Otomotiv Siber Güvenliğinde Yeni Dönem: UN R155, R156 ve ISO/SAE 21434 Üçgeninde TARA’nın Kritik Rolü

Modern otomobiller artık yalnızca mekanik makineler değil, internete bağlı, milyonlarca satır kod içeren “tekerlekli bilgisayarlar” haline gelmiştir. Otonom sürüş özellikleri, araçtan araca (V2V) iletişim ve uzaktan (OTA) güncellemeler, sürücü deneyimini eşsiz bir noktaya taşırken, siber saldırı yüzeyini de eşi görülmemiş bir şekilde genişletmiştir.

Bu artan tehdit ortamına yanıt olarak, regülasyon düzenleyiciler ve endüstri standartları omuz omuza vererek yeni bir yasal ve teknik altyapı oluşturmuştur. Birleşmiş Milletler Avrupa Ekonomik Komisyonu (UNECE) tarafından yayımlanan UN R155 (Siber Güvenlik Yönetim Sistemi – CSMS) ve UN R156 (Yazılım Güncelleme Yönetim Sistemi – SUMS) regülasyonları yasal zorunlulukları belirlerken; otomotiv endüstrisi bu regülasyonlara nasıl uyum sağlanacağını uluslararası bir standart olan ISO/SAE 21434 ile tanımlamıştır.

Bu “Ne yapılmalı?” (Regülasyonlar) ve “Nasıl yapılmalı?” (Standart) denkleminin tam kalbinde ise TARA (Threat Analysis and Risk Assessment – Tehdit Analizi ve Risk Değerlendirmesi) yer almaktadır.

ISO/SAE 21434 Perspektifinden TARA Nedir?

ISO/SAE 21434 “Karayolu Taşıtları – Siber Güvenlik Mühendisliği” standardı, aracın tüm yaşam döngüsü (tasarım, üretim, işletim, bakım ve hurdaya ayırma) boyunca siber güvenliğin nasıl sağlanacağını adım adım açıklar. Standardın 15. Bölümü (Clause 15) tamamen TARA metodolojisine ayrılmıştır.

Bu standart çerçevesinde uygulanan TARA, şu temel adımları içerir:

• Varlık Tanımlama (Asset Identification): Araçta korunması gereken kritik varlıkların (örneğin; fren kontrol ünitesi, şifreleme anahtarları) belirlenmesi.
• Tehdit Senaryoları ve Saldırı Yolları (Attack Vectors): Hackerların bu varlıklara hangi yöntemlerle ulaşabileceğinin haritalandırılması.
• Etki ve Fizibilite Değerlendirmesi: Bir saldırının sürücü güvenliğine, gizliliğine veya finansal duruma etkisinin (Impact) ve saldırının gerçekleştirilme kolaylığının (Feasibility) analiz edilmesi.
• Risk Belirleme ve İşleme: Elde edilen verilerle riskin derecelendirilmesi ve kabul edilebilir seviyeye çekilmesi için teknik gereksinimlerin oluşturulması.

UN R155 (CSMS) ve ISO 21434 Uyumunda TARA’nın Önemi

UN R155, otomotiv üreticilerinin (OEM’ler) bir Siber Güvenlik Yönetim Sistemi kurmalarını zorunlu kılar. Ancak bu sistemin teknik detaylarını vermez; işte burada ISO/SAE 21434 devreye girer. TARA, bu entegrasyonun en kritik aracıdır:

1. Risk Temelli Yaklaşımın Standartlaştırılması

R155, üreticilerin riskleri tespit edip yönetmesini ister. ISO 21434 tabanlı bir TARA çalışması, riskleri objektif ve uluslararası kabul görmüş bir dille puanlar. Bu standartlaşma, denetçilerin risk yönetimini şeffaf bir şekilde değerlendirmesini sağlar.

