A Connected Car Security egy újfajta mobil biztonsági kockázat
az év elején közzétettünk egy cikket arról, hogy szükség van egy kiberbiztonsági ébresztésre az autóiparban. A történet középpontjában a Synopsys iparági jelentése állt, amely kritikus vörös zászlókat vetett fel az autóipari ellátási láncban működő összes szervezet számára.
ugorjunk egy kicsit több mint fél évvel későbbre (egy örökkévalóság a tech világban), és úgy tűnik, több ok van az optimizmusra.
ismét megkerestem Chris Clarkot, a Synopsys-t, hogy ne csak azt lássam, hol állnak a dolgok, hanem azt is, hogy a fogyasztó szemszögéből ellenőrizzem a csatlakoztatott autók biztonságának állapotát. Clark elmondta nekem, hogy mióta utoljára februárban beszéltünk, az ipar nagyon gyorsan reagált a felmerülő biztonsági kihívásokra.
“amikor megjelenik egy olyan szervezet, mint a Volkswagen, és kijelenti, hogy nemcsak a járműfejlesztés jövője kritikus a szervezet számára, hanem a szervezet által fejlesztett járművek biztonsága is, az mond valamit” – mondta.
lépést tartani a folyamatosan változó Autótechnikával
Clark szerint az iparág egyik legnagyobb biztonsági kihívása a jármű koncepcionális kezdete és az esetleges bevezetése közötti hosszú késés, amely gyakran öt év is lehet. Ez idő alatt újabb biztonsági technológiák lépnek életbe, így az eredeti berendezésgyártók (OEM-ek) és az ellátási lánc más szervezetei inkább a biztonságra gondolnak.
“nagyon jelentős lépéseket tesznek előre” – mondta Clark. “A kihívás része az, hogy amikor egy jármű tervezését és a biztonságot az alapoktól kezdve nézzük, akkor meg kell vizsgálnunk azokat a chipeket, amelyek a rendszert vezetik. Ha vannak gyengeségek a chip szintjén, akkor nem igazán számít, hogy mekkora biztonságot teszel rá, még mindig van gyengeség.”
nemrégiben azt mondta, hogy a chipgyártókat arra ösztönzik, hogy sokkal robusztusabb, biztonságosabb megoldásokat kínáljanak.
“ezt a biztonság szempontjából kritikus környezetben kezdjük jobban látni, különösen a látórendszerekhez és más szenzorhálós technológiákhoz szükséges többmagos feldolgozással. Az iparág elég gyorsan reagál, és elég lenyűgöző látni eddig ” – tette hozzá Clark.
kerekes hálózat
ne feledje, hogy a mai autót — még a legalapvetőbb nemrégiben kiadott járművet is — számítógépek vezetik. Legyen szó sebességtartó automatikáról, sávkezelésről, sávmérésről vagy az infotainment rendszerről, van egy számítógép, amely vezeti. Clark szerint, amikor egy autóról beszélünk, ez valójában egy “kerekes hálózat egy csomó számítógéppel.”
a hálózat középpontjában a legtöbb jármű esetében talán meglepő módon az infotainment rendszer áll. És ez nem csak az 5G kapcsolat; a ZigBee-vel felfegyverzett intelligens járművek csatlakozhatnak az intelligens otthoni rendszerekhez. Például, amikor az autók közelebb kerülnek az otthonhoz, kölcsönhatásba léphetnek az otthoni infrastruktúrával, és kommunikálhatnak a jármű állapotáról a tulajdonossal.
és mint minden hálózat, érdemes megemlíteni, hogy az autó most jelentős mennyiségű adatot gyűjt. A kutatók még sikeresek voltak a személyazonosításra alkalmas információk (PII) lekérésében a bérautókból.
erre nem gondolunk eléggé — emlékszem, hogy tavaly autót béreltem, és határozottan csatlakoztattam az okostelefonomat a CarPlay rendszerhez. Hagytam személyes információt az autó agyában? Elismerem, hogy a szívem kihagyott néhány ütést, amikor Clark felhozta ezt.
minden olyan vállalkozásnak, amelynek járműparkja van az alkalmazottak számára, figyelembe kell vennie ezt az Adatvédelmi kérdést is.
Connected Car Security sütött a kezdetektől
ami az Általános connected car security, autógyártók kell kezdeni az alapvető tevékenységek a jármű tervezési folyamat. Az olyan eszközöknek, mint a fuzz tesztelés és a statikus kódelemzés, szabványosnak kell lenniük, és a gyártók közötti szabványosítás szélén állnak.
az autógyártók számára is kritikus fontosságú a műszaki adósság kezelése, miután a jármű elhagyta a gyártást. Sok esetben az egyetlen alkalom, amikor a járművet szervizelik, a kereskedőnél van — ekkor gyakran szoftverfrissítést kap.
