ISO/SAE 21434 Özet
ISO 21434, 2021 yılında yayınlanan “Road vehicles – Cybersecurity engineering” başlıklı bir uluslararası standarttır. Bu standart, otomotiv endüstrisindeki siber güvenlik risklerini ele almak için geliştirilmiştir.
ISO 21434, otomotiv sistemlerinin siber güvenliğinin sağlanması için bir çerçeve sunar. Bu standart, otomotiv sistemlerindeki siber güvenlik risklerini belirlemek, riskleri analiz etmek ve önlemler almak için bir yöntem sağlar. Ayrıca, otomotiv sistemleri için güvenlik gereksinimleri belirlemek ve bu gereksinimlerin karşılandığını doğrulamak için bir yöntem sunar.
ISO 21434, otomotiv sistemlerindeki siber güvenlik risklerini ele almak için birçok farklı bileşen içerir. Bu bileşenler arasında risk analizi ve değerlendirme, güvenlik gereksinimleri belirleme, siber güvenlik tasarımı, test ve doğrulama gibi konular yer alır.
Bu standart, otomotiv endüstrisindeki siber güvenlik risklerini ele almak için bir kılavuz olarak kullanılabilir. ISO 21434, otomobil üreticileri, parça tedarikçileri, yazılım geliştiricileri, test laboratuvarları ve diğer ilgili paydaşlar tarafından uygulanabilir. Bu standartın kullanımı, otomotiv endüstrisindeki siber güvenlik açıklarının önlenmesine ve otomobil kullanıcılarının güvenliği için önemli bir adım olarak görülebilir.
Otomotivde Siber Güvenlik Nedir?
Otomotivde siber güvenlik, bağlı araçları yetkisiz erişime veya kötü niyetli hasara karşı koruma uygulamasıdır. ISO/SAE 21434, risk belirleme, tehdit yönetimi, gizliliğin korunması ve daha fazlası için tavsiyeler dahil olmak üzere kuruluşların sistemlerinin güvenli olmasını sağlamak için izlemesi gereken bir dizi düzenleme ve yönergeyi ana hatlarıyla belirtir. ISO/SAE 21434 ayrıca tasarım gereği güvenlik ve sistem hatası işleme yetenekleri gibi güvenlik hususlarıyla ilgili gereksinimleri tanımlar. Düzenli yazılım güncellemeleri, güvenlik açıklarını hızlı bir şekilde yamalama, sistem mimarisinde tek hata noktalarından kaçınma ve iki faktörlü kimlik doğrulama (TFA) veya tek seferlik parola (OTP) gibi güvenli kimlik doğrulama protokolleri uygulama gibi adımlar atan kuruluşlar, ilişkili riskleri en aza indirebilir.
ISO/SAE 21434 nedir?
ISO/SAE 21434, Uluslararası Standardizasyon Örgütü (ISO) tarafından geliştirilmiş bir standarttır. Karayolu taşıt sistemlerinde siber güvenlik için bir çerçeve oluşturmak üzere tasarlanmıştır. Standart, risk değerlendirmesi ve yönetiminden güvenlik kontrollerine ve azaltma stratejilerine kadar her şeyi kapsar. Kısacası, ISO/SAE 21434, araçları siber saldırılardan korumakla ilgilidir.
ISO/SAE 21434, Society of Automotive Engineers (SAE) tarafından geliştirilen ISO/SAE 21434 standardına dayanmaktadır. ISO/SAE 21434 standardı, araçlarda siber güvenlik için bir dizi yönergedir. Arabalara ve kamyonlara yönelik artan sayıda siber saldırıya yanıt olarak oluşturuldu. ISO/SAE 21434 standardı isteğe bağlıdır, ancak ISO/SAE 21434 tüm ISO üyeleri için zorunludur.
Genel bakış:
ISO/SAE 21434, üreticilere, tedarikçilere ve OEM’lere araç elektronik sistemlerinin siber güvenliğini sağlamaya yönelik bir çerçeve sağlamak için geliştirilmiş bir standarttır. Siber güvenliğin, ürünün geliştirilmesinin başlangıcından emekliliğine kadar her aşamasında dikkate alınmasını sağlamak için oluşturulmuştur. Bu noktayı detaylandırmak için ISO/SAE 21434, karayolu araçlarında siber güvenlikle ilgili terminoloji, hedefler, kriterler ve yöntemler sağlayarak şunları sağlar:
- Siber güvenlik standartlarını ve prosedürlerini tanımlayın
- Siber güvenlik tehditlerini analiz edin, tanımlayın ve yönetin
- şirket içinde bir ‘tasarım gereği güvenlik’ veya siber güvenlik kültürünü teşvik edin.
