ISO 21434 คือมาตรฐานสำหรับ Cybersecurity Engineering ในรถยนต์ พร้อมแนวทางการประยุกต์ใช้เพื่อรับมือภัยคุกคามไซเบอร์!

 

ในยุคที่ยานยนต์พัฒนาเข้าสู่ความเป็น “Smart Vehicles” ไม่ว่าจะเป็น Connected Car, Autonomous Driving หรือ Software-defined Vehicle ระบบอิเล็กทรอนิกส์และการเชื่อมต่อเครือข่ายกลายเป็นองค์ประกอบหลักของรถยนต์สมัยใหม่ อย่างไรก็ตาม ความก้าวหน้าเหล่านี้ก็มาพร้อมกับความเสี่ยงจากการโจมตีทางไซเบอร์ที่อาจส่งผลกระทบร้ายแรงต่อความปลอดภัยของผู้ขับขี่ ผู้โดยสาร และระบบการจราจรโดยรวม

เพื่อรองรับการพัฒนาอย่างปลอดภัย มาตรฐานนี้จึงถูกกำหนดขึ้นโดยความร่วมมือระหว่าง ISO และ SAE เพื่อเป็นแนวทางสำหรับการบริหารจัดการ Cybersecurity ตลอดวงจรชีวิตของระบบยานยนต์ ไม่ว่าจะเป็นระดับองค์กร โครงการ หรือผลิตภัณฑ์ โดยสอดคล้องกับข้อกำหนดจากหน่วยงานกำกับดูแล เช่น UNECE WP.29 R155

 

โครงสร้าง ISO 21434 สำหรับ Automotive Cybersecurity

มาตรฐานนี้ประกอบด้วย 15 หมวด (Clause) โดยแต่ละหมวดมีวัตถุประสงค์และข้อกำหนดที่เชื่อมโยงกัน ดังนี้:

โครงสร้างของมาตรฐาน ISO 21434

 

แหล่งอ้างอิงข้อมูลความเป็นมาและความสำคัญ

ขอบเขตที่ครอบคลุมใน ISO 21434

มาตรฐานนี้สามารถนำไปใช้กับ:

  • ระบบอิเล็กทรอนิกส์และ ECU ในรถยนต์
  • ซอฟต์แวร์ในรถยนต์ รวมถึง OTA Update
  • Sensor และระบบช่วยขับขี่ (ADAS)
  • Communication Interfaces (V2X, CAN, Ethernet)
  • ระบบ cloud หรือ back-end ที่สื่อสารกับรถ

มาตรฐานนี้ไม่จำกัดเฉพาะ OEM เท่านั้น แต่รวมถึง Supplier ทุกระดับ (Tier 1, Tier 2), ผู้พัฒนาซอฟต์แวร์, ผู้ให้บริการ telematics และระบบวิเคราะห์ข้อมูลยานยนต์

ISO 21434:2021

ตัวอย่างภัยคุกคาม (Threat Scenarios) สำหรับการพิจารณาตาม TARA

ภัยคุกคามสำหรับการพิจารณาตาม TARA

แนวทางการนำมาตรฐานไปปรับใช้กับองค์กร

การนำมาตรฐานนี้ไปประยุกต์ใช้ในองค์กร ไม่ใช่เพียงการตอบสนองต่อข้อกำหนดของกฎหมายหรือหน่วยงานกำกับดูแลเท่านั้น แต่เป็นการวางรากฐานด้านความมั่นคงปลอดภัยไซเบอร์ที่ยั่งยืนสำหรับระบบยานยนต์ในอนาคต

องค์กรควรเริ่มจากการกำหนด นโยบายและแนวทางบริหารจัดการด้านความมั่นคงปลอดภัยไซเบอร์ ให้ครอบคลุมทั้งระดับองค์กรและโครงการ โดยเฉพาะในส่วนที่เกี่ยวข้องกับการพัฒนา การผลิต การใช้งาน และการเลิกใช้งานระบบอิเล็กทรอนิกส์หรือซอฟต์แวร์ในรถยนต์ เช่น ECU, Sensor, Gateway, Communication Interface และระบบ OTA

