Cum au ajuns mașinile vulnerabile la hackeri, un risc de securitate: care este soluția

Majoritatea micilor producători de automobile și furnizori nu sunt pregătiți să creeze un sistem de management care să se concentreze pe securitatea cibernetică a vehiculelor, potrivit unui sondaj recent.

Producătorii de automobile și furnizorii din Europa vor fi obligați în curând să se asigure că toate vehiculele conectate sunt protejate împotriva atacurilor cibernetice pentru a respecta două reglementări ale Națiunilor Unite.

Noile reguli privind securitatea cibernetică și actualizările software au intrat în vigoare pentru toate tipurile de vehicule noi în iulie 2022 și vor deveni obligatorii pentru toate vehiculele noi produse începând cu iulie 2024.

Regulile au avut deja efect asupra pieței, contribuind la întreruperea unui minicar electric cu costuri reduse.

Cât plătești dacă folosești aerul condiționat pentru a te încălzi iarna? Cum îți afectează factura

Când se aprind luminițele de Crăciun în București în 2024

CEO-ul mărcii Volkswagen, Thomas Schaefer, a declarat luna trecută publicației Automotive News Europe Automobilwoche că producția e-Up se va încheia la jumătatea anului 2024 din cauza noilor reguli pentru securitatea cibernetică.

„Pentru a-l menține în producție, ar fi trebuit să integrăm o arhitectură electronică complet nouă”, a spus el. „Ar fi prea scump. Deci, este mai bine să dezvolti imediat o mașină nouă.”

Minimașina e-Up complet electrică este vehiculul electric de intrare al mărcii VW, începând de la 29.995 de euro în Germania.

Pe măsură ce vehiculele devin din ce în ce mai conectate și complicate, va fi necesară o investiție mare în securitate cibernetică și profesioniști IT. Vehiculul mediu are 100 de milioane de linii de cod, comparativ cu mai puțin de 7 milioane pentru un Boeing Dreamliner, potrivit Continental.

Se estimează că piața de securitate cibernetică auto va crește la 17,7 miliarde de dolari până în 2031, de la aproximativ 2,8 miliarde de dolari anul trecut, potrivit specialistului de date Research and Markets.

Argus Cyber Security din Israel, o subsidiară a Continental, a constatat că 58% dintre micii producători de automobile și furnizori de automobile nu sunt pregătiți să creeze un sistem de management concentrat pe securitatea cibernetică a vehiculelor, care să respecte Regulamentul 155 al Comisiei Economice pentru Europa a Națiunilor Unite (UNECE).

În plus, Regulamentul 156 al Comisiei guvernează protocoalele de securitate cibernetică pentru actualizările de software în vehicule noi și va începe în aceeași lună.

„Nimeni nu este pregătit și, să fiu sincer, întreg lanțul de automobile nu este pregătit”, a declarat Gulroz Singh, director la NXP Semiconductors, din Austin, Texas, pentru Automotive News Europe.

Gestionarea riscurilor cibernetice

Cele două noi reglementări ale ONU necesită implementarea măsurilor în patru discipline principale, de la gestionarea riscurilor cibernetice ale vehiculelor și securizarea vehiculelor prin proiectare pentru a atenua riscurile de-a lungul lanțului valoric până la detectarea și răspunsul la incidentele de securitate din flotele de vehicule.

Ultimul domeniu necesită furnizarea de actualizări software sigure și securizate și asigurarea că siguranța vehiculului nu este compromisă, introducând o bază legală pentru actualizările software over-the-air (OTA).

Deși industria este de acord cu faptul că securitatea cibernetică este o prioritate de top pentru producătorii de automobile pentru a asigura siguranța sistemelor vehiculelor și a ocupanților acestora, nu toată lumea este mulțumită de reglementările UNECE.

Eric Dequi, expert senior în arhitectură și securitate cibernetică Stellantis EE, sprijină crearea de reguli care clarifică și standardizează securitatea cibernetică.

„Siguranța în exploatare, securitatea și confidențialitatea sunt necesare și obligatorii”, a spus el într-un răspuns prin e-mail la întrebări. „OEM sunt responsabili – în conformitate cu legislația – să gestioneze controlul accesului vehiculelor pentru a limita impactul.”

Punctele slabe

Gerd Preuss de la ADAC, cel mai mare club auto din Germania și liderul grupului de lucru pentru securitatea vehiculelor și accesul la date al EuroNCAP, a explicat prin e-mail că atacurile cibernetice ale vehiculelor care au loc astăzi sunt efectuate în cea mai mare parte prin interfețe precum portul de diagnosticare la bord (OBD) sau prin atacuri man-in-the-middle prin manipularea conexiunilor Bluetooth.

„Producătorul vehiculului este obligat prin UNECE R155 să prezinte măsuri de securitate informatică asupra vehiculului printr-un sistem de management al securității cibernetice”, a spus el.

Din punctul de vedere al consumatorului, însă, acestei legi lipsesc cerințe specifice de performanță și criterii uniforme de acceptare.

Preuss a spus că EuroNCAP nu numai că intenționează să completeze aceste lacune cu propriile teste, ci și să clarifice modul în care proprietarul vehiculului poate monitoriza și controla în siguranță fluxul de date de la sau către vehicul.

