Вечната игра на котка и мишка от света на компютрите

Вечната игра на „ котка и мишка ” от света на компютрите се реалокира при колите
(снимка: CC0 Public Domain)

Организациите от автомобилната промишленост са задължени да съблюдават голям брой условия във връзка с сигурността на колите и пасажерите, тъй че разглеждането на въпроса за киберсигурността на компютризираните, „ свързани ” транспортни средства, най-малко на доктрина, не би трябвало да е голям проблем. Но може би въпреки всичко е.

Бързата цифровизация на всичко в автомобила към този момент отвори една нова сцена за непрекъсната конкуренция сред злите гении, стимулирани от финансова полза, и разработчици на системи за сигурност. Изглежда че безконечната игра на „ котка и мишка ”, която от доста години се разиграва в света на компютрите, надлежно вирусите и антивирусите, в този момент е на път да се реалокира на територията на колите.

Нарастващ риск за хората

Бандитите постоянно намират способи да крадат коли, като употребяват уязвимости в актуалните системи за заключване без ключ. Все по-често откриватели показват и по какъв начин нападателите могат да бърникат в настройките на автомобила, в информационно-развлекателната система, в спирачната система, в кормилната система. И въпреки всичко до момента не сме станали очевидци на действителните офанзиви по отношение на сигурността на хора, където хакери да са осъществили сходен демоничен набег – да деактивират спирачките или да завъртят кормилото на движеща се кола с хора вътре. Но и това в миналото ще се случи.
още по тематиката
Една от аргументите белята да не е станала до момента е, че киберпрестъпниците нормално търсят пари. Те не са заинтригувани да навредят на хора. Даже в противен случай, те внимават да не навредят на хората, тъй като това внезапно трансформира евентуалното обвиняване – стават подсъдими за ликвидиране. Но сходна картина не значи, че злодействата постоянно ще бъдат в „ бъдеще несигурно ” време.

Намесата в автомобилните ИТ има огромен капацитет да се употребява злонамерено. Можем да си представим какъв резултат би имало преодоляването на кормилната система, да вземем за пример, от хакери-изнудвачи. В тяхната хватка могат да попаднат персонални коли, само че доста по-„ забавно ” би било, в случай че са служебни коли на компании, каквито в този момент са обект на рансъмуер набези. Да не приказваме какъв брой по-лесно става отвличането на рейс с възпитаници.

Проблем е, че доказването на сходен тип офанзива е много мъчно. „ Ако се случи случай, сега няма орган, който да проверява случилото се. Още повече, че в множеството коли няма и ограничения за наблюдаване на сходни произшествия. Така че, в случай че се опитате и съумеете, никой даже няма да разбере, да не приказваме да стартира следствие ”, отбелязва Натаниел Мерон, основен продуктов шеф и маркетинг в C2A Security, снабдител на автомобилни решения за киберсигурност, в обява на.

Една от предпоставките за сходен жанр офанзиви е, че ИТ мрежите на производителите на автентично съоръжение (OEM) към този момент нееднократно са хаквани от рансъмуер-банди. С сходен опит злодеите биха могли да отидат много надалеч и да разпрострат офанзивите си по този начин, че стотици хиляди коли да останат „ на трупчета ” някой ден – и от притежателите им да се желае откуп.

Когато това се случи – тъй като е въпрос на време – и според от мащаба на офанзивата казусът може да се окаже разрушителен за производителите: това може да докара до цялостен банкрут. И въпреки че е мъчно да се каже по кое време може да завърши сегашният „ гратисен интервал ”, OEM производителите би трябвало да одобряват обстоятелството, че един ден сигурно ще им се случи. И би трябвало да употребяват наличното време, с цел да работят по отбраната.

Управление на киберсигурността на транспортното средство

Автомобилната промишленост обгръща необятен кръг от компании и организации, чиято последна цел е да създават и продават моторни транспортни средства. OEM производителите – известни марки като BMW, GM, Ford и други – възнамеряват и проектират колите. След това си набират нужните елементи и системи от разнообразни снабдители. Доставчиците от по този начин нареченото „ равнище 1 ” са профилирани в разнообразни ниши: да вземем за пример, някои вършат усъвършенствани системи за подкрепяне на лидера (ADAS), други вършат седалки, трети вършат стъкла.

Компютрите в колите стават от ден на ден и също се създават от външни снабдители. Тези компютри управляват все по-голяма част от всичко, което се случва вътре в автомобила. Контролът на транспортното средство в този момент е изцяло цифровизиран. Нападателите биха могли да поемат надзор над ADAS системата в колата и по този метод да добият цялостен надзор върху функционалностите на транспортното средство, свързани с сигурността – ръководство, прекъсване.

„ Днешната комплицирана архитектура на обвързваните транспортни средства е всъщност по-уязвима към хакерски атаки. Свързаните транспортни средства могат да съдържат в себе си до 150 електронни контролни блока. Те работят с към 100 милиона реда програмен код. Утрешните транспортни средства могат да съдържат още повече – до 300 милиона реда софтуерен код. Кибератаките, употребяващи възходящата цифровизация на транспортните средства, съставляват забележителен риск за производителите, притежателите на транспортни средства, водачите и пешеходците ”, означи Мерон.

Всеки OEM се пробва да измисли своя лична отбранителна тактика. Всеки употребява разнородни принадлежности, каквито пазарът предлага. Кой от тях до каква степен има експертиза – е противоречива тематика. В последна сметка всички снабдители би трябвало да намерят метод да създадат по този начин, че да подсигуряват киберсигурността на транспортното средство през целия му витален цикъл, от първия ден до извеждането му от употреба.

Предизвикателството е колосално

„ Разбирането на веригата за доставки на обещано транспортно средство е от значително значение за разбирането по какъв начин то да се следи и пази. За да могат професионалните екипи за киберсигурност да защитят своите артикули, те би трябвало да имат цялостен взор върху вътрешната работа на транспортното средство. Предоставянето на 360-градусов контрол върху действието на контрола за сигурност на OEM производителите прави съответната информация елементарно налична и затова управляема ”, споделя Мерон. Но това я прави и лесна цел в това време.

Стандарти и разпореждания

Всичко дотук приказва, че киберсигурността на актуалните мощно цифровизирани коли е като одеяло, формирано от кръпки. Мерон поучава евентуалните купувачи да изчакат, до момента в който производителите на истински артикули стартират да ползват прилични и координирани ограничения за сигурност и потвърдят това на пазара.

Той се надява, че скоро ще станем очевидци на въвеждането на цялостна, наднационална стратегия за оценка на киберсигурността на колите, която да подсигурява на потребителите, че техните транспортни средства са безвредни и сигурни.

Междувременно сега се „ коват ” някои стандарти и разпореждания за киберсигурността на колите: новите правила за киберсигурност WP.29 и новият стандарт ISO 21434. Те изискват изрично използването на системи за ръководство на киберсигурността за отбрана на транспортни средства.

„ Заедно с спомагателни стандарти, предстоящи в бъдеще, като Закона за киберсигурността в Европейски Съюз, китайската стратегия ICV, нови насоки от JASPAR в Япония и законодателни оферти в Съединени американски щати, това са ярки образци за напъните за съдействие в цялата промишленост за основаване основа за автомобилната киберсигурност. Сега OEM производителите би трябвало независимо да намерят своя на практика метод за справяне с предизвикването на ръководството на виталния цикъл на киберсигурността, като в същото време се придържат към тези стандарти ”, заключи Мерон.