[Перевод] Кибербезопасность? Да, теперь и ваша машина в зоне риска

v7upfw9fanwwrlpxnhqnxfai3li.png

В автомобилестроении примерно шесть лет назад всерьез взялись за кибербезопасность, начали инвестировать в проектирование и развертывание киберзащитных решений. Сегодня в автомобильной индустрии кибербезопасность обеспечивается как аппаратными, так и программными решениями, но предстоит долгий путь, прежде чем все до одного ECU (электронные блоки управления) в машине будут защищены от активизирующихся кибератак. 

Кибербезопасность в автомобилестроении гораздо сложнее, чем на смартфонах и ПК, по двум основным причинам:  

  1. Десятки ЭБУ в каждой машине, соединенные множеством электронных шин и отвечающих за различные скорости и характеристики, и 
  2. Множество потенциальных точек доступа, как расположенных внутри автомобиля, так и удаленных, в частности, OBDII, USB и SD-порты, бесключевой доступ, Bluetooth и Wi-Fi, встроенный модем, датчики, инфотейнмент или приложения для смартфонов, а также множество подключений с применением телематики и других облачных систем, имеющих доступ к системам автомобиля.

Повод для оптимизма — в том, что в области автомобильной кибербезопасности все больше делается для оснащения автомобиля собственным аппаратным и программным обеспечением, а также для развития облачных платформ, обеспечивающих кибербезопасность. Формируется несколько стандартов и регламентов, регулирующих кибербезопасность, что дополнительно способствует развертыванию киберзащитных решений во всех подключенных автомобилях. 

В следующей таблице обобщены аспекты кибербезопасности, затронутые в этой авторской колонке. Дополнительная информация будет изложена в другой авторской колонке на эту тему.


Источник таблицы: Эджил Джулиуссен, май 2021

Статус киберугроз

Компания Upstream Security опубликовала несколько годовых отчетов с анализом кибератак на автомобили. Новейший из этих отчетов, выпущенный в начале 2021 года (доступен по адресу:  https://upstream.auto/2021report/) содержит данные за период с 2010 по 2020 и рассматривает более 200 кибер-инцидентов с автомобилями по всему миру. 

В отчет включена информация о глубоких сетях и даркнете, где киберпреступники, специализирующиеся на автомобилях, могут общаться, сохраняя значительную анонимность. Существуют форумы, где подробно обсуждаются атаки на подключенные транспортные средства, доступ к конфиденциальным данным, перехват управления автомобилем и способы угона машины. Даже в «поверхностном» вебе киберпреступники часто находят интернет-магазины, торгующие инструментами для взлома, сервисами, отключающими иммобилайзеры, кодграбберами, а также руководствами по угону машин.  


В данном случае интересно рассмотреть направления атак, также называемые векторами. Из этой таблицы четко следует, что наиболее популярны две цели: облачные сервера являются воротами почти для 33% всех кибератак, поскольку хакеры пытаются получить доступ к ценным данным, которые могут быть использованы для взлома киберзащиты автомобиля. Незащищенный бесключевой доступ или электронные брелоки также часто используются для проникновения в машину и угона. Замыкают тройку мобильные приложения: через них осуществляется почти 10% кибератак.

Интересно, что суммарная доля удаленных атак составляет почти 80%, а доля физических атак — около 20%.

Upstream также классифицирует источники кибератак по категориям «белая шляпа» и «черная шляпа». Белая шляпа — знак хакера, не имеющего преступных намерений. В основном это исследователи, взламывающие системы для оценки степени их надежности и выявления уязвимостей. Такие исследователи часто получают от взломанной ими компании приглашение на работу и/или вознаграждение. Черная шляпа — атрибут хакера, взламывающего системы из корыстных или прочих преступных побуждений. В 2020 году на категорию «черных шляп» пришлось 54,6% всех кибератак, по сравнению с аналогичным показателем 49,3% за период с 2010 по 2020.

Хакеры-исследователи также открывают новые уязвимости, независимо или в рамках программ по поиску уязвимостей (bug bounty). Участники таких программ получают вознаграждение, если находят уязвимости в транспортных средствах и подключенных к ним сервисах. Список автокомпаний, ведущих такие программы, только растет: здесь уже и «Тесла», а также «Дженерал-Моторз», «Форд», «Фиат-Крайслер», «Даймлер» и другие. Они участвуют в программах bug bounty на специализированных платформах, например, BugCrowd, HackerOne, либо ведут их на собственных сайтах.

Уязвимости, обнаруженные в программных компонентах, публикуются в отчетах по «общеизвестным уязвимостям информационной безопасности» (CVE) в рамках программы, запущенной корпорацией MITRE в 1999. Всего известно 110 таких отчетов, связанных с автопромом, причем, за 2020 год поступило 33, а за 2019 — 24.   

