egna regelverk vilka i dagsläget ser ut att vara närbesläktade med tidigare nämnda UNECE.
Att utveckla cybersäkra fordon är alltså inte bara en kul feature utan en nödvändighet för att kunna sälja fordonen.
För att ta sig till målet cybersäkra fordon är det mycket som behöver göras. De flesta företagen är just nu i en uppbyggnadsfas där fokus ligger på att etablera processer och medvetandegöra utvecklarna så att de förstår vikten av deras bidrag i utvecklingsprocessen.
Strategin bygger på att anpassa sina processer till de krav som standarden för cybersäkra fordon ställer och utgår från tre delar:
Linjera utvecklingsprocesserna
Säkra underleverantörernas förmåga
Utveckla eftermarknadsförmågor
Dessa delar ska enligt standarden implementeras i ett ledningssystem som säkerställer företagens förmåga att inte bara utveckla fordonen utan även ta hand om fordonens framtida säkerhet.
Standarden utgår från den välkända V-modellen som är ett strukturerat sätt att visualisera utvecklingsprocessen1. Standarden menar att all utveckling ska vara riskbaserad. Det innebär att man börjar med att utvärdera risken för fordonet och dess olika funktioner. Det handlar alltså om att bygga säkerhet från början.
Utvecklingsprocessen bör därför enligt standarden gå genom och dokumentera följande sekventiella steg:
Risk och hotanalys. Resultatet av dessa analyser ger en generell nivå för analysobjektet och mål för skyddsvärda tillgångar.
Konceptualisering av skyddsåtgärder. Nästa steg tar fram en modell som syftar till att skydda tillgångarna. Det är av yttersta vikt att de skyddsåtgärder som tas fram inte negativt påverkar den funktionella säkerheten. Därför är samarbete väldigt viktigt.
Specificering av koncept. Nästa steg handlar om att ta fram specifikationer på vad som faktiskt ska utvecklas för att skydda tillgångarna.
Hårdvara & Mjukvaruutveckling. I det här steget produceras det aktuella objektet.
Validering & Verifiering. Innan man kan lansera någon produkt måste den förstås kontrolleras för att säkerställa att utfallet motsvarar design.
Dessa steg måste självklart säkerställas tidigt i utvecklingen. Det är fullständigt omöjligt att efterkonstruera cybersäkerhet i fordonsutveckling.
Att vara OEM innebär att man har ansvaret för slutprodukten. Detta innebär att man måste kunna säkerställa att varje del i fordonet har gått igenom samma risk-baserade utveckling som man har internt, för att säkerställa cybersäkerheten.
Det innebär att underleverantörerna behöver ha ett ledningssystem som säkerställer att cybersäkerhet systematiskt utvecklas. Men också att den utvecklingen genererar den dokumentation som gör att en OEM vid behov kan uppvisa en sammanställd utvecklingsdokumentation som bland annat visar hur man garanterar produktens cybersäkerhet.
Hanteringen av underleverantörer innebär att man redan i anbudsförfarandet bör säkerställa deras förmåga att uppfylla de krav som OEM ställt upp. Avtalshanteringen är därför av yttersta vikt för att senare kunna styra utvecklingen på ett tillfredställande sätt. Därefter följer normal hantering i form av design, utveckling, projektuppföljning och ändringshantering. Granskning av underleverantörens utvecklingsarbete ofta kallade joint reviews2 är en nyckelfaktor där en OEM kan hantera förväntningar och vid behov hjälpa till med svåra situationer.
Att utveckla sin förmåga att hantera eftermarknaden innebär bland annat att man säkerställer sin förmåga att hantera risker som uppstår när fordonet lämnat fabriken. Standarden ställer här krav på tre delar:
Hotmonitorering
Incidenthantering
Uppdateringar
Dessa delar ska inkluderas i ledningssystemet för cybersäkerhet för att skapa förutsättningar till en säker miljö för fordonets förare och passagerare.
Hotmonitorering förutsätter att det finns ett komplett register av tillgångar och de hot som dessa kan utsättas för.
Incidenthantering förutsätter att det finns stödsystem som kan ta emot en incident och att incidenten kan hanteras på lämpligt sätt utan att tumma på risk.
Uppdateringar förutsätter att man på ett säkert sätt kan ansluta till fordonet och att det bara är signerad mjukvara som exekveras.
Framgångsfaktorer som observerats är i huvudsak att få ledningens stöd och sponsring genom projektet. Utan en tillräckligt stark champion kommer projektet ta lång tid att genomföra. Det bör också genomföras agilt. Skapa ett MVP som är tillräckligt bra. Ingen kan producera ett perfekt ledningssystem. Speciellt inte i dess första iteration. Man stöter på nya utmaningar med den approachen men dessa utmaningar är förmodligen att föredra framför alternativet.
Som alla förhoppningsvis förstår är cybersäkerhet inget man kan göra en gång och sedan vara nöjd. Det är förstås en iterativ process på produkt och processnivå. Som OEM måste man varje dag säkerställa sina fordon som är ute på fältet, i verkstäder, och under nyutveckling.
Det är mer utmanande i verkligheten att implementera ett ledningssystem för cybersäkerhet. Ovan beskrivs tre nyckelfaktorer. Förutom dessa ska man förstås också ha koll på att områden som avvikelsehantering, utvecklingsmiljöer, stödsystem, IAM, produktion, etc. är linjerade med cybersäkerhetsstrategin och övergripande vision av arbetet.
Det är egentligen inte alls så mycket cyber och teknik*, utan mer en fråga om förändringsledning. Vi inom säkerhetsbranschen jobbar ständigt med att medvetandegöra användarna. Nu måste vi också medvetandegöra utvecklarna så att våra produkter utvecklas till att vara cybersäkra.
*Jo det är förstås massor av cyber och teknik, men om du inte sköter det administrativa kommer den tekniska utvecklingen inte vara värd så mycket.
Vill du veta mer om säkerhet i bilar? Klicka här.
1Läs gärna mer om fordonsutveckling här: Skoglund, Martin & Warg, Fredrik & Sangchoolie, Behrooz. (2018). In Search of Synergies in a Multi-concern Development Lifecycle: Safety and Cybersecurity: SAFECOMP 2018 Workshops, ASSURE, DECSoS, SASSUR, STRIVE, and WAISE, Västerås, Sweden, September 18, 2018, Proceedings. 10.1007/978-3-319-99229-7_26.
2En djupdykning i JR: Fabbrini, Fabrizio & Fusani, Mario & Lami, Giuseppe & Sivera, Edoardo. (2008). Integrating Joint Reviews with Automotive SPICE Assessments Results. 357-368. 10.1007/978-3-540-79588-9_31.