Несигурната ситуация с киберсигурността при автомобилите
Изненада! Усилията по киберсигурността за все по-зависимите от софтуера коли са значително доброволни.
Тъй като колите от ден на ден зависят от уязвим програмен продукт, в Съединени американски щати все по-често се разисква въпросът дали автомобилните производители би трябвало да се преценяват с наредбите за киберсигурност, които се ползват в Европа.
Администрацията на Байдън желае да трансферира тежестта на киберсигурността от физическите лица, дребните предприятия и локалните управляващи върху производителите на коли и други огромни компании.
Националната тактика за киберсигурност на Белия дом приканва „ организациите, които са най-способни и най-добре позиционирани да понижат рисковете “, да поемат тази отговорност.
Според някои наблюдаващи от сектора крайният резултат ще бъде, че киберсигурността на все по-зависимите от софтуера коли ще бъде значително доброволна.
Това е по този начин, тъй като тактиката на Белия дом съдържа рекомендации, а не наложителни ограничения. Но защото на пазара се появяват все по-сложни софтуерно подвластни транспортни средства, автомобилната промишленост твърди, че отговорностите за киберсигурността би трябвало да бъдат споделени сред фирмите, промишленостите и държавните организации в този разрастващ се бранш.
„ Превозните средства от ден на ден се интегрират в по-широка екосистема от обвързвана инфраструктура, устройства и функционалности – доста от които са отвън контрола на самите автомобилни компании “,
съобщи в изказване Хилари Кейн, вицепрезидент по технологиите, нововъведенията и политиката за подвижност в Алианса за автомобилни нововъведения. Алиансът е комерсиална асоциация, която съставлява ползите на автомобилните производители и техните снабдители.
Софтуерно дефинираните транспортни средства, сходно на смарт телефоните, събират потребителски данни и оферират функционалности, които могат да бъдат обновени по въздуха.
Тези функционалности включват цифрови ключове, които разрешават на водачите да започват колите си посредством мобилни телефони, и системи, които наблюдават сърдечния темп и дишането на потребителите.
Необходима ли е регулация?
Киберсигурността на колите в Съединени американски щати се контролира от непринуден режим. NHTSA разгласява за първи път през 2016 година документа си „ Най-добри практики за киберсигурност за сигурността на актуалните транспортни средства “.
Тези стандарти бяха обновени за финален път през 2022 година, когато организацията предизвести производителите на коли да се предпазят от евентуално манипулиране на данни, получени от лидарни и радарни датчици, които се употребяват в системите за самостоятелно шофиране и усъвършенстваните системи за асистиране на лидера.
Агенцията прикани производителите на коли да се предпазят от заглушаване на лидара и радара, подправяне на GPS, модифициране на пътни знаци от разстояние, заслепяване на камерата и хакерски способи, които да накарат изкуствения разсъдък в тези системи да създава данни с подправени позитивни резултати.
Що се отнася до киберсигурността на колите, американската автомобилна промишленост се нуждае от правила вместо от рекомендации, съобщи Моше Шлисел, основен изпълнителен шеф на GuardKnox, израелска компания за киберсигурност на коли.
„ В момента в Америка регулациите в тази област не са наложителни “, сподели Шлисел.
Шлисел съобщи, че американските производители на коли не ревизират задоволително деликатно приложенията, които слагат в своите коли.
Съединени американски щати би трябвало да последват Европейския съюз и 58-те страни членки на Икономическата комисия за Европа на Организация на обединените нации, които са въвели по-строги правила, сподели Шлисел.
Общият правилник за отбрана на данните на Европейски Съюз пази персоналните данни, свързани с физически лица. Регламенти 155 и 156 на Комисията уреждат системите за киберсигурност на транспортните средства и протоколите за актуализация на софтуера.
Регламентите изискват от производителите на коли да пазят софтуерните системи на своите коли и персоналните данни на клиентите от киберзаплахи, както и да основават процеси за документиране и ръководство на хакерски атаки.
В предишното хардуерът и софтуерът са били значително преплетени в бизнес модела на автомобилната промишленост. Но производителите на коли минават към модел на програмен продукт като услуга (SaaS) за функционалностите в своите коли, като да вземем за пример тези, които употребяват изкуствен интелект, с цел да научат настройките за комфорт на лидера или които дават на клиента информация за трафика в действително време, с цел да отключат евентуално милиарди доходи.
Залогът е милиарди
Според консултантската компания McKinsey & Co. в международен мащаб пазарът на програмен продукт за автомобилната промишленост ще нарасне до 80 милиарда $ до 2031 година от 31 милиарда $ през 2019 година
През последните години производителите на коли вкарват функционалности, които клиентите могат да прибавят към своите коли против в допълнение възнаграждение. Те включват системи за подкрепяне на лидера и информационно-развлекателни системи, които интегрират музикален и видео стрийминг.