ISO/SAE 21434 Neleri Kapsar?
ISO/SAE 21434 dört ana bölümden oluşur: risk değerlendirmesi ve yönetimi, güvenlik kontrolleri, iletişim ve bilgi alışverişi ve azaltma stratejileri.
- Risk Değerlendirmesi ve Yönetimi: ISO/SAE 21434, kuruluşların araç sistemlerine yönelik riskleri değerlendirmesini ve yönetmesini gerektirir. Bu, siber güvenlik risklerini tanımlamayı, değerlendirmeyi ve yönetmeyi içerir. Kuruluşların ayrıca siber olaylarla başa çıkmak için bir planı olmalıdır.
- Güvenlik Kontrolleri: ISO/SAE 21434, kuruluşların araçları siber saldırılardan korumak için güvenlik kontrolleri uygulamasını gerektirir. Bu kontroller, kimlik doğrulama, yetkilendirme ve şifreleme gibi şeyleri içerir.
- İletişim ve Bilgi Değişimi: ISO/SAE 21434, kuruluşların siber güvenlik riskleri ve olayları hakkında bilgi alışverişinde bulunmasını gerektirir. Bu, tedarikçiler, müşteriler ve diğer paydaşlarla bilgi paylaşımını içerir.
- Etki Azaltma Stratejileri: ISO/SAE 21434, kuruluşların siber olaylarla başa çıkmak için azaltma stratejilerine sahip olmasını gerektirir. Bu stratejiler, bir olayın araç sistemleri üzerindeki etkisini en aza indirecek şekilde tasarlanmalıdır.
ISO/SAE 21434’in Amacı:
Günümüzde her araca yapay zekanın gücü yüklenmiştir. Wi-fi ve Bluetooth’tan USB ve LTE bağlantısına kadar bir araba, onları daha çekici ve modern kılan yüksek teknoloji öğeleriyle süper yüklüdür. Tüm bunlar, aracı yalnızca daha yetenekli kılmakla kalmıyor, aynı zamanda siber saldırılara da oldukça açık hale getiriyor.
ISO/SAE 21434’ün amacı, araçları her türlü siber saldırıdan korumaktır. Bu standart, kuruluşların araç sistemlerine yönelik riskleri değerlendirmesi, yönetmesi ve azaltması için bir çerçeve sağlar. ISO/SAE 21434, siber güvenliğin, başlangıçtan kullanımdan kaldırmaya kadar ürün geliştirmenin her aşamasında dikkate alınmasını sağlamak için tasarlanmıştır.
ISO/SAE 21434 uygulama süreci:
ISO/SAE 21434’ü uygulama döngüsü, standardın kendisinde tanımlandığı gibi beş adımlı bir prosedürdür.
- Güvenlik özelliklerinin ihlalinden kaynaklanan varlıkların ve olası hasarın belirlenmesi
- Olası tehditlerin, saldırıların ve güvenlik açıklarının belirlenmesi ve analizi
- Hasar senaryolarına ve başarılı saldırı olasılıklarına göre risk seviyelerinin belirlenmesi
- Kalan risk kabul edilebilir olana kadar karşı önlemler alın
- Varlık listeleri, hasar senaryoları, saldırı raporları veya risk raporları gibi risk değerlendirme sürecinin önemli adımlarının ve sonuçlarının belgelenmesi.
ISO/SAE 21434 Belge Yapısı:
ISO/SAE DIS 21434 [11], tasarım ve geliştirmeden üretim, işletme ve hizmetten çıkarmaya kadar bir aracın yaşam döngüsünün tüm aşamalarındaki siber güvenlik faaliyetlerine odaklanır. ISO/SAE DIS 21434 taslağının yapısı, belgenin sonraki bölümlerinde daha ayrıntılı bir açıklama verilmeden önce bu bölümde analiz edilmekte ve kısaca açıklanmaktadır.
Bölüm 1 normun kapsamını tanımlar.
Bölüm 2 normatif referanslar sağlar.
Bölüm 3 kısaltılmış terimleri ve belgede kullanılan terimlerin tanımlarını tanımlar.
