Kontaktperson
Tomas Bodeklint
Affärsutvecklare
Kontakta TomasCyberhot är en del av vardagen med moderna, uppkopplade fordon. Nu är regelverket på väg ikapp verkligheten. Snart måste varje bil som rullar av bandet uppfylla nya krav på cybersäkerhet för att kunna säljas globalt.
– Hela branschen jobbar febrilt och går en kamp mot klockan, säger Tomas Bodeklint, forsknings- och affärsutvecklare på RISE.
Det handlar om reglerna för typgodkännande enligt UNECE R155, som gäller fullt ut från och med 1 juli 2024.
Tomas Bodeklint ser den nya regleringen som en del i en större trend i arbetet mot cyberhot globalt. Inte minst EU har de senaste åren börjat reglera dataskydd, AI-användning, cybersäkerhet etc.
– Tidigare har man lämnat till tillverkare i branschen att göra säkra system. Men nu ses det som så pass viktigt för att samhället ska fungera och att nivån måste lyftas.
Rent konkret behöver ett CSMS (Cyber Security Management System) komma på plats. Ett CSMS ger dig som tillverkare koll på alla processer kring cybersäkerhet på både företaget och i själva fordonet.
– Från förprojektering, processerna att ta fram ett fordon, utvecklingen av mjukvaran, hela fordonets livstid tills dess att enheten skrotas eller tas ur bruk, säger Tomas Bodeklint.
I regleringen finns även krav på så kallade forensic capabilities, tänk en motsvarighet till flygets svarta låda. Fordonets system ska kunna detektera och logga cyberangrepp, hantera dem, tidsstämpla dem… Och allt ska i efterhand vara möjligt att analysera.
– Det är en katt-och-råtta-lek mellan de som bygger systemen och de som försöker hacka dem. Uppfinningsrikedomen bland hackare är ibland enastående. Det man ser på stora attacker är att man ofta kommer in bakvägen och går genom bolag som levererar en mjukvarudel som används av andra bolag, och väldigt många blir drabbade.
Eftersom regleringen är ny och rätt övergripande formulerad ligger en hel del okänd terräng framför tillverkare och underleverantörer. Det finns i branschen en vana att kravställa, men hur ska dokumentationen se ut för till exempel en underleverantör som levererar en teknikenhet och i sin tur köper in olika programpaket från flera håll?
Det är inte givet.
För att uppfylla kraven krävs bevis, inte bara deklarationer. För det krävs testning och validering av enskilda komponenter, av system av komponenter, av hela fordon.
– Alla tillverkare jobbar febrilt med detta. Har du inte löst det får du inte sälja bilen.
Det blir en läroprocess för både tillverkare och myndigheter att få detta på plats
Tomas Bodeklint säger att vägen fram vanligen går via en standard som redan finns framtagen. Så också denna gång, ISO 21434 är riktad just mot att skydda mot cyberangrepp under ett fordons livscykel. En hoppfull tanke är att kunna kravställa efter den standarden och samtidigt nå upp till regleringens villkor.
– Den beskriver lite mer i detalj vad du måste göra för att få ordning på systemen. Men den är delvis nyframtagen och inte nedbruten exakt på vad jag som fordonstillverkare måste testa, säger Tomas Bodeklint, som noterat att många bolag nu anlitar certifieringsorgan för att göra en förcertifiering inför vad som komma skall.
– Det är lite av en generalrepetition, lite torrsim. Det blir en läroprocess för både tillverkare och myndigheter att få detta på plats, säger han och liknar situationen med en rättegång där det ännu inte avgjorts hur stark bevisningen behöver vara.
Ett stort problem inom cybersäkerhetsområdet är alltjämt bristen på kompetens. Här och nu kan RISE hjälpa till med testning och validering, säger Tomas Bodeklint. På längre sikt hoppas han mycket på Cybercampus Sweden som RISE är med och startar upp tillsammans med KTH och Försvarsmakten.
– Det ska bland annat bli en masterutbildning med inriktning mot cybersäkerhet så att vi får ut fler civilingenjörer med spetskompetens.
UNECE R155: https://unece.org/sites/default/files/2021-03/R155e.pdf
Cybercampus Sweden: https://cybercampus.se