“a szervezeteknek meg kell vizsgálniuk, hogyan kezeljék a szoftvert ezekben az autókban a jármű élettartama alatt” – mondta Clark. “Tehát a virtualizáció kulcsszerepet fog játszani ebben.”
mivel a gyártók nem tudják járművük minden változatát a tételben tartani tesztelésre, Clark azt tanácsolta, hogy hozzon létre egy virtualizált környezetet a jármű utánzásához. Ezután elvégezhetik a biztonsági rések kezeléséhez szükséges tesztelési szintet, amint azok a jármű élettartama alatt felmerülnek. Bár ez komoly kihívást jelent az autók jelenlegi termése számára, a járművek számára a következő években könnyebbé válik, amikor virtualizáltabb munkakörnyezetek válnak elérhetővé.
végül, az iparágat érintő különféle hackek kezelése során Clark látta, hogy az OEM-ek sokféle módon közelítik meg a problémát.
“a sokféleség nagyon jó, ha elkezdesz beszélni a biztonságról” – mondta Clark. “Ahogy ezek a különböző módszerek kezdenek kiforrottá válni, és látjuk, hogy egyes módszerek jobban működnek, mint mások, elkezdjük látni, hogy a szolgáltatók mindenütt olyan szabványosított fejlesztési módszertanokat és technológiai megoldásokat találnak ki, amelyek végül a fogyasztó javát szolgálják.”
gyakorlati tanácsok a fogyasztóknak
azoknak a fogyasztóknak, akik “okosabb” autót szeretnének vásárolni, számos lehetőség és funkció áll rendelkezésre, amelyek könnyen felülmúlhatják még a legtakarékosabb autós rajongókat is. Clark szerint, van néhány kérdés, amelyet fel kell tennie magának:
- van-e a járműnek olyan múltja, amely az életciklusa során bizonyos szervizelési és támogatási potenciállal rendelkezik?
- rendelkezik-e a jármű azokkal a technológiai tulajdonságokkal, amelyeket érdekesnek találok, és integrálódik-e az otthonomba, a telefonomba és az Általános életmódomba?
- ha sokkal több elektronika van ebben a járműben, mint a legtöbb, mi fog kinézni biztosítási szempontból?
ez az utolsó kérdés további vitát igényel. A Synopsys a fogyasztói érdeklődés növekedését jósolja a járművekre vonatkozó ésszerű kiberbiztonsági követelmények iránt, különösen akkor, ha a vásárlás után elkezdik megnézni biztosítási számláikat.
“általában a legtöbb fogyasztó csak akkor reagál, amikor pénzügyi csapást érez, és ahol úgy érzi, hogy ez a biztosítás” – mondta Clark, megjegyezve, hogy a biztosítási ágazat nagyon alaposan megvizsgálja a jövőbeli járműveket. “Az elmúlt három évben jelentős munka történt a biztosítási ágazat számára, hogy megvizsgálja a kiberbiztonságot, mivel nemcsak az autonóm járművekre vonatkozik, hanem azokra a járművekre is, amelyek több elektronikával rendelkeznek, mint valaha.”
ahogy a járművek a teljes autonómia felé haladnak olyan funkciókkal, mint az önjavítás és az öndiagnosztika, a biztonság és a biztonság minden bizonnyal figyelembe veszi a biztosítási díjakat. Ez a fogyasztók pénzügyi döntéseiben is szerepet fog játszani.
az optimizmus a mély fenyegetések ellenére is fennmarad
a történet írása során a CNN egy FBI figyelmeztetést adott ki, amely szerint “az autóipar valószínűleg a közeljövőben számos számítógépes fenyegetéssel és rosszindulatú tevékenységgel fog szembenézni.”
ez minden bizonnyal riasztást ad, de ha abbahagyja a gondolkodást, melyik iparágat nem veszik célba a kiberfenyegetések? Nem kétlem, hogy óvatosnak kell lennünk, de ez nem erősíti meg azt az érvet, miszerint mindannyiunknak nagyobb figyelmet kell fordítanunk a kiberbiztonságra általában? Szerencsére Clark elmondta nekem, hogy az összes gépjármű-szolgáltató egyetemes köznyelvet fejleszt ki arra vonatkozóan, hogyan osztják meg az információkat a csatlakoztatott autó biztonsági követelményeiről.
“az iparág kezd igazodni a közös nyelvhez, amelyet megoszthatnak, hogy világos és következetes megértést kapjanak arról, amit kérnek” – mondta. “Ez nagy előrelépés ahhoz képest, amit az elmúlt években láttunk.”
annyi pesszimizmus körül az állam a fenyegetés táj az iparban, ez biztos biztató hallani, hogy a gyártók átfogó biztonsági koncepciók, mint valaha. Ennek ellenére az ipar nem engedheti meg magának, hogy levegye a lábát a kiberbiztonsági gázpedálról.