ISAC в автопроме

В большинстве отраслей сформированы организации для борьбы за кибербезопасность; обычно их называют «Центрами обмена информацией и анализа» (ISAC). Организация Auto-ISAC создана в августе 2015 года; она оперирует центральным узлом по обмену, отслеживанию и анализу выявленных данных о киберугрозах, уязвимостях и инцидентах, связанных с подключенными транспортными средствами. Ее штаб-квартира находится в Вашингтоне, округ Колумбия, сайт в Интернете: Auto-ISAC — Automotive Information Sharing & Analysis Center (automotiveisac.com).

На организации, состоящие в Auto-ISAC, приходится более 99% легковых автомобилей, проданных в Северной Америке; также эта организация включает более 45 глобальных производителей оборудования (OEM) и поставщиков. Членство в Auto-ISAC расширилось, в нем уже участвуют производители запчастей для тяжелых грузовиков и их поставщики, а также сектор коммерческого транспорта, в частности, таксопарки. К числу поставщиков относятся компании высшеего эшелона, такие как Argo, Intel, Motional и Waymo.

Также идет кооперация с другими организациями. Auto-ISAC координирует работу с 23 другими ISAC, контролирующими ключевые инфраструктурные сферы, в частности, здравоохранение, авиацию, телекоммуникации и финансовые услуги.

ENISA


Агентство по сетевой и информационной безопасности Евросоюза (ENISA) — это орган ЕС, занимающийся обеспечением кибербезопасности в масштабах Европы. ENISA участвует в формировании киберполитики ЕС, способствует повышению доверия к продукции ИКТ, услугам и процессам, связанным с сертификацией кибербезопасности.  ENISA активно действует в области киберзащиты автомобилей и выпустило несколько важных отчетов.

В феврале 2021 года ENISA опубликовало документ «Вызовы кибербезопасности, связанные с внедрением искусственного интеллекта в автономном вождении». Отчет позволяет составить впечатление о вызовах кибербезопасности, связанных с использованием ИИ-технологий в автомобилях. Проблема описана в контексте политики, реализуемой как на европейском, так и на более широком международном уровне.

В ноябре 2019 года ENISA опубликовало документ «Рекомендации по обеспечению информационной безопасности умных автомобилей». В данном отчете определены рекомендуемые практики по обеспечению безопасности подключенных автомобилей и полуавтономных транспортных средств. В 2017 году ENISA опубликовало документ «Кибербезопасность и надежность умных автомобилей», в котором основное внимание уделено рекомендуемым практикам для производителей автомобильных комплектующих и для поставщиков с целью защитить встраиваемые автомобильные системы от кибератак.

Основное требование к стандартам и регламентам в области кибербезопасности — защитить автомобиль на протяжении всего его жизненного цикла, от проектирования, до производства и далее до использования клиентом.  

После двухлетней подготовки и редактирования ООН 24 июня 2020 года приняла документ WP.29 ЕЭК, регулирующий вопросы кибербезопасности. WP.29 действует в 54 странах, в том числе, ЕС, Великобритании, Японии и Южной Корее. На эти 54 страны приходится около 35% мирового производства автомобилей. Во многих других странах принимаются автомобили, соответствующие нормам ООН. США не входят в число этих 54 стран. Все производители, в том числе, автопроизводители из США, продающие автомобили на этих рынках, должны следовать требованиям кибербезопасности, изложенным в WP.29, применительно ко всей их продукции и процессам.

Регламенты ООН являются юридически обеспеченными. Если страна или регион принимает регламент WP.29, то всем действующим в ней производителям комплектующих требуется доказательство соответствия для прохождения обязательной сертификации и дальнейшего права работы на рынке. В Европе прохождение обязательной сертификации требует взаимного признания соответствия нормам на уровне всего автомобиля. Если производитель получает сертификат на автомобиль определенного типа в одной стране ЕС, то может продавать такую модель во всех странах ЕС без дальнейших проверок.

Регламент WP.29 состоит из двух основных директив по кибербезопасности автомобилей. Подробнее о них в следующем разделе.

ISO/SAE 21434 разрабатывает новый стандарт кибербезопасности для транспортных средств, с акцентом на дополнительное обеспечение кибербезопасности на этапе инженерной проработки автомобиля. Этот стандарт описывает требования по управлению рисками, связанными с кибербезопасностью, делая акцент на выстраивании процесса и общей терминологии для обмена информацией по таким рискам и их устранению. Стандарт не содержит описания конкретных технологий или предложений по конкретным решениям, связанным с кибербезопасностью.

Этот стандарт разработан совместной рабочей группой от организаций ISO и SAE и будет опубликован обеими. Более 25 автопроизводителей и 20 поставщиков высшего эшелона участвуют в разработке стандарта. Чистовая версия стандарта ISO/SAE 21434 была подготовлена в марте 2021 года. Вероятно, публикация стандарта откладывается до 2022 года.

