TARA+AD: Threat Analysis and Risk Assessment for Automated Driving : cybersecurity of road vehicles
Tekijät
Päivämäärä
2023Tekijänoikeudet
© The Author(s)
Cybersecurity of road vehicles has become a genuine matter as vehicles are not manufactured anymore as plain mechanical devices but containing numerous amounts of computers and millions of lines of code. The intelligent and safety-critical vehicular systems are prone to cyberattacks just like any other information system. It is evident that the vehicles need to be protected. A joint global working group prepared a new, international standard to cover the cybersecurity engineering in the automotive industry. The standard is called ISO/SAE JWG 21434 Road vehicles - Cybersecurity engineering. The new cybersecurity engineering standard defines the minimum criteria for cybersecurity of road vehicles which is also a demand by the United Nations Economic Commission for Europe (UNECE). The cybersecurity engineering standard gives requirements and recommendations what a security risk analysis of road vehicles should contain. The standard does not provide instructions how to perform the analysis. This research study targeted to find a threat analysis and risk assessment method which covers the requirements and recommendations of the cybersecurity engineering standard. Such singular method did not exist, thus a new analysis framework named TARA+AD (Threat Analysis and Risk Assessment for Automated Driving) was derived from the best features of two existing security risk analysis methods. The research method used was design science which aims to produce an artifact to resolve real-life problems. The artifact, TARA+AD, and the study was evaluated by using a Design Science Research Method (DSRM) process model. The new framework was tested by executing a use case related to vehicular communication which is the easiest interface to be attacked. The results were satisfactory as the new TARA+AD analysis framework solved the issue with performing a cybersecurity engineering standard compliant security risk analysis.
...
Maantieajoneuvojen kyberturvallisuudesta on tullut todellinen asia, sillä ajoneuvoja ei valmisteta enää pelkkinä mekaanisina laitteina, vaan ne sisältävät lukuisia määriä tietokoneita ja miljoonia koodirivejä. Älykkäät ja turvallisuuskriittiset ajoneuvojärjestelmät ovat alttiita kyberhyökkäyksille kuten kaikki muutkin tietojärjestelmät. On selvää, että ajoneuvoja on suojeltava. Yhteinen globaali työryhmä valmisteli uuden kansainvälisen standardin kattamaan autoteollisuuden kyberturvallisuustekniikan. Standardin nimi on ISO/SAE JWG 21434 Road vehicles - Cybersecurity engineering (suomeksi: ISO/SAE JWG 21434 Maantieajoneuvot - Kyberturvallisuustekniikka). Uusi kyberturvallisuustekniikkastandardi määrittelee maantieajoneuvojen kyberturvallisuuden vähimmäiskriteerit, jota myös Yhdistyneiden kansakuntien Euroopan talouskomissio UNECE vaatii. Kyberturvallisuustekniikan standardi antaa vaatimuksia ja suosituksia, mitä tieliikenteen ajoneuvojen turvallisuusriskianalyysin tulee sisältää. Standardi ei anna ohjeita analyysin suorittamiseen. Tämän tutkimuksen tavoitteena oli löytää uhkien analysointi- ja riskien arviointimenetelmä, joka kattaa kyberturvallisuustekniikan standardin vaatimukset ja suositukset. Tällaista yksittäistä menetelmää ei ollut saatavilla, joten uusi analyysikehys nimeltä TARA+AD (Threat Analysis and Risk Assessment for Automated Driving) (suomeksi: uhkien analysointi ja riskien arviointi autonomisessa ajossa) johdettiin kahden olemassa olevan turvallisuusriskianalyysimenetelmän parhaista ominaisuuksista. Tutkimusmenetelmänä oli suunnittelutiede, jonka tavoitteena on tuottaa artefakti, eli jokin tuotos ratkaisemaan tosielämän ongelmia. Artefakti, TARA+AD, ja tutkimus arvioitiin Design Science Research Method (DSRM) -prosessimallilla (suomeksi: suunnittelutieteellinen tutkimusmenetelmä). Uutta viitekehystä testattiin suorittamalla ajoneuvoviestintään liittyvä käyttötapaus, sillä ajoneuvoviestintä on helpoin käyttöliittymä hyökkäyksille. Tulokset olivat vakuuttavia, sillä uusi TARA+AD -analyysikehys ratkaisi ongelman tarjoamalla kyberturvallisuustekniikan standardin mukaisen turvallisuusriskianalyysin.
...
Asiasanat
cybersecurity of road vehicles automated driving threat analysis and risk assessment ISO/SAE JWG 21434 design science research intelligent vehicle vehicular communication maantieajoneuvojen kyberturvallisuus autonominen ajo uhkien analysointi ja riskien arviointi suunnittelutieteellinen tutkimus älykäs ajoneuvo ajoneuvoviestintä tietoturva kyberturvallisuus automaatio turvallisuus ajoneuvot turvallisuusanalyysi riskianalyysi riskienhallinta autotekniikka riskit data security cyber security automation safety and security vehicles security analysis risk analysis risk management automotive engineering risks
Metadata
Näytä kaikki kuvailutiedotKokoelmat
- Pro gradu -tutkielmat [29743]
Lisenssi
Samankaltainen aineisto
Näytetään aineistoja, joilla on samankaltainen nimeke tai asiasanat.
-
Ulkoisten kyberturvallisuuden riskien arviointi finanssialan organisaatiossa
Takala, Niko (2019)Riskienhallintaa ja riskien arviointia voidaan tarkastella useasta eri näkökulmasta ja sitä ohjaavat useat erilaiset tekijät. Ohjaaviksi tekijöiksi voidaan tunnistaa organisaation strategia, organisaatiokulttuuri, ... -
Analysing Multidimensional Strategies for Cyber Threat Detection in Security Monitoring
Shelke, Palvi; Hämäläinen, Timo (Academic Conferences International Ltd, 2024)The escalating risk of cyber threats requires continuous advances in security monitoring techniques. This survey paper provides a comprehensive overview of recent research into novel methods for cyber threat detection, ... -
Smart Terminal System of Systems’ Cyber Threat Impact Evaluation
Simola, Jussi; Pöyhönen, Jouni; Lehto, Martti (Academic Conferences International, 2023)Systems of system-level thinking is required when the purpose is to develop a coherent understanding of the ecosystem where every user and system requirements are divided into specific parts. The smarter project, as a part ... -
Information Security Risk Assessments following Cybersecurity Breaches : The Mediating Role of Top Management Attention to Cybersecurity
Shaikh, Faheem Ahmed; Siponen, Mikko (Elsevier, 2023)Information Systems (IS) research on managerial response to cybersecurity breaches has largely focused on externally oriented actions such as customer redressal and crisis response. Within the firm itself, a breach may be ... -
Reunalaskennan tietoturva nykyaikaisessa ajoneuvossa
Pasanen, Mauno (2022)Teknologian kehittymisen myötä arkipäiväiset laitteet, kuten kodinkoneet ja ajoneuvot, muuttuvat älykkäiksi esineiden internetin toimijoiksi. Siirrettävänä voi olla tietoja miljardeista laitteista, tai on käsiteltävä tietoa ...
Ellei toisin mainittu, julkisesti saatavilla olevia JYX-metatietoja (poislukien tiivistelmät) saa vapaasti uudelleenkäyttää CC0-lisenssillä.