Sähkö- ja ohjelmistopohjaisen auton suojaaminen

"Putin on ad***pää. Kunnia Ukrainalle."

Näin hakkeroidut sähköajoneuvojen laturit lukivat äskettäin muun muassa Moskovan lähellä olevilla vammaisilla latausasemilla. Ja vaikka se tuo hymyn monien kasvoille ympäri maailmaa, se korostaa useiden tutkijoiden ja kehittäjien huomautusta, jotka kokoontuivat viime viikolla escar 2022 (konferenssi, joka keskittyy joka vuosi autoteollisuuden kyberturvallisuuden syvälliseen tekniseen kehitykseen): autoteollisuuden hakkerit ovat lisääntymässä. Itse asiassa per Upstream Automotiven raportti, kyberhyökkäysten taajuus on kasvanut huimat 225 % vuodesta 2018 vuoteen 2021, 85 % toteutettiin etänä ja 54.1 % vuoden 2021 hakkeroista on "Black Hat" (alias haitallisia) hyökkääjiä.

Tämän konferenssin erilaisten todellisten raporttien kuuntelun keskellä muutama asia tuli selväksi: on sekä hyviä että huonoja uutisia, jotka perustuvat jatkuvasti vaadittavaan keskittymiseen tällä kriittisellä alueella.

Huonot uutiset

Yksinkertaisimmillaan sanottuna huono uutinen on, että tekniikan kehitys vain lisää ensimmäisen päivän tapahtumien todennäköisyyttä. "Sähköajoneuvot luovat lisää teknologiaa, mikä tarkoittaa, että uhkia ja uhkapintoja on enemmän", sanoi Sandia National Laboratoriesin päätutkija Jay Johnson. "Vuoteen 46,500 mennessä on saatavilla jo 2021 2030 laturia, ja vuoteen 600,000 mennessä markkinoiden kysynnän mukaan niitä on noin XNUMX XNUMX." Johnson hahmotteli neljä ensisijaista kiinnostavaa rajapintaa ja alustavan joukon tunnistettuja haavoittuvuuksia sekä suosituksia, mutta viesti oli selvä: jatkuvaa "kutsua aseisiin" tarvitaan. Hän ehdottaa, että se on ainoa tapa välttää sellaisia ​​asioita kuin palvelunestohyökkäykset (DoS) Moskovassa. "Tutkijat jatkavat uusien haavoittuvuuksien tunnistamista", sanoo Johnson, "ja tarvitsemme todella kattavan lähestymistavan tietojen jakamiseen poikkeavuuksista, haavoittuvuuksista ja reagointistrategioista, jotta vältetään koordinoidut, laajalle levinneet hyökkäykset infrastruktuuria vastaan."

Sähköautot ja niihin liittyvät latausasemat eivät ole ainoita uusia teknologioita ja uhkia. "Ohjelmiston määrittämä ajoneuvo" on puoliuusi arkkitehtoninen alusta (*General Motorsin käyttämä ilmeisesti yli 15 vuotta sittenGM
ja OnStar), joita jotkut valmistajat pyrkivät torjumaan miljardeja dollareita hukkaan Kunkin ajoneuvon jatkuvasta kehittämisestä. Perusrakenne sisältää suuren osan ajoneuvon aivoista isännöinnin, mikä mahdollistaa ohjelmiston uudelleenkäytön ja joustavuuden, mutta tuo mukanaan myös uusia uhkia. Saman Upstream-raportin mukaan 40 prosenttia viime vuosien hyökkäyksistä kohdistui taustapalvelimiin. "Älkäämme huijatko itseämme", varoittaa Juan Webb, Kugler Maag Cien toimitusjohtaja, "autoketjussa on monia paikkoja, joissa voi tapahtua hyökkäyksiä aina valmistuksesta jälleenmyyjiin ja offboard-palvelimiin. Siellä missä on heikoin lenkki, joka on halvin tunkeutua ja jolla on suurimmat taloudelliset seuraukset, siellä hakkerit hyökkäävät."

Siinä osa siitä, mitä escarissa keskusteltiin, oli huono-uutinen-hyvä-uutinen (näkökulmastasi riippuen) UNECE-sääntö tulee voimaan tällä viikolla kaikille uusille ajoneuvotyypeille: valmistajien on esitettävä vankka kyberturvallisuuden hallintajärjestelmä (CSMS) ja ohjelmistopäivitysten hallintajärjestelmä (SUMS), jotta ajoneuvot voidaan sertifioida myyntiin Euroopassa, Japanissa ja lopulta Koreassa. "Näihin sertifikaatteihin valmistautuminen ei ole vähäistä vaivaa", toteaa Thomas Liedtke, kyberturvallisuuden asiantuntija myös Kugler Maag Ciestä.

Hyvät uutiset

Ensinnäkin paras uutinen on, että yritykset ovat kuulleet rallihuudon ja ovat alkaneet minimaalisesti juurruttaa tarvittavaa kurinalaisuutta taistellakseen edellä mainittuja Black Hat -vihollisia. "Vuosina 2020-2022 olemme nähneet lisääntyneen yritysten määrä, jotka haluavat tehdä uhka- ja riskianalyysin tai TAR:nAR
A”, Liedtke toteaa. "Osa analyysejä on suositeltu keskittyä kauko-ohjattuihin hyökkäystyyppeihin, koska ne johtavat korkeampiin riskiarvoihin."

Ja kaikella tällä analyysillä ja tarkkuudella näyttää aluksi olevan vaikutusta. IOActiven Samanthan ("Sam") Isabelle Beaumontin toimittaman raportin mukaan vain 12 % heidän vuoden 2022 penetraatiotesteissä löydetyistä haavoittuvuuksista katsottiin "kriittiseksi vaikutukseksi" verrattuna 25 %:iin vuonna 2016, ja vain 1 % oli "kriittinen todennäköisyys" verrattuna. 7 % vuonna 2016. "Näemme nykyisten riskienkorjausstrategioiden alkavan tuottaa tulosta", Beaumont toteaa. "Teollisuus alkaa rakentaa paremmin."

Tarkoittaako se, että teollisuus on valmis? Ainakaan. "Kaikki tämä on jatkuvaa prosessia suunnitelmien kovettamiseksi kehittyviä kyberhyökkäyksiä vastaan", Johnson ehdottaa.

Sillä välin juhlin viimeistä keräämääni hyvää uutista: venäläiset hakkerit hakkeroivat venäläistä omaisuutta sosiaalisen median syötteeni sijaan.