Работы по стандартизации, проводимые ISO/SAE 21434, связаны и разрабатываются в координации с деятельностью ЕС и ЕЭК по документу WP.29.

Еще один важный стандарт — Uptane, разработанный для обновлений программ OTA. Uptane официально введен в январе 2017. Альянс Uptane образован в 2018. Это некоммерческая организация под эгидой Отраслевой организации IEEE по стандартам и технологиям (ISTO). Uptane был оформлен в виде стандарта IEEE/ISTO 6100 в июле 2019, тогда вышла версия 1.0. Альянс Uptane будет обеспечивать надзор над новыми стандартами Uptane, так, версия Uptane 1.1 была введена в январе 2021. Многие компании предлагают программные продукты, соответствующие стандарту Uptane. software products.

Документ по кибербезопасности WP.29 ЕЭК


В июне 2020 было принято две новых регулирующих нормы ООН по кибербезопасности, в рамках документа WP.29. Обе регулирующих нормы применимы к транспортным средствам всех типов, обновлены в марте 2021. Внедрение этих норм в некоторых странах начнется в 2021 и 2022 годах, более широкое внедрение — в 2023 и 2024 годах. 

В первом документе основное внимание уделяется кибербезопасности и системам управления кибербезопасностью (CSMS). Последнее обновление документа CSMS доступно по адресу:  E/ECE/TRANS/505/Rev. 3/Add.151 (unece.org).

Определение WP.29 CSMS: под CSMS понимается систематический подход на основе оценки рисков, который определяет организационные процессы, зоны ответственности и управление для правильной трактовки рисков, связанных с киберугрозами транспортным средствам и с защитой транспортных средств от кибератак.

В документе CSMS отлично рассмотрены угрозы, связанные с кибербезопасностью, приведен обширный список уязвимостей и методов атаки. В приложении 5 содержится 10 страниц с описанием уязвимостей, распределенных по множеству категорий. В первой из таблиц, приведенных ниже, обобщены угрозы и уязвимости. Существует 6 типов угроз и множество типов уязвимостей (29) со множеством примеров (67), перечисленных в документе CSMS.


В следующей таблице резюмированы меры по предотвращению угроз из области кибербезопасности, описанные в документе CSMS. Данные из таблицы B описывают угрозы, возникающие на борту автомобиля, данные из таблицы C — угрозы, возникающие вне автомобиля.
Если вам интересна тема автомобильной безопасности, рекомендуем изучить оригинал документа со всеми данными.

Второй регулирующий документ касается процессов обновления программным обеспечением и систем управления такими обновлениями (SUMS). Документ SUMS доступен по адресу:  E/ECE/TRANS/505/Rev. 3/Add.151 (unece.org).

Определение WP.29 SUMS: Система управления обновлениями программ — это систематический подход, определяющий, какие организационные процессы и процедуры должны соответствовать требованиям по доставке программных обновлений согласно данному регулирующему документу.  

Новая регулирующая норма ООН об универсальных предпосылках к обновлениям программ и системам управления обновлениями программ применяется к автомобилям, работа которых зависит от обновления ПО. Данная норма также касается трейлеров и сельскохозяйственной техники, а также пассажирского транспорта, фургонов, грузовиков и автобусов.

При обновлении программ по WP.29 от производителя комплектующих требуется:

  • Записывать версии программного и аппаратного обеспечения для каждого типа транспортных средств.
  • Документировать процедуру обновления ПО 
  • Идентифицировать программы, важные для прохождения обязательной сертификации 
  • Убедиться, что программное обеспечение данной комплектующей работает верно 
  • Идентифицировать взаимозависимости программных компонентов для последующих обновлений 
  • Идентифицировать целевые транспортные средства и убедиться, что они совместимы с обновлением 
  • Определить, влияет ли обновление на безопасность, в частности, безопасность вождения 
  • Оценить, сказывается ли обновление ПО на прохождении обязательной сертификации 
  • Информировать автовладельцев об обновлениях

Производитель комплектующих для транспортного средства должен выполнять следующие требования:
  • Разработать систему управления обновлениями программ для всех своих автомобилей, находящихся в эксплуатации. 
  • Защитить процедуру обновления ПО, обеспечив ее целостность и аутентичность.
  • Защитить идентификационные номера ПО 
  • Гарантировать, что идентификационный номер ПО проставлен на автомобиле в удобочитаемом виде.
  • При обновлении программ в онлайновом режиме необходимо:

VPS серверы от Маклауд быстрые и безопасные.

Зарегистрируйтесь по ссылке выше или кликнув на баннер и получите 10% скидку на первый месяц аренды сервера любой конфигурации!

et1aypandyuamqprsz3m2ntm4ky.png

© Habrahabr.ru