Защита электрических и программно-определяемых автомобилей

«Путин — чудак. Слава Украине."

Вот что недавно читали взломанные зарядные устройства для электромобилей на подмосковных зарядных станциях для инвалидов. И хотя это вызывает улыбку на лицах многих людей во всем мире, оно подчеркивает точку зрения, высказанную несколькими исследователями и разработчиками, собравшимися на прошлой неделе в Оскар 2022 (ежегодная конференция, посвященная глубоким техническим разработкам в области автомобильной кибербезопасности): количество автомобильных взломов растет. На самом деле, за Отчет Upstream Automotive, частота кибератак увеличилась на колоссальные 225% с 2018 по 2021 год, при этом 85% из них были проведены удаленно, а 54.1% взломов 2021 года были атаками «черной шляпы» (также известными как вредоносные).

В разгар прослушивания различных реальных докладов на этой конференции стало очевидным несколько вещей: есть как хорошие новости, так и плохие новости, основанные на всегда необходимом сосредоточении внимания на этой важной области.

Плохие новости

Проще говоря, плохая новость заключается в том, что технологические достижения только повышают вероятность событий первого дня. «Электромобили создают больше технологий, а это означает, что существует больше угроз и поверхностей угроз», — заявил Джей Джонсон, главный исследователь Sandia National Laboratories. «По состоянию на 46,500 год уже доступно 2021 2030 зарядных устройств, а к 600,000 году рыночный спрос предполагает, что их будет около XNUMX XNUMX». Далее Джонсон обозначил четыре основных интересующих интерфейса и предварительное подмножество выявленных уязвимостей вместе с рекомендациями, но сообщение было ясным: необходимо постоянно «призывать к оружию». Это, по его мнению, единственный способ избежать таких вещей, как атаки типа «отказ в обслуживании» (DoS) в Москве. «Исследователи продолжают выявлять новые уязвимости, — заявляет Джонсон, — и нам действительно нужен комплексный подход к обмену информацией об аномалиях, уязвимостях и стратегиях реагирования, чтобы избежать скоординированных широкомасштабных атак на инфраструктуру».

Электромобили и связанные с ними зарядные станции — не единственные новые технологии и угрозы. «Программно-определяемое транспортное средство» — это полуновая архитектурная платформа (возможно, использовавшаяся более 15 лет назад компанией General Motors).GM
и OnStar), что некоторые производители намерены бороться с миллиарды долларов потрачены впустую на постоянной модернизации каждого транспортного средства. Базовая структура предполагает размещение большей части «мозгов» транспортного средства вне борта, что позволяет повторно использовать и гибко использовать программное обеспечение, но также представляет новые угрозы. Согласно тому же отчету Upstream, 40% атак за последние несколько лет были нацелены на внутренние серверы. «Давайте не будем обманывать себя, — предупреждает Хуан Уэбб, управляющий директор Kugler Maag Cie, — в автомобильной цепочке есть много мест, где могут произойти атаки, от производства до дилерских центров и внешних серверов. Хакеры будут атаковать везде, где есть самое слабое звено, доступ к которому дешевле всего с большими финансовыми последствиями».

Там часть того, что обсуждалось на эскаре, была плохой-хорошей-новостью (в зависимости от вашей точки зрения) Регламент ЕЭК ООН вступает в силу на этой неделе для всех новых типов транспортных средств: производители должны продемонстрировать надежную систему управления кибербезопасностью (CSMS) и систему управления обновлениями программного обеспечения (SUMS) для транспортных средств, которые будут сертифицированы для продажи в Европе, Японии и, возможно, в Корее. «Подготовка к этим сертификатам требует немалых усилий, — говорит Томас Лидтке, специалист по кибербезопасности, также работающий в Kugler Maag Cie.

Хорошие новости

Прежде всего, лучшая новость заключается в том, что компании услышали боевой клич и минимально начали прививать необходимую строгость для борьбы с вышеупомянутыми врагами Black Hat. «В 2020–2022 годах мы наблюдаем рост числа корпораций, желающих провести анализ угроз и оценку рисков или TAR.AR
А», — утверждает Лидтке. «В рамках этих анализов рекомендуется сосредоточиться на типах атак с дистанционным управлением, поскольку они приводят к более высоким значениям риска».

И весь этот анализ и строгость поначалу, кажется, возымели действие. Согласно отчету, предоставленному Самантой («Сэм») Изабель Бомонт из IOActive, только 12% уязвимостей, обнаруженных в их тестировании на проникновение в 2022 году, были признаны «критическими» по сравнению с 25% в 2016 году, и только 1% были «критически вероятными» по сравнению с 7% в 2016 году. XNUMX% в XNUMX году. «Мы видим, что нынешние стратегии устранения рисков начинают окупаться», — заявляет Бомонт. «Отрасль становится все лучше и лучше».

Означает ли это, что с отраслью покончено? Конечно нет. «Все это — непрерывный процесс защиты конструкций от постоянно меняющихся кибератак», — предполагает Джонсон.

Тем временем я отпраздную последнюю хорошую новость, которую я почерпнул: российские хакеры заняты взломом российских активов, а не моей лентой в социальных сетях.