สิ่งสำคัญคือ การวิเคราะห์ความเสี่ยงจากภัยคุกคามไซเบอร์ (TARA) โดยใช้วิธีการที่เป็นระบบ เช่น การระบุสินทรัพย์ที่ต้องปกป้อง (Asset Identification), การระบุภัยคุกคามที่อาจเกิดขึ้น (Threat Scenario Identification) และการกำหนดเป้าหมายด้านความมั่นคงปลอดภัย (Cybersecurity Goals) ที่สอดคล้องกับผลกระทบต่อความมั่นคงปลอดภัยและการใช้งานจริง

องค์กรควรมองว่า ISO/SAE 21434 ไม่ใช่เพียงแค่ “มาตรฐาน” แต่คือ “ระบบนิเวศ” ที่ช่วยเพิ่ม ความเชื่อมั่นของลูกค้า และ ความสามารถในการแข่งขันในอุตสาหกรรมยานยนต์ ซึ่งต้องอาศัยความร่วมมือระหว่างฝ่ายพัฒนาระบบ ฝ่ายความความั่นคงปลอดภัยไซเบอร์ ฝ่ายบริหารความเสี่ยง และคู่ค้าในห่วงโซ่อุปทานอย่างเป็นระบบ

มาตรฐานนี้ถือเป็น หัวใจสำคัญของการพัฒนาเทคโนโลยียานยนต์ในยุคดิจิทัล องค์กรใดที่เกี่ยวข้องกับระบบรถยนต์ ไม่ว่าจะเป็น OEM, Supplier หรือบริษัทพัฒนาเทคโนโลยี จำเป็นต้องพิจารณาแนวทางของมาตรฐานนี้ในการกำหนด กระบวนการ พนักงาน เทคโนโลยี และเอกสาร ให้ครอบคลุมตลอดวงจรชีวิต

การนำมาตรฐาน ISO 21434 มาประยุกต์ใช้อย่างเป็นระบบ จะช่วยให้องค์กร:

  • ลดความเสี่ยงด้าน Cybersecurity
  • สอดคล้องกับข้อกำหนด UNECE WP.29 R155
  • เพิ่มความเชื่อมั่นของลูกค้าและคู่ค้าในอุตสาหกรรมยานยนต์ สร้างความมั่นใจให้กับ OEM และคู่ค้าในห่วงโซ่อุปทาน
  • ยกระดับกระบวนการพัฒนาผลิตภัณฑ์ให้ทันสมัยและมีความมั่นคงปลอดภัยในระดับสากล

❓ คำถามที่พบบ่อย

❓ ISO 21434 ต่างจาก ISO 27001 อย่างไร

A: มาตรฐานนี้เป็นมาตรฐานด้าน Cybersecurity สำหรับระบบยานยนต์โดยเฉพาะ ครอบคลุมทั้ง ECU, ADAS, OTA, และเครือข่ายในรถ ส่วน ISO/IEC 27001 เป็นมาตรฐานระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศทั่วไป ใช้ได้กับทุกอุตสาหกรรม ไม่จำกัดเฉพาะด้านยานยนต์

❓ TARA ในมาตรฐานนี้คืออะไร

A: TARA (Threat Analysis and Risk Assessment) คือกระบวนการวิเคราะห์ภัยคุกคามและประเมินความเสี่ยงด้าน Cybersecurity โดยครอบคลุมการระบุสินทรัพย์ (Assets), ภัยคุกคาม (Threats), ช่องโหว่ (Vulnerabilities) และผลกระทบ (Impact)

❓ ใครควรทำบ้าง

A: องค์กรที่เกี่ยวข้องกับการออกแบบ พัฒนา ผลิต หรือดูแลระบบอิเล็กทรอนิกส์และซอฟต์แวร์ในยานยนต์ เช่น OEM, Tier 1–2 Suppliers, ผู้พัฒนาซอฟต์แวร์ในรถ, ผู้ให้บริการ OTA หรือ telematics ควรปฏิบัติตามมาตรฐานดังกล่าวนี้ทั้งสิ้น เพื่อสอดคล้องกับกฎหมายเช่น UNECE WP.29 R155 และลดความเสี่ยงไซเบอร์

❓ จำเป็นต้องใช้ร่วมกับมาตรฐานอื่นหรือไม่?

