- Wymaga to współpracy między producentami samochodów, dostawcami oprogramowania oraz organami regulacyjnymi. Konieczne jest ustanowienie standardów bezpieczeństwa, audytów i testów, które będą obowiązywać dla wszystkich producentów samochodów. Bezpieczeństwo powinno być wprowadzane już na etapie projektowania i produkcji samochodów, a nie tylko w formie reakcji na istniejące zagrożenia. Wprowadzenie zabezpieczeń nie tylko fizycznych i technologicznych, lecz również takich jak systemy wykrywania i ochrony przed atakami, aktualizacje zdalnego oprogramowania, separacja systemów wewnątrz pojazdu, powinno być integralną częścią procesu tworzenia samochodów - podkreśla Aleksander Kostuch, ekspert Stormshield.
Wskazuje przy tym trzy kluczowe obszary, które powinny być w takim planowaniu uwzględnione.
Wprowadzenie ścisłej separacji systemów w pojazdach autonomicznych
Każdy system, zarówno ten związany z jazdą autonomiczną, jak i systemy komunikacji i rozrywki, powinien być odizolowany od siebie, aby zapobiec potencjalnemu przenoszeniu się ataków z jednego systemu na drugi. W trakcie użytkowania systemów rozrywki często jest możliwość korzystania z zewnętrznych nośników, które mogą nieść zagrożenie. Bezpośrednie połączenie z siecią Internet w trakcie słuchania muzyki, nawigacji czy streamingu również sprzyja bezpośrednim atakom. Jednym z przykładów może być tzw. "sandboxing", czyli izolowanie poszczególnych systemów wewnątrz pojazdu, co zapobiega przepływowi informacji między nimi. W sierpniu 2022 japoński programista ogłosił, że udało mu się uruchomić własne oprogramowanie w pokładowym systemie rozrywkowym IVI (In-Vehicle Infotainment) w samochodzie Hyundai Ioniq SEL z 2021 r. Odkrył on, że producent pojazdu zabezpieczył system Hyundai Mobis za pomocą kluczy, które były publicznie znane i dostępne w Internecie.
Systemy te powinny być zaprojektowane w taki sposób, aby były bezpieczne i niepodatne na ataki w trakcie procesu aktualizacji. Jeżeli zostanie wykryta luka w zabezpieczeniach, należy mieć możliwość sprawnego informowania i szybkiego reagowania na nowe zagrożenia. W 2017 roku (publicznie ta informacja pojawiła się we wrześniu 2020) badacz podatności odkrył jak samochody Tesli łączyły się do sieci, z wykorzystaniem OpenVPN. Okazało się, że klucze były uniwersalne i dawały dostęp do połączenia z każdego samochodu. Korzystając z API (tego samego co aplikacje mobilne Tesli) można było np. lokalizować, otwierać czy uruchamiać dowolny samochód Tesli. Tym razem lukę jako pierwszy odkrył, za wynagrodzeniem, badacz.
Implementowanie zaawansowanych systemów monitorowania i wykrywania zagrożeń cybernetycznych
Systemy te powinny być w stanie identyfikować nietypowe aktywności, próby ataków oraz sytuacje, które mogą wskazywać na próby kompromitacji systemu.
Aby uniknąć zagrożeń, producenci samochodów i organy rządowe muszą wyprzedzać rozwój technologii, tworząc nowe rozwiązania zabezpieczające i opracowując regulacje prawne. Te regulacje powinny obejmować wymogi procedur audytów i testów, które muszą być przeprowadzane na etapie projektowania, produkcji i użytkowania pojazdów pod kątem zagrożeń cybernetycznych w celu minimalizacji ryzyka cyberataków.
- Tylko w ten sposób będziemy mogli zminimalizować ryzyko, jakie niosą ze sobą nowe technologie. Najwyższy czas, aby spojrzeć na te kwestie z większą uwagą i zabezpieczyć się na przyszłość, która nadchodzi wielkimi krokami - mówi Aleksander Kostuch.
Funkcjonujący obecnie Audyt IATF 16949 (będący międzynarodowym standardem jakości stosowanym w branży motoryzacyjnej) uwzględnia elementy związane z cyberbezpieczeństwem, choć nie jest to główny obszar dokonywanej oceny. Audyt obejmuje sekcję, w której znajdują się wymagania dotyczące systemów informacji, w tym cyberbezpieczeństwa.
- Edukacja i świadomość cyberbezpieczeństwa powinny być promowane zarówno wśród konsumentów, jak i pracowników branży motoryzacyjnej. Kierowcy powinni być uświadamiani co do zagrożeń, dostosowania się do procedur związanych z odpowiednimi praktykami bezpieczeństwa. Z kolei pracownicy motoryzacyjni powinni być odpowiednio przeszkoleni w zakresie identyfikacji i zarządzania ryzykiem cybernetycznym. Moim zdaniem sensowne byłoby utworzenie wspólnych platform i mechanizmów wymiany informacji na temat zagrożeń i incydentów cyberbezpieczeństwa w branży motoryzacyjnej - podsumowuje ekspert Stormshield, europejskiego wytwórcy rozwiązań z obszaru bezpieczeństwa IT.
Fot. Stormshield
Komentarze (0)