Кибербезопасность? Да, теперь и ваша машина в зоне риска

в 12:16, , рубрики: безопасность умных автомобилей, Блог компании Маклауд, Взлом автомобилей, взлом умных устройств, информационная безопасность, смарт автомобили, умные автомобили, умный дом
Кибербезопасность? Да, теперь и ваша машина в зоне риска - 1

В автомобилестроении примерно шесть лет назад всерьез взялись за кибербезопасность, начали инвестировать в проектирование и развертывание киберзащитных решений. Сегодня в автомобильной индустрии кибербезопасность обеспечивается как аппаратными, так и программными решениями, но предстоит долгий путь, прежде чем все до одного ECU (электронные блоки управления) в машине будут защищены от активизирующихся кибератак. 

Кибербезопасность в автомобилестроении гораздо сложнее, чем на смартфонах и ПК, по двум основным причинам: 

  1. Десятки ЭБУ в каждой машине, соединенные множеством электронных шин и отвечающих за различные скорости и характеристики, и 
  2. Множество потенциальных точек доступа, как расположенных внутри автомобиля, так и удаленных, в частности, OBDII, USB и SD-порты, бесключевой доступ, Bluetooth и Wi-Fi, встроенный модем, датчики, инфотейнмент или приложения для смартфонов, а также множество подключений с применением телематики и других облачных систем, имеющих доступ к системам автомобиля.

Повод для оптимизма – в том, что в области автомобильной кибербезопасности все больше делается для оснащения автомобиля собственным аппаратным и программным обеспечением, а также для развития облачных платформ, обеспечивающих кибербезопасность. Формируется несколько стандартов и регламентов, регулирующих кибербезопасность, что дополнительно способствует развертыванию киберзащитных решений во всех подключенных автомобилях. 

В следующей таблице обобщены аспекты кибербезопасности, затронутые в этой авторской колонке. Дополнительная информация будет изложена в другой авторской колонке на эту тему.

Автомобильная кибербезопасность: текущее состояние
Тема Ключевая информация Прочая информация
Статус угроз, касающихся кибербезопасности
  • Предшествующий отчет по работам в области автомобилестроения
  • Ссылка на отчет: https://upstream.auto/2021report/
  • Доля black hat-атак от общего числа увеличивается

  • Подробности о 207 кибератаках на автомобили в 2020 году
  • Рассмотрены 633 кибератаки за период с 2010 по 2020 годы
  • Доля Black Hat в 2020: 54,6%, 2010-2020: 49,3%

Организации, обеспечивающие кибербезопасность
  • Auto-ISAC: хаб для обмена информацией о кибербезопасности
  • ENISA: агентство ЕС по вопросам кибербезопасности 

  • В глобальном масштабе – более 45 участников: оригинальные производители оборудования и поставщики
  • Множество отчетов о кибербезопасности в автомобильной индустрии

Регламентация кибербезопасности
  • Документ WP.29 ЕЭК ООН: вскоре значительно повлияет на отрасль
  • Стандарт ISO/SAE 21434 в разработке
  • Фреймворк IEEE Uptane; киберзащита для обновлений OTA  

  • 54 страны придерживаются WP.29 ЕЭК ООН
  • Чистовая версия документа подготовлена в марте 2021 года
  • Программный фреймворк под Linux

Документ WP.29 ЕЭК ООН, посвященный кибербезопасности 
  • Регулирующий документ WP.29 принят в июне 2020 года
  • CSMS: системы управления кибербезопасностью
  • SUMS: системы управления обновлениями программ
  • Внедрение начинается в 2021 и 2022 годах 

  • Два новых регулирующих документа внедряются в 2021-2022
  • Регулирующий документ объемом 30 страниц: 03/21
  • Регулирующий документ объемом 16 страниц: 03/21
  • Стремительное наращивание в 2023 и 2024 годах 

Обзор технологий кибербезопасности
  • Аппаратное обеспечение кибербезопасности
  • Встраиваемое ПО для кибербезопасности
  • Облачное отслеживание кибербезопасности

Подробнее в другой авторской колонке на тему кибербезопасности
Игроки на рынке кибербезопасности
  • Компании, занятые разработкой киберзащитного ПО
  • Обзор кибербезопасности в компаниях 1-го эшелона
  • Защищенные чипы для процессоров

  • Argus, GuardKnox, Upstream, другие
  • Bosch, Conti, Harman, другие 
  • NXP, Renesas, другие 

Потенциал рынка кибербезопасности
  • Программные клиенты для кибербезопасности
  • Облака для кибербезопасности, предоставляемые как SaaS

Подробнее в другой авторской колонке на тему кибербезопасности

Источник таблицы: Эджил Джулиуссен, май 2021

Статус киберугроз

Компания Upstream Security опубликовала несколько годовых отчетов с анализом кибератак на автомобили. Новейший из этих отчетов, выпущенный в начале 2021 года (доступен по адресу: https://upstream.auto/2021report/) содержит данные за период с 2010 по 2020 и рассматривает более 200 кибер-инцидентов с автомобилями по всему миру. 

