ISO/TR 21186-3 - Kooperativní inteligentní dopravní systémy (C-ITS) – Návod pro používání norem – Část 3: Zabezpečení

Úvod

Norma ISO/TR 21186 je vícedílný dokument, který si klade za cíl poskytnout směrnici pro standardizovaný rozvoj kooperativních systémů a vývoj C-ITS aplikací. První část normy popisuje standardizační aktivity spojené s C‑ITS. Druhá část normy ISO/TR 21186 představuje hybridní komunikaci v rámci C-ITS, vysvětluje její koncept a funkce pro tento druh ITS systémů.

Třetí část normy ISO/TR 21186-3 je metodikou či nezávazným pokynem, jak přemýšlet o C-ITS z pohledu zabezpečení komunikace a přístupu k datům a informacím, jež tyto systémy využívají. Tato část dále obsahuje analýzy a doporučení pro zabezpečení aplikací, přístupu a zařízení za použití infrastruktury privátních a veřejných klíčů PKI, přičemž se často odkazuje na návrhy zabezpečení obsažené v ISO/TS 21177

Poznámka: Extrakt uvádí vybrané kapitoly popisovaného dokumentu a přejímá původní číslování kapitol.

Užití

Norma obsahuje popis možností zabezpečení komunikace, přístupu k datům a zařízení, dále mechanismy zabezpečení pro různé možné scénáře využití C-ITS a seznamuje s konceptem PKI a procesem vydávání, správy a použití certifikátů pro zabezpečenou komunikaci. Norma může najít využití u odborné veřejnosti, která se seznamuje s kooperativními systémy, má za úkol jejich uvádění do praxe např. z pozice úřadu k tomu jmenovanému, nebo při návrhu konceptu C-ITS systému pro získání širšího pohledu na problematiku jeho implementace.

1. Předmět normy

Tento dokument obsahuje návody pro zajištění zabezpečené komunikace a zabezpečeného přístupu k datům inteligentních dopravních systémů (ITS). Obsahuje také analýzy a osvědčené postupy pro zabezpečené připojení ITS s využitím normy ISO/TS 21177. Poskytuje doporučení pro zabezpečení aplikací, řízení přístupu, zabezpečení zařízení a požadavky na infrastrukturu veřejných klíčů (PKI) pro zajištění zabezpečeného ekosystému ITS.

2. Souvisící normy

Originál dokumentu uvádí dvě souvisící normy:

ISO/IEC 27000, Information technology — Security techniques — Information security management — Overview and vocabulary

ISO/IEC 27032, Information technology — Security techniques — Guidelines for cybersecurity

Dále jsou v textu dokumentu zmíněny odkazy na další normy, z nich nejdůležitější týkající se zabezpečení C-ITS jsou:

ČSN ETSI EN 302 637-2 V1.4.1 (87 5173) Inteligentní dopravní systémy (ITS) – Vozidlové komunikace – Základní soubor aplikací – Část 2: Specifikace základní služby kooperativní připravenosti

ČSN ETSI EN 302 637-3 V1.3.1 (87 5173) Inteligentní dopravní systémy (ITS) – Vozidlové komunikace – Základní soubor aplikací – Část 3: Specifikace základní služby decentralizované environmentální notifikace

3. Termíny a definice

Dokument obsahuje 1 termín či definici.

vektor útoku – (attack vector)  
zneužití konkrétního známého slabého místo v kódu software pro kybernetický útok na cílový systém např. za účelem získání citlivých dat

4. Symboly a zkratky

Kapitola obsahuje 58 zkratek, mezi nejdůležitější patří:

AA               schvalovací orgán (authorization authority)

ACL             seznam pro řízení přístupu (access control list)

CA              certifikační orgán (certificate authority)

CP               certifikační politika, zásady vydávání certifikátů (certificate policy)

CRL            seznam odvolaných certifikátů (certificate revocation list)

CTL             seznam důvěryhodných certifikátů (certificate trust list)

EA               registrační orgán (enrolment authority)

HSM           hardwarový bezpečnostní modul (hardware security module)

IDX              výměna dat ITS (ITS data exchange)

PKI             infrastruktura veřejných klíčů (public key infrastructure)

SSP             oprávnění pro konkrétní službu (service specific permission)

TLM            správce seznamu důvěryhodných subjektů (trust list manager)

Další termíny a zkratky z oboru ITS jsou obsaženy ve slovníku ITS (www. ITSterminology.org).

