Темп инноваций в автомобильной промышленности просто захватывает. Еще десять лет назад сама концепция легковых и грузовых автомобилей без водителя-человека считалась научной фантастикой. А сегодня это уже обычное явление на дорогах всего мира.
Многие из этих нововведений носят поистине революционный характер. Умные автомобили позволяют экономить топливо, снизить загруженность и аварийность на дорогах. Однако вместе с тем, в конкурентной борьбе за то, чтобы вывести на рынок все больше и больше подключенных автомобилей крайне важно чтобы производители не пропустили основы кибербезопасности и не поставили под угрозу безопасность автомобилей и пользователей.
До этого времени законодатели и производители приоритетное внимание уделяли физической безопасности автомобильных технологий. А теперь пришло время сосредоточиться на кибербезопасности.
Основные угрозы автомобилю – физическая и кибер.
С точки зрения любого специалиста по безопасности автомобиль это еще одна сложная система, которая становится все более связанной с целью повышения эффективности и удобства клиентов. Проблема, которая при этом создается – все больше возможностей подключения, что означает больше векторов атаки и больше возможностей для хакеров.
С точки зрения безопасности вызывает озабоченность физическая безопасность, ведь если системы управления транспортными средствами могут использовать удаленные соединения, то всегда есть вероятность, что они открыты для взлома, что означает немедленную и неприемлемую опасность для водителей, пассажиров и других участников дорожного движения. Например, три года назад американский производитель автомобилей Chrysler выпустил официальное предупреждение о 1,4 миллионах автомобилей в ответ на уязвимость программного обеспечения, которая позволила исследователям полностью контролировать автомобиль по воздуху. Удивительно, но этот инцидент, похоже, не ослабил желания потребителей в отношении большей автоматизации и интернет-услуг в их транспортных средствах, или скорости, с которой производители автомобилей хотят их производить.
Второй областью, требующей повышенного внимания, является конфиденциальность личных данных. Автомобили становятся все более ценными генераторами персональных данных. GPS-навигационные системы регистрируют поездки, чтобы сократить время, затрачиваемое на трафик, дилеры предупреждаются, когда достигнуты интервалы обслуживания, и страховые компании могут отправить помощь по первым показаниям серьезной аварии. Производители также собирают данные об использовании транспортных средств для улучшения будущих проектов.
Проблема, стоящая перед производителями автомобилей, заключается в том, что многие из этих систем не были разработаны с учетом безопасности, поскольку они никогда не предназначались для подключения к внешним коммуникациям. Однако в современных автомобилях мы находим GSMA, Bluetooth, WiFi и другие беспроводные технологии — не говоря уже о портах USB — повсеместно и могут предоставлять шлюзы для критически важных систем управления. Универсальная CAN-шина, которая управляла автомобильными компонентами в течение двух десятилетий, оказалась особенно сложной для защиты и изоляции. Действительно, непреднамеренное разоблачение CAN-шины позволило атаковать автомобили Chrysler. Исследователи не только смогли получить доступ к CAN-шине через мультимедийный блок управления, который был теоретически изолирован от CAN-шины, но и для установки индивидуальной прошивки без разрешения.
Усиление мер кибербезопасности
В результате производители сегодня гораздо более чувствительны к проблемам безопасности, чем три года назад, а в октябре 2017 года 15 членов Европейской ассоциации автопроизводителей (ACEA) одобрили набор шести принципов кибербезопасности. Эти обязательства являются весьма обнадеживающими и включают принятие подхода к жизненному циклу кибербезопасности для развития транспортных средств, а также обмен информацией между субъектами промышленности для решения новых угроз по мере их возникновения.
Руководящие принципы ACEA должны приветствоваться как введение в концепцию «безопасного проектирования» для автомобильного мира.
Возможно, именно поэтому в январе 2018 года исследователи все еще могли показать, что электронный блок управления (ECU) в ряде недавно построенных автомобилей от разных производителей был восприимчив к удаленному взлому через беспроводные сети даже при выключенном двигателе.
Есть уроки, которые отрасль может извлечь из других секторов. Методы, которые регулярно разворачиваются в корпоративных сетях для выявления и карантина аномального поведения, — определение атак раньше, другими словами, должны быть разработаны для конкретных взаимодействий внутриавтомобильной сети. Также важно, чтобы производители разрабатывали культуру постоянного тестирования и упрочнения их защиты до и после выпуска продукта.
Когда дело доходит до интеграции подключенных систем с системами управления транспортными средствами, требуется лучшее понимание того, как сегментировать сетевые функции и защищать устаревшие системы, и в то же время получать доступ к данным, которые будут стимулировать инновации.
Что касается рисков, связанных с сбором персональных данных в современных автомобилях, то производители должны вкладывать больше средств в образование потребителей по своей продукции. Сегодня водители могут даже не знать, что данные о поездке собираются и хранятся «умными» компонентами в их транспортных средствах, поскольку пользовательские соглашения и условия часто зарыты в конце руководств.
