:

Szerző: Hlács Ferenc

2017. augusztus 11. 10:30

Ezt várják a britek az önvezető autók gyártóitól

Az Egyesült Királyság felelős hatóságai iránymutatást tettek közzé az önvezető és okosjárművekre vonatkozó biztonsági elvárásokról.

Az okos- és önvezető autókra vonatkozó irányelveket adott ki az Egyesült Királyság kormánya, amelyekkel az autógyártóknak és partnereiknek biztosít útmutatást a járművekhez kapcsolódó biztonsági elvárások kapcsán. A nemrég közzétett dokumentumot az ország közlekedésügyi hatósága, illetve a nemzeti infrastruktúravédelemért felelős központ (CPNI, Centre for the Protection of National Infrastructure) közösen adta ki, azt a két fél nyolc fő pontra osztja.

Az első kiemelt szempont, hogy a szervezeti biztonságot az adott cégnek igazgatótanácsi szinten kell kezelni, ehhez pedig egy a vállalat hosszútávú céljaihoz igazodó biztonsági program lefektetése is szükséges. Emellett a különböző új termékterveknél már a tervezés első lépéseitől szem előtt kell tartani a biztonsági szempontokat, a szoftveres, személyes és fizikai védelmet is beleértve. A második pont szerint a biztonsági kockázatokat azok súlyosságának megfelelően kell kezelni, beleértve azokat is, amelyek a gyártó ellátási láncát érintik. Ebbe beletartozik, hogy a szervezeteknek tisztában kell lenniük minden potenciálisan veszélyes aktuális fenyegetéssel, és az azok elhárítását lehetővé tevő mérnöki gyakorlatokkal. Ez nem csak a cégeket közvetlenül érintő kockázatokra vonatkozik, de a beszállítói lánc valamennyi tagjára, beleértve az alvállalkozókat, szolgáltatókat és különböző, a céggel dolgozó harmadik feleket is.

A szervezetek azután sem engedhetik el a jármű kezét, miután az kigördült a szalonból - ahogy arra a harmadik pont is rámutat. A gyártóknak biztosítaniuk kell, hogy az adott termék teljes élettartama alatt biztonságos maradjon, ehhez pedig megfelelő tervezetet is ki kell dolgozniuk, beleértve a későbbi terméktámogatást is. Ezzel párhuzamosan az esetleges balesetekre és biztonsági incidensekre való reakcióra is kész tervekre van szükség, továbbá a még ismeretlen fenyegetések aktív kutatására. Lényegében a négyes pont is hasonló kritériumokat fogalmaz meg, ismételten hangsúlyozva, hogy a gyártóknak és a velük együtt dolgozó cégeknek közösen kell dolgozniuk a rendszerek biztonságának megőrzésén, egymás felé is megfelelő tanúsítványokat és biztosítékokat kínálva saját termékeik megbízhatóságáról.

A Gitlab mint DevSecOps platform (x)

Gyere el Radovan Baćović (Gitlab, Data Engineer) előadására a november 7-i DevOps Natives meetupon.

A Gitlab mint DevSecOps platform (x) Gyere el Radovan Baćović (Gitlab, Data Engineer) előadására a november 7-i DevOps Natives meetupon.

Az iránymutatás ezután arra is kitér, hogy a védelemnek rugalmasnak és többrétegűnek kell lennie, amely gyorsan változtatható ha azt valamilyen fenyegetésnek sikerül megkerülni. Ez nem csak az egyes termékekre, járművekre vonatkozik, de a backend rendszerekre is, amelyek a különböző kapcsolódó szolgáltatásokért felelnek. A hatodik pontban a hatóság a szoftveres biztonságot hangsúlyozza, amelynek ugyancsak az adott termék teljes élettartamát fednie kell, folyamatos felügyelet és rendszeres auditok mellett. Természetesen a rendszeres frissítések sem maradhatnak el, illetve annak lehetőségét is fent kell tartani, hogy az egyes rendszerek hiba esetén bármikor visszaállíthatók legyenek a korábbi verzióra.

Az adatbiztonság is ott van a brit hatóság listáján, amely szerint mind az adatok tárolása, mind pedig azok továbbítása megfelelően védett és stabil kell legyen, továbbá minden bejövő kommunikációt kockázatosként kell kezelni egészen addig, míg a helyi rendszer nem hitelesíti azt. Végül de nem utolsó sorban a védelmi rétegeken átjutó támadásokra is megfelelő választ kell adni a gyártók rendszereinek, még akkor is, ha biztonságkritikus komponensek sérülnek.

Az önvezető autók érkezése jól láthatóan az eddiginél sokkal komolyabb terhet ró majd a gyártókra, akiknek a már eladott modelleket is folyamatosan, közelről felügyelniük kell, akár évtizedes távlatban, szemben az eddigi iparági gyakorlattal. Amennyiben a brit útmutatás sikeresnek bizonyul, az jó példát mutathat a területtel még ismerkedő országok felelős hatóságai számára, nem lenne meglepő, ha a következő években Európa szerte jelennének meg hasonló tervezetek.

November 25-26-án 6 alkalmas K8s security és 10 alkalmas, a Go és a cloud native szoftverfejlesztés alapjaiba bevezető képzéseket indítunk. Az élő képzések órái utólag is visszanézhetők, és munkaidő végén kezdődnek. November 8-ig early bird kedvezménnyel!

a címlapról