Kapitola (rozsah 8 stran) poskytuje přehled zabezpečení v rámci C-ITS a zdůvodnění dalších kapitol obsažených v dokumentu. Následuje obecný popis zabezpečení systému ve smyslu ujištění zainteresovaných stran, že jim budou poskytovány správné informace nezbytné pro dosažení jejich cílů v systému a ubezpečení, že strany, které nejsou autorizovány k obdržení těchto informací, k nim nebudou mít přístup. Norma nicméně nepředepisuje použití konkrétních mechanismů, jak zabezpečení zajistit.

V druhé části jsou stručně a velmi obecně uvedeny různé přístupy ke standardizaci zabezpečení ITS systémů různými standardizačními organizacemi a jimi vydanými normami či směrnicemi, závěr je opět takový, že všechny tyto přístupy konvergují ke stejnému cíli a struktuře.

Třetí část v obecné rovině popisuje mechanismus zabezpečení typů komunikace broadcast a uni/groupcast. Mechanismus je popsán pouze do úrovně, že je potřeba zajistit to, aby informace určená pro konkrétní cíle nebyla dostupná i cíli, pro který určena nebyla.

Čtvrtá část kapitoly se věnuje tématu ověřování zdroje informací využívaných C-ITS aplikacemi jako klíčového mechanismu pro řízení přístupu, tak aby byla poskytnuta jistota příjemci informace (např. příchozí zprávy) že její odesílatel měl specifická oprávnění k jejímu vytvoření. Dále jsou uvedeny dva typy autentizace (ověření): Ověření identity a ověření role v systému. Následuje znázornění různých scénářů komunikace a ověřování informací.

Pátá část popisuje certifikační autoritu a další orgány, které hrají roli v procesu vydávání certifikátů i proces samotný, nicméně opět na velmi obecné úrovni.

V poslední části je pojednáno o tom, co čtenáře čeká v dalších kapitolách.

6 Analýza zabezpečení a kontrola IDX zařízení

Kapitola o rozsahu 33 stran ve svém úvodu vysvětluje pozadí pro uvedení této kapitoly a to tak, že IDX aplikace je jakákoliv aplikace, která používá unicast komunikaci (spojení pouze s jediným cílem) pro výměnu dat přímo s právě jediným příjemcem. Jako příklady takové komunikace je spojení jednotky RSU s řadičem světelného signalizačního zařízení za účelem vygenerování SPaT zprávy, nebo komunikace vozidla s diagnostickou aplikací.

V další části je zaveden koncept funkce pro tři různé typy IDX zařízení:

• zařízení IDX, na kterých jsou spuštěny veřejné aplikace pracující s daty, kdy přistupující zařízení požaduje data, která následně nemají odkazovat na zařízení poskytující data (pozn. aut. složitě vysvětlena anonymizace dat)
• zařízení IDX provozující aplikace pro výměnu soukromých dat, kde přistupující zařízení žádá o data, která mohou následně odkazovat na zařízení, které data poskytnulo
• zařízení IDX s aktivními přístupovými aplikacemi, kdy přistupující zařízení žádá o zápis do hostitelského zařízení nebo o provedení operací na domovském zařízení.

Pro každý typ zařízení je v dokumentu uvedena bezpečnostní analýza v podobě a) hrozeb, b) cílů zabezpečení a za c) funkčních požadavků zabezpečení.

Navržená bezpečnostní analýza je založena na obecném konceptu TOE (cílů vyhodnocení) dle ISO 15408, který je zde blíže popsán, nicméně spíše na „manažerské úrovni“, než že by byl uveden konkrétní postup analýzy. Cílem vyhodnocení dle tohoto konceptu může být jakékoliv zařízení IDX (např. jednotka přistupující k diagnostickým datům vozidla). Prostředí analýzy zabezpečení je znázorněno na obrázku 8 normy.

Obrázek 1 (obrázek 8 normy): Systémový pohled na "cíl vyhodnocení"

Následuje obecný popis, že uživatel by měl k zařízení přistupovat zabezpečeným způsobem (např. TLS při vzdáleném připojení), zařízení by mělo k jinému systému přistupovat zabezpečeným způsobem na úrovni své protokolové sady a zabezpečení by mělo být řízeno infrastrukturou veřejným a privátních klíčů PKI.

