Антивируси за коли: нова арена за надпревара

Вечната игра на „котка и мишка” от света на компютрите се премества при автомобилите
(снимка: CC0 Public Domain)

Организациите от автомобилната индустрия са задължени да спазват множество изисквания по отношение на безопасността на автомобилите и пътниците, така че разглеждането на въпроса за киберсигурността на компютризираните, „свързани” превозни средства, поне на теория, не би трябвало да е огромен проблем. Но може би все пак е.

Бързата дигитализация на всичко в автомобила вече отвори една нова арена за постоянна надпревара между злите гении, мотивирани от финансова изгода, и разработчици на системи за сигурност. Изглежда че вечната игра на „котка и мишка”, която от много години се разиграва в света на компютрите, съответно вирусите и антивирусите, сега е на път да се премести на територията на автомобилите.

Нарастващ риск за хората

Бандитите редовно намират начини да крадат коли, като използват уязвимости в съвременните системи за заключване без ключ. Все по-често изследователи демонстрират и как нападателите могат да бърникат в настройките на автомобила, в информационно-развлекателната система, в спирачната система, в кормилната система. И все пак досега не сме станали свидетели на действителните атаки спрямо безопасността на хора, където хакери да са осъществили подобен пъклен набег – да деактивират спирачките или да завъртят волана на движеща се кола с хора вътре. Но и това някога ще се случи.

Една от причините белята да не е станала досега е, че киберпрестъпниците обикновено търсят пари. Те не са заинтересовани да навредят на хора. Даже напротив, те внимават да не навредят на хората, защото това рязко променя потенциалното обвинение – стават подсъдими за убийство. Но подобна картина не значи, че злодействата винаги ще бъдат в „бъдеще неопределено” време.

Намесата в автомобилните ИТ има голям потенциал да се използва злонамерено. Можем да си представим какъв ефект би имало овладяването на кормилната система, например, от хакери-изнудвачи. В тяхната хватка могат да попаднат лични автомобили, но много по-„интересно” би било, ако са служебни автомобили на фирми, каквито сега са обект на рансъмуер нападения. Да не говорим колко по-лесно става отвличането на автобус с ученици.

Проблем е, че доказването на подобен вид атака е доста трудно. „Ако се случи инцидент, в момента няма орган, който да разследва случилото се. Още повече, че в повечето автомобили няма и мерки за наблюдение на подобни инциденти. Така че, ако се опитате и успеете, никой дори няма да разбере, да не говорим да започне разследване”, отбелязва Натаниел Мерон, главен продуктов директор и маркетинг в C2A Security, доставчик на автомобилни решения за киберсигурност, в публикация на Helpnetsecurity.

Една от предпоставките за подобен род атаки е, че ИТ мрежите на производителите на оригинално оборудване (OEM) вече неведнъж са хаквани от рансъмуер-банди. С подобен опит злодеите биха могли да отидат доста далеч и да разпрострат атаките си така, че стотици хиляди автомобили да останат „на трупчета” някой ден – и от собствениците им да се иска откуп.

Когато това се случи – защото е въпрос на време – и в зависимост от мащаба на атаката случаят може да се окаже унищожителен за производителите: това може да доведе до пълен фалит. И макар че е трудно да се каже кога може да приключи сегашният „гратисен период”, OEM производителите трябва да приемат факта, че един ден със сигурност ще им се случи. И трябва да използват наличното време, за да работят по защитата.

Управление на киберсигурността на превозното средство

Автомобилната индустрия обхваща широк кръг от компании и организации, чиято крайна цел е да произвеждат и продават моторни превозни средства. OEM производителите – известни марки като BMW, GM, Ford и други – планират и проектират автомобилите. След това си набавят необходимите части и системи от различни доставчици. Доставчиците от така нареченото „ниво 1” са специализирани в различни ниши: например, някои правят усъвършенствани системи за подпомагане на водача (ADAS), други правят седалки, трети правят стъкла.

Компютрите в автомобилите стават все повече и също се произвеждат от външни доставчици. Тези компютри контролират все по-голяма част от всичко, което се случва вътре в автомобила. Контролът на превозното средство сега е напълно дигитализиран. Нападателите биха могли да поемат контрол над ADAS системата в колата и по този начин да добият пълен контрол върху функциите на превозното средство, свързани с безопасността – управление, спиране.

„Днешната сложна архитектура на свързаните превозни средства е по същество по-уязвима към кибератаки. Свързаните превозни средства могат да съдържат в себе си до 150 електронни контролни блока. Те работят с около 100 милиона реда програмен код. Утрешните превозни средства могат да съдържат още повече – до 300 милиона реда софтуерен код. Кибератаките, използващи нарастващата дигитализация на превозните средства, представляват значителен риск за производителите, собствениците на превозни средства, шофьорите и пешеходците”, отбеляза Мерон.

Всеки OEM се опитва да измисли своя собствена отбранителна стратегия. Всеки използва разнообразни инструменти, каквито пазарът предлага. Кой от тях доколко има експертиза – е спорна тема. В крайна сметка всички доставчици трябва да намерят начин да направят така, че да гарантират киберсигурността на превозното средство през целия му жизнен цикъл, от първия ден до извеждането му от експлоатация.

Предизвикателството е колосално

„Разбирането на веригата за доставки на дадено превозно средство е от съществено значение за разбирането как то да се наблюдава и защитава. За да могат професионалните екипи за киберсигурност да защитят своите продукти, те трябва да имат пълен поглед върху вътрешната работа на превозното средство. Предоставянето на 360-градусов надзор върху функционирането на контрола за сигурност на OEM производителите прави съответната информация лесно достъпна и следователно управляема”, казва Мерон. Но това я прави и лесна мишена в същото време.

Стандарти и разпоредби

Всичко дотук говори, че киберсигурността на съвременните силно дигитализирани автомобили е като одеяло, съставено от кръпки. Мерон съветва потенциалните купувачи да изчакат, докато производителите на оригинални продукти започнат да прилагат прилични и координирани мерки за сигурност и докажат това на пазара.

Той се надява, че скоро ще станем свидетели на въвеждането на цялостна, наднационална програма за оценка на киберсигурността на автомобилите, която да гарантира на потребителите, че техните превозни средства са безопасни и сигурни.

Междувременно в момента се „коват” някои стандарти и разпоредби за киберсигурността на автомобилите: новите правила за киберсигурност WP.29 и новият стандарт ISO 21434. Те изискват категорично прилагането на системи за управление на киберсигурността за защита на превозни средства.

„Заедно с допълнителни стандарти, очаквани в бъдеще, като Закона за киберсигурността в ЕС, китайската програма ICV, нови насоки от JASPAR в Япония и законодателни предложения в САЩ, това са ярки примери за усилията за сътрудничество в цялата индустрия за създаване основа за автомобилната киберсигурност. Сега OEM производителите трябва самостоятелно да намерят своя практически начин за справяне с предизвикателството на управлението на жизнения цикъл на киберсигурността, като същевременно се придържат към тези стандарти”, заключи Мерон.