Bölüm 4 aracın ekosistemini, siber güvenlik yönetimini ve tüm araç yaşam döngüsünü tartışan açıklayıcı bir bölümdür. Bu bölüm, araç ekolojisi, kurumsal siber güvenlik yönetimi ve bir bütün olarak otomobil yaşam döngüsü hakkında bilgi sağlar. Otomotiv siber güvenliğinin bu bağlamdaki tanımı, aracın içindeki tüm varlıkların ve ayrıca aracın kendisinin yetkisiz erişime veya zarar verebilecek manipülasyonlara karşı korunmasını sağlamak anlamına gelir.
- Otomotiv siber güvenliği bu nedenle şunları dikkate alır:
- araca veya bileşenlerine yönelik tehditler ve
- araç dışındaki varlıkları tehlikeye atan ancak araç içindeki güvenlik açıklarından yararlanan ekosisteme yönelik tehditler.
Ek olarak, siber güvenlik yönetimi ve siber güvenlik mühendisliği yaşam döngüsü faaliyetlerine ilişkin genel bir organizasyonel bakış sunulmaktadır.
Bölüm 5 kurumsal siber güvenlik stratejisi, politikası ve hedeflerinin açıklamalarını içerir. Bu bölümün amacı:
- Siber güvenlikle ilgili kurumsal hedefleri ve bu hedeflere ulaşmak için kurumsal stratejiyi tanımlayın
- kurumsal siber güvenlik stratejisini uygulamak için kuruluşa özel kural ve süreçlerin belirtilmesi
- siber güvenlik mühendisliği ve ilgili makam için sorumluluklar atamak
- gereken kaynakları sağlamak
- siber güvenlik kültürünü teşvik etmek
- Siber güvenlik faaliyetlerini gerçekleştirmek için gereken yetkinlikleri ve farkındalığı yönetmek
- sürekli iyileştirme uygulama
- kurumsal bir siber güvenlik denetimi yapmak
- siber güvenlik süreçleri arasındaki etkileşimleri yönetme.
Bölüm 6 yol kullanıcısının potansiyel bir durum veya olay tarafından ne ölçüde tehdit edildiğini belirlemeye yönelik bir plan ve yöntemi içeren risk yönetimi gereksinimlerini tanımlar.
Bölüm 7 kavram aşamasıyla ilgilenir ve bir tehdit analizi ve risk değerlendirmesinden kaynaklanan siber güvenlik hedeflerini tanımlar; yanı sıra siber güvenlik hedeflerine ulaşmak için siber güvenlik gereksinimleri tanımı.
Bölüm 8 ürün geliştirme aşamasına özel siber güvenlik gereksinimlerinin uygulanmasını ve doğrulanmasını belirtir.
Bölüm 9 üretilen üründe siber güvenlik özelliklerinin uygulanmasını sağlamak için üretim, işletme ve bakım aşamalarına ve spesifikasyon gereksinimlerine odaklanıyor; saha içi siber güvenlik faaliyetlerini de kapsar.
Bölüm 10 organizasyonel süreçler de dahil olmak üzere destekleyici süreçleri tanımlar.
Bölüm 1, 2 ve 3, kuralın kapsamını ve belgenin ilk sayfalarında kullanılan sözcüklerin tanımlarını ve kısaltılmış sözcük gruplarını açıklar; bunlar daha önce giriş bölümünde ele alındığı için bu çalışmada daha fazla ele alınmamıştır.
SAE J3061 ve ISO/SAE 21434:
ISO/SAE 21434 ve SAE J3061, otomotiv siber güvenliğine odaklanan iki farklı standarttır.
ISO/SAE 21434 ile SAE J3061 arasındaki farklar aşağıdaki tabloda özetlenmiştir:
ISO/SAE 21434 | SAE J3061 |
Avrupa standardıdır. | Society of Automotive Engineers (SAE) tarafından geliştirilmiş bir Amerikan standardıdır. |
Otomotiv siber güvenliğine bütünsel yaklaşır. | Daha çok belirli siber tehditlere odaklanır. |
Kuruluşlara otomotiv siber güvenliğinin araç yaşam döngülerinin tüm aşamalarında nasıl uygulanacağı konusunda rehberlik sağlar. | Risk yönetimi için yalnızca genel öneriler sunar. |
Daha kapsamlıdır. Tüm araç yaşam döngüsünü kapsar. |
ISO/SAE 21434 ve ECE R155 Arasındaki İlişki:
Hem ISO/SAE 21434 hem de ECE R 155 otomotiv siber güvenliğini düzenler, ancak ISO/SAE 21434 teknolojik bir standart, ECE R155 ise yasal bir regülasyondur.