„Un regulament clar”

„Securitatea IT este o condiție prealabilă pentru funcționarea în siguranță și performanța de mediu a unui vehicul”, a continuat Preuss. „Investiția în securitatea IT pentru vehicule este esențială pentru protejarea datelor personale, prevenirea atacurilor cibernetice, îndeplinirea cerințelor de reglementare și menținerea reputației mărcii. De asemenea, accesul la date pentru reparații și întreținere necesită investiții este securitatea IT, unde este posibil doar accesul autorizat.”

Ofițerul șef de securitate și confidențialitate al produselor Continental, Mathias Dehm, este de asemenea de acord cu implementarea unor reglementări mai stricte. Pe măsură ce vehiculele devin mai complexe, regulile pot servi drept bază pentru producătorii de automobile și furnizorii lor.

„Privindu-ne în urmă cu cinci ani, nu a existat un stand cu adevărat internațional

ard sau reglementări existente în acest domeniu”, a spus el. „Dar acum, cu o reglementare clară din partea UNECE și, de asemenea, cu standardul internațional ISO/SAE 21434, industria are îndrumări mai bune și pentru a asigura un nivel comun de securitate cibernetică în întreg industrie.”

El a adăugat că acest lucru este important de-a lungul întregului lanț de aprovizionare, deoarece totul trebuie să funcționeze fără probleme.

În timp ce reglementarea UNECE se concentrează în principal pe producătorii de automobile, Dehm notează că regulamentul prevede, de asemenea, că standardele trebuie îndeplinite de-a lungul fiecărei verigă a lanțului de aprovizionare.

„Este o mare provocare, deoarece lanțul de aprovizionare este atât de mare și implică atât de mulți furnizori diferiți și nu toată lumea are automobilele ca client principal”, a spus Dehm. „Pentru a implementa acest lucru de-a lungul unui lanț de aprovizionare atât de imens necesită timp și aveți o provocare suplimentară în lipsa experților necesari.”

Noile reglementări, pe care producătorul auto trebuie să le asigure de-a lungul lanțului de aprovizionare, cer și furnizorilor precum Continental, Robert Bosch și alții să aibă un management continuu al vulnerabilităților, astfel încât să poată răspunde dacă ceva nu merge bine. Acest lucru trebuie menținut pe parcursul ciclului de viață al produsului.

„Aveți nevoie de echipa potrivită în compania dumneavoastră, inclusiv oameni cu know-how despre produs și toate detaliile specifice ale produsului pentru o perioadă lungă de timp”, a spus el.

Când vine vorba de actualizarea software-ului de securitate cibernetică pentru vehicule și componente individuale, Demh consideră actualizările OTA ca fiind soluția cheie pentru furnizarea de actualizări sau remedieri la nivelul întregii flote pentru milioane de vehicule.

Dequi de la Stellantis a adăugat că actualizările OTA necesită o soluție de ultimă generație pentru a evita injectarea de malware.

„Soluțiile de bază precum verificarea integrității și confidențialității sunt obligatorii pentru a evita toate compromisurile în timpul transferului și instalării versiunii software”, a spus el. „Aceasta include un management strict al configurației atunci când mai multe componente sunt actualizate în același timp și o procedură de rollback în cazul unei probleme de siguranță sau cibernetice după instalare.”

O mai bună recunoaștere a riscului

Din perspectiva lui Nick Maynard, vicepreședinte de cercetare de piață fintech la Juniper, noile reglementări de la ONU reprezintă o dezvoltare importantă pe piața vehiculelor.

„Securitatea cibernetică a fost o problemă importantă în vehiculul conectat de ceva timp. Creșterea conectivității creează probleme de securitate cibernetică”, a spus el prin e-mail. „Deoarece producătorii de vehicule au abordări nestandardizate pentru a menține software-ul actualizat, acesta a fost un factor major al reglementării”.

El a arătat că Tesla conduce drumul cu actualizările OTA, alți producători fiind semnificativ în urmă și multe dintre cele mai scumpe mașini trebuind să se întoarcă la producător pentru o actualizare.

„Regulamentul va ajuta la rezolvarea unora dintre provocările de aici”, a spus Maynard. „Ceea ce vom vedea este o mai bună recunoaștere și evaluare a riscurilor a elementului de securitate cibernetică pe piața vehiculelor conectate”.

El a adăugat că acele modificări sunt deja văzute – de exemplu, în februarie 2023, LG a anunțat că componentele sale auto au fost certificate la noul standard.

„Acesta este începutul unui proces mult mai amplu de standardizare și certificare, pe care mulți producători auto și producători de piese vor trebui să îl întreprindă”, a menționat Maynard.

De asemenea, anticipează că va exista mult mai mult interes pentru lanțul de aprovizionare cu software din partea producătorilor de automobile.

„În timp ce producătorii sunt responsabili pentru principalele sisteme pe care vehiculele le rulează, există multe componente terțe care vor avea software independent”, a spus el.

Ca atare, producătorii de vehicule vor trebui să înțeleagă aceste riscuri, care sunt relativ necunoscute de ceva timp.

„Așteptăm o implicare mai mare a furnizorilor independenți de securitate cibernetică care acoperă acest domeniu de ceva vreme”, a menționat Maynard.