Dále kapitola uvádí funkce a aktivity, u nichž se předpokládá, že budou zařízení z pohledu zabezpečení plnit. Tyto funkce jsou popsány formou tabulek, jejichž příklad je uveden na následujícím obrázku:

Obrázek 2 (tabulka 1 normy): Příklad provozních funkcí zařízení

Obdobným způsobem jsou uvedeny vlastnosti zařízení z pohledu scénářů jejich použití (přístup k necitlivým datům, přístup k citlivým datům, přístup k funkcím sytému např. zápisu dat, spouštění příkazů), které by zařízení mělo mít, nebo které mají být analýzou zabezpečená vyhodnoceny.

Obrázek 3 (v originálu nečíslovaná tabulka): Příklad vyhodnocovaných vlastností zařízení

Kapitola dále analogickým způsobem v tabulkách popisuje kategorie hrozeb a vektorů útoku, motivace útočníka, cíle zabezpečení organizační zásady, funkční požadavky zabezpečení, profily ochrany a „hluchá“ místa existujících profilů ochrany (pozn. aut.: ovšem bez vysvětlení, o jaké profily se jedná, jsou uvedeny C2CCC HSM PP, V-ITS-S Base a V-ITS-Comms PPs).

7 Pokyny k zavádění kontroly přístupu dle ISO/TS 21177

Kapitola (rozsah 32 stran) má být dle vlastních slov určena pro vývojáře zařízení a aplikací využívajících řízení přístupu založeného na standardu ISO/TS 21177. Toho má být dosaženo znázorněním případů užití řízení přístupu v automobilovém průmyslu a kroků, při kterých se zařízení pro údržbu a diagnostiku a vozidlo může zabezpečeně navázat komunikaci a zajistit tak řízený přístup dle ISO/TS 21177.

V této kapitole se norma přestává věnovat obecným mechanismům zabezpečení komunikace C-ITS jednotek, ale cílí pouze na zabezpečení přístupu C-ITS jednotky k senzorové a řídicí síti vozidla (SCN). Běžně jsou zde používány zkratky a termíny mimo oblast C-ITS (např. Unified Gateway Protocol), vycházející patrně ze souboru norem ISO 13185.

Kapitola obsahuje články o obecné architektuře (protokolu UGP), integraci UGP dle normy ISO 21177, příklad datových struktur zásad řízení přístupu v ASN.1 z normy ISO 21184, řízení přístupu k UGP dle ISO 21177 (formou části ASN.1 specifikace, pravděpodobně převzaté z jiné normy), případy užití řízení přístupu a sekvenční diagramy řízení přístupu (kde je popsán mechanismus TLS).

Příklady výstupů v této kapitole jsou znázorněny na následujících obrázcích:

Obrázek 4 (obrázek 15 normy): Integrovaná architektura mezi ISO/TS 21177 a UGP

Obrázek 5: Příklad ASN.1, jež je dle normy zamýšlen jako znázornění struktur k implementaci rámce řízení přístupu v ITS-SU

Obrázek 6 (obrázek 16 normy): Sekvenční diagram zahájení TLS session

Celkově je kapitola z pohledu autora extraktu nic nestandardizuje, pouze uvádí příklady převzaté z jiných norem (ISO 21177, ISO 13185 a ISO 21184).

8 Nedostatky a potřeby v oblasti bezpečnostních požadavků C-ITS CP

Kapitola v rozsahu 15 stran uvádí přehled evropské certifikační politiky v C-ITS, dále hrozby související s infrastrukturou veřejných a privátních klíčů PKI a metody k jejich zmírnění a na závěr analýzu nedostatků (mezer) ve schopnosti PKI podporovat či zabezpečit potřeby nových ITS aplikací a s nimi souvisejícími citlivými daty.

Přehled evropské C-ITS CP je uveden zhruba na jednu stranu a je velmi stručný. Následující analýzy hrozeb a nedostatků jsou uvedeny v tabulkách a vyplňují zbytek kapitoly.

Příloha A (informativní)

Příloha A obsahuje scénáře hrozeb (tabulky obdobné nebo shodné s tabulkami uvedenými v kapitole 6).

Příloha B (informativní)

Příloha B obsahuje tabulky scénářů mapování cílů zabezpečení na funkční požadavky zabezpečení.

Příloha C (informativní)

Příloha C obsahuje informativní návrh na vylepšení ISO/TS 21177:2019: CRL požadavku.

Příloha D (informativní)

Příloha D obsahuje informativní návrh na vylepšení ISO/TS 21177:2019: Vlastnictví a zásady přístupu

Příloha E (informativní)

Příloha E obsahuje informativní návrh na vylepšení ISO/TS 21177:2019: Errata, dodatečný zdůvodňovací materiál a zachování relace při vypršení platnosti certifikátu