ISO/SAE 21434 ve ECE R155 arasındaki temel fark aşağıdaki tabloda özetlenmiştir:
ISO/SAE 21434 | SAE J3061 |
Güvenli araçlar geliştirmeye odaklanır. | Kullanımda olan bu araçların güvenliğini sağlamaya odaklanır. |
Kuruluşlara araç yaşam döngülerinin tüm aşamalarında otomotiv siber güvenliğinin nasıl uygulanacağı konusunda rehberlik sağlar. | Bu araçları kullanırken temel güvenlik gereksinimleri için kurallar ve düzenlemeler sunar. |
Tüm araç yaşam döngüsünü kapsar. | ISO/SAE 21434’ten daha kapsamlıdır. |
ECE R155’in kapsamında olmayan risk değerlendirmesi, sistem tasarım süreçleri, test süreçleri gibi konuları da kapsamaktadır. |
Gereksinimler İzlenebilirlik ve ISO/SAE 21434:
ISO/SAE 21434, kuruluşların geliştirme yaşam döngüsü boyunca ürün gereksinimlerinin izlenebilirliğini sağlamasını zorunlu kılar. Gereksinim izlenebilirliği, geliştirme aşamasında tüm gereksinimlerin dikkate alındığını ve uygulandığını doğrulayan bir süreçtir.
ISO/SAE 21434, geliştirme süreci boyunca siber güvenlik gereksinimlerinin siber güvenlik spesifikasyonlarından türetilmesi için bir standart olarak oluşturulmuş üç temel ilkeyi (RQ‑09‑08, RQ 09-09 ve RQ 09-10) ana hatlarıyla belirtir. İzlenebilirliğin bu önemli unsuru, projenizin yaşam döngüsünün her aşamasında başarılı bir uygulama sağlayacaktır. Örneğin:
- [RQ-10-02] ve [RQ-10-03] her ikisi de gereksinimler ve tasarım arasındaki korelasyona bakar.
- Bileşenin uygulaması ile belirtimi arasındaki izlenebilirlik şu bölümde ele alınmaktadır: [RQ‑10‑08] ve [RQ‑10‑09], bu iki araştırma sorusunun çok önemli olduğunu gösteriyor.
ISO-21434 İçerisinde Entegrasyon ve Doğrulama
ISO/SAE 21434, sonucun siber güvenlik spesifikasyonlarını karşıladığını doğrulamak için bileşenlerin alt sistemlere ve sistemlere entegrasyonu ile ilgili gereksinimleri [RQ-10-09] ve [RQ-10-10] içerir. [RQ-10-10] aşağıdaki doğrulama yöntemlerini vurgular:
- Gereksinimlere Dayalı Test – Gereksinimlere dayalı testler, yalnızca gereksinimlerin yerine getirildiğini göstermek için değil, aynı zamanda gereksiz kodun bulunmadığını doğrulamak için de kritik öneme sahiptir.
- Arayüz Testi – Arayüz testi, yazılım sistemleri, alt sistemler ve bileşenler arasındaki bağlantının düzgün bir şekilde çalışmasını sağlar.
- Kaynak Kullanımının Değerlendirilmesi – Bağlantılı bir sistem söz konusu olduğunda, özellikle kötü niyetli varlıklar saldırırken, doğru miktarda kaynak tahsis etmek (bellek, zamanlama, dosya sistemi…) ve rekabet sorunlarını çözmek ciddi şekilde dikkate alınmalıdır.
- Kontrol ve Veri Akışı Doğrulaması – Hatalı veriler veya uygun olmayan kontrol akışı, kodunuzu tehditlere açık hale getirebilir. Kontrol ve veri akışı analizi, her ikisinin de sistemin tasarım özelliklerine uygun olmasını sağlamanın mükemmel bir yoludur.
- Dinamik Analiz – Dinamik analiz, aktif olarak çalışan bir sistemin davranışını incelemeyi içeren yazılım testleri için kapsayıcı bir terimdir. Bu yöntem, programların tamamını veya bir kısmını doğrulamak ve onaylamak için uygulanabilir ve her zaman doğruluk sağlar.
Sonuç:
Sonuç olarak, ISO/SAE 21434 otomotiv endüstrisindeki siber güvenlik risklerine karşı koruma sağlar.