GuardKnox и други сходни компании също имат интерес към разрастващата се промишленост за киберсигурност на колите.
През 2022 година този световен пазар е на стойност 3,2 милиарда $. Очаква се той да нарасне до 22,2 милиарда $ до 2032 година, съгласно Market.us, компания за пазарни изследвания.
Липса на конкретика
Правителството би трябвало да наложи стандарти за киберсигурност на автомобилната промишленост, съобщи Майкъл Брукс, основен консултант в Центъра за автомобилна сигурност, група за отбрана на потребителите на коли във Вашингтон.
Въпреки че насоките на администрацията на Байдън основават предпоставки за съдействие сред държавното управление на Съединени американски щати и участниците в промишлеността, те надалеч не са дефинитивни, сподели Брукс.
„ Липсва конкретика. Те не оферират стандарт за киберсигурност или усъвършенствани стандарти за предварителна защита като най-малко “, сподели Брукс.
„ Няма никакви наставления за дейностите, които би трябвало да се подхващат, с цел да се защитят съответно транспортните средства и всички други типове превоз от тези киберзаплахи.
„ Американските производители на коли не желаят да бъдат принуждавани да сертифицират, че съблюдават непоколебим кодекс от стандарти, и се опълчват на това Министерството на превоза на Съединени американски щати да контролира киберсигурността на колите, сподели Брукс.
Брайън Вайс, представител на Алианса за автомобилни нововъведения, съобщи, че организацията поддържа доброволните стандарти за киберсигурност, които NHTSA и Automotive Information Sharing and Analysis Center, друга комерсиална група, са създали.
„ Тъй като киберзаплахите са динамични и непрекъснато се развиват, ние имаме опасения по отношение на предписателните и негъвкави регулаторни стандарти. Моделът на публично-частно партньорство, комбиниран с доброволни насоки, е пожеланият път “, сподели той.
И макар че Съединени американски щати не са подписали разпоредбите на Организация на обединените нации за киберсигурност, които влизат в действие за всички транспортни средства през юли 2024 година, от американските автомобилни производители се чака да ги съблюдават.
„ Правилно “ за клиентите
Главният шеф по киберсигурността на General Motors, Кевин Тиърни, съобщи, че най-големият авто производител в страната има вяра, че организациите, които пускат артикули на пазара, би трябвало да носят отговорност за тяхната сигурност.
„ От дълго време GM заема водеща позиция и влага в киберсигурността, без да трансферира разноските върху потребителите “, сподели Тиърни в изказване за Automotive News.
„ Ние ще продължим да бъдем водач в това пространство и да постъпваме вярно за нашите клиенти “.
Тиърни е член на федерален съвещателен комитет, който дава насоки за възстановяване на киберсигурността в страната. Той е и заместник-председател на Центъра за продан и разбор на информация в автомобилната промишленост, прочут като Auto-ISAC – група от автомобилни производители, които обменят информация за евентуални киберзаплахи, уязвимости и произшествия.
Стелантис гледа на киберсигурността в автомобилната промишленост като на начинание, учредено на повече съдействие.
„ Stellantis е компания, насочена към клиентите, и ние одобряваме киберсигурността на нашите артикули и интервенции доста съществено “, съобщи представител. „ Съвместното взаимоотношение сред голям брой заинтригувани страни може да докара до надеждни тактики за киберсигурност. ”
Форд, Хюндай и Тойота са препратили запитванията по тематиката от автомобилната медия Automotive News към Алианса за нововъведения в автомобилната промишленост.
Интересно е, че точно Stellantis по този начин самоуверено декларират, че одобряват киберсигурността доста съществено, като още през 2015-а таман модел на Jeep беше “откраднат ” от хакери от отдалеченост, които спираха, пускаха и надуваха музиката, климатика, чистачките. Даже си сложиха лична фотография на екрана на инфотейнмънта.
Въобще класичсеки bullying, какъвто може да се крие в едно ярко бъдеще на зле предпазени коли. Веселбата ще пристигна, когато колите станат предоминантно самостоятелни.
Интересен подробност за край
Трудностите, които изпитват penetration tester-ите (хакери, които изпитват защитеността на дадена система), не са заложени умишлено от автомобилните производители.
Алис Найт – известен хакер с опит и от двете страни на закона, споделя, че съществуването на разнообразни софтуери и системи вършат свързаната кола (connected car) нещо, което е мъчно да се хакне в мащаб. И това към този момент избавя промишлеността от всеобщи кинетични пробиви. Течове на данни има от съвсем всички производители. Но преодоляване на автопаркове към момента не. И популярност Богу.