2. Tasarımdan İtibaren Güvenlik (Security by Design)

R155, güvenliğin sonradan eklenen bir yama değil, köklü bir unsur olmasını talep eder. ISO 21434’ün “Kavramsal Aşama” (Concept Phase) gereklilikleri doğrultusunda yapılan ilk TARA çalışmaları, sistem mimarisinin siber saldırılara ne kadar dayanıklı olduğunu henüz kod yazılmadan veya donanım üretilmeden ortaya koyar.

3. Tip Onayı İçin Belgelendirme Şartı

Bir aracın belirli bir pazarda satılabilmesi için R155 tip onayı alması zorunludur. Bağımsız denetçiler, R155 uyumluluğunu kontrol ederken masada ISO/SAE 21434’e uygun hazırlanmış TARA raporlarını görmek ister. Standartlara uygun, sistematik bir TARA raporu olmadan tip onayı almak günümüzde imkansızdır.

UN R156 (SUMS) ve Sürekli Güvenlik Döngüsünde TARA

UN R156, araçlara gönderilen uzaktan (OTA) veya kablolu yazılım güncellemelerinin güvenli bir şekilde yönetilmesini şart koşar. ISO/SAE 21434, aracın “Üretim Sonrası” (Post-Production) evresinde de siber güvenliğin izlenmesini zorunlu tutarak R156’ya teknik bir zemin hazırlar.

1. Güncellemelerin Getirdiği Yeni Risklerin Analizi

Bir araca gönderilen yeni bir yazılım, mevcut siber güvenlik duruşunu değiştirebilir. TARA, yazılım güncellemesinin sistem üzerindeki etkisini (ISO 21434 kapsamında sürekli risk değerlendirmesi ile) analiz ederek, güncellemenin yeni zafiyetler yaratıp yaratmadığını doğrular.

2. Olay Müdahalesi (Incident Response) ve Yama Yönetimi

Araç yollardayken yeni nesil bir hacker aracı veya “sıfırıncı gün” (zero-day) açığı ortaya çıkabilir. ISO 21434, OEM’lerin bu zafiyetleri sürekli izlemesini emreder. Yeni bir tehdit tespit edildiğinde TARA güncellenir (R155 gereği) ve riskleri bertaraf etmek için R156 kurallarına uygun, güvenli bir yazılım yaması araca iletilir.

Sonuç olarak otomotiv dünyasında siber güvenlik artık bir lüks değil, yasal bir zorunluluktur. UN R155 ve R156 regülasyonları, otomotiv endüstrisi için ulaşılması gereken hedefi gösterirken; ISO/SAE 21434 standardı bu hedefe ulaşmanın mühendislik haritasını sunar.

Bu haritanın pusulası ise şüphesiz TARA’dır. Tehdit Analizi ve Risk Değerlendirmesi; sadece bürokratik bir uyumluluk belgesi değil, sürücü hayatını koruyan, markanın itibarını güvence altına alan ve yasal yaptırımların önüne geçen dinamik bir süreçtir. Geleceğin mobilite ekosisteminde söz sahibi olmak isteyen her mühendislik ekibi ve üretici, TARA’yı ISO 21434 standartlarında uygulayarak R155 ve R156’nın yasal zırhını kuşanmak zorundadır.

CyberWhiz ve TARA

Otomotiv siber güvenliği ve yasal regülasyonlara uyum süreçlerinde CyberWhiz olarak, ISO/SAE 21434 standartlarına ve UN R155/R156 regülasyonlarına tam uyumlu, uçtan uca TARA (Tehdit Analizi ve Risk Değerlendirmesi) hizmetleri sunuyoruz.

Uzman kadromuzla projelerinizin risk analizlerini titizlikle gerçekleştirmenin yanı sıra, kendi mühendislik ekiplerinizin yetkinliğini artırmak için sektörel tecrübemizle harmanlanmış uygulamalı TARA eğitimleri de veriyoruz. Araçlarınızı siber tehditlere karşı korumak ve güvenli mobilitenin geleceğini birlikte inşa etmek için bizimle iletişime geçin.