ตอบ: ใช่ โดยเฉพาะในระบบยานยนต์สมัยใหม่ที่มีทั้ง Functional Safety (ISO 26262) และ Cybersecurity การใช้มาตรฐานนี้ร่วมกับ ISO 26262 ช่วยเสริมความปลอดภัยทั้งในด้านฟังก์ชันและการป้องกันภัยคุกคามทางไซเบอร์

❓ มารฐานนี้มีผลบังคับใช้ตามกฎหมายหรือไม่?

ตอบ: มาตรฐานนี้ไม่ได้เป็นกฎหมายโดยตรง แต่มีความเกี่ยวข้องกับข้อกำหนดของ UNECE WP.29 R155 ซึ่งเป็นข้อบังคับสำหรับรถยนต์ที่ขายในยุโรป ดังนั้น OEM และ Supplier จำเป็นต้องปฏิบัติตามเพื่อให้ผ่านการรับรอง

❓ ขั้นตอนการเริ่มต้นทำมาตรฐานนี้ต้องทำอย่างไร?

ตอบ: เริ่มจากการประเมินช่องว่าง (Gap Analysis) ภายในองค์กร จากนั้นจัดตั้งทีม Cybersecurity, กำหนดนโยบาย, ประเมินความเสี่ยงตาม TARA และออกแบบกระบวนการให้สอดคล้องกับข้อกำหนดของมาตรฐาน

❓ มาตรฐานนี้มีใบรับรอง (Certification) หรือไม่?

ตอบ: ปัจจุบันยังไม่มีการรับรองแบบมาตรฐาน ISO ทั่วไปจากหน่วยงานกลาง แต่มีการประเมินและ audit โดย third-party เพื่อแสดงความพร้อมขององค์กรในการปฏิบัติตามข้อกำหนด

 

สรุป

ISO 21434:2021 คือมาตรฐานด้าน Cybersecurity สำหรับระบบยานยนต์ยุคใหม่ ครอบคลุมทั้งการออกแบบ พัฒนา และจัดการความปลอดภัยของซอฟต์แวร์และฮาร์ดแวร์ในรถยนต์ โดยเน้นการวิเคราะห์ความเสี่ยง (TARA) และการสอดคล้องกับข้อกำหนดอย่าง UNECE WP.29 R155 เหมาะสำหรับ OEM, Supplier และองค์กรที่เกี่ยวข้องกับเทคโนโลยียานยนต์ ช่วยลดความเสี่ยงไซเบอร์และเพิ่มความเชื่อมั่นในระบบขับเคลื่อนอัตโนมัติและรถเชื่อมต่อเครือข่าย

ACinfotec พร้อมเป็นพาร์ตเนอร์เคียงข้างคุณ ตั้งแต่ก้าวแรก… จนถึงการรับรอง
สามารถติดต่อทีมที่ปรึกษาของเรา ผู้เชี่ยวชาญเฉพาะทางในด้าน Automotive Cybersecurity & Functional Safety พร้อมให้บริการครบวงจร

รับคำปรึกษาเบื้องต้นโดยไม่เสียค่าใช้จ่าย

Email: [email protected] หรือโทร 02-670-8980-3

 

อ่านรายละเอียดเกี่ยวกับมาตรฐานการประเมินความมั่นคงปลอดภัยสำหรับอุตสาหกรรมยานยนต์อื่น ๆ เพิ่มเติม