В отчет включена информация о глубоких сетях и даркнете, где киберпреступники, специализирующиеся на автомобилях, могут общаться, сохраняя значительную анонимность. Существуют форумы, где подробно обсуждаются атаки на подключенные транспортные средства, доступ к конфиденциальным данным, перехват управления автомобилем и способы угона машины. Даже в «поверхностном» вебе киберпреступники часто находят интернет-магазины, торгующие инструментами для взлома, сервисами, отключающими иммобилайзеры, кодграбберами, а также руководствами по угону машин.  

Направления атак в автопроме: 2010-2020
Аппаратный или программный компонент Доля от целого
Облачные серверы 32,9%
Бесключевой доступ/брелок для ключей 25,3%
Мобильное приложение 9,9%
Порт компьютерной диагностики автомобиля 7,0%
Система инфотейнмента 8,4%
IT-система  7,0%
Датчики 4,8%
Шлюз между блоками управления электроникой и телематикой (ECU-TCU) 4,3%
Бортовая сеть 3,8%
Сеть Wi-Fi 3,8%
Bluetooth  3,6%
Автомобильный трекер 3,1%
Сотовая сеть 2,4%
USB или SD-порт 2,1%
Источник: Upstream Security

В данном случае интересно рассмотреть направления атак, также называемые векторами. Из этой таблицы четко следует, что наиболее популярны две цели: облачные сервера являются воротами почти для 33% всех кибератак, поскольку хакеры пытаются получить доступ к ценным данным, которые могут быть использованы для взлома киберзащиты автомобиля. Незащищенный бесключевой доступ или электронные брелоки также часто используются для проникновения в машину и угона. Замыкают тройку мобильные приложения: через них осуществляется почти 10% кибератак.

Интересно, что суммарная доля удаленных атак составляет почти 80%, а доля физических атак – около 20%.

Upstream также классифицирует источники кибератак по категориям «белая шляпа» и «черная шляпа». Белая шляпа – знак хакера, не имеющего преступных намерений. В основном это исследователи, взламывающие системы для оценки степени их надежности и выявления уязвимостей. Такие исследователи часто получают от взломанной ими компании приглашение на работу и/или вознаграждение. Черная шляпа – атрибут хакера, взламывающего системы из корыстных или прочих преступных побуждений. В 2020 году на категорию «черных шляп» пришлось 54,6% всех кибератак, по сравнению с аналогичным показателем 49,3% за период с 2010 по 2020.

Хакеры-исследователи также открывают новые уязвимости, независимо или в рамках программ по поиску уязвимостей (bug bounty). Участники таких программ получают вознаграждение, если находят уязвимости в транспортных средствах и подключенных к ним сервисах. Список автокомпаний, ведущих такие программы, только растет: здесь уже и «Тесла», а также «Дженерал-Моторз», «Форд», «Фиат-Крайслер», «Даймлер» и другие. Они участвуют в программах bug bounty на специализированных платформах, например, BugCrowd, HackerOne, либо ведут их на собственных сайтах.

Уязвимости, обнаруженные в программных компонентах, публикуются в отчетах по «общеизвестным уязвимостям информационной безопасности» (CVE) в рамках программы, запущенной корпорацией MITRE в 1999. Всего известно 110 таких отчетов, связанных с автопромом, причем, за 2020 год поступило 33, а за 2019 – 24.   

ISAC в автопроме

В большинстве отраслей сформированы организации для борьбы за кибербезопасность; обычно их называют «Центрами обмена информацией и анализа» (ISAC). Организация Auto-ISAC создана в августе 2015 года; она оперирует центральным узлом по обмену, отслеживанию и анализу выявленных данных о киберугрозах, уязвимостях и инцидентах, связанных с подключенными транспортными средствами. Ее штаб-квартира находится в Вашингтоне, округ Колумбия, сайт в Интернете: Auto-ISAC – Automotive Information Sharing & Analysis Center (automotiveisac.com).

На организации, состоящие в Auto-ISAC, приходится более 99% легковых автомобилей, проданных в Северной Америке; также эта организация включает более 45 глобальных производителей оборудования (OEM) и поставщиков. Членство в Auto-ISAC расширилось, в нем уже участвуют производители запчастей для тяжелых грузовиков и их поставщики, а также сектор коммерческого транспорта, в частности, таксопарки. К числу поставщиков относятся компании высшеего эшелона, такие как Argo, Intel, Motional и Waymo.

Также идет кооперация с другими организациями. Auto-ISAC координирует работу с 23 другими ISAC, контролирующими ключевые инфраструктурные сферы, в частности, здравоохранение, авиацию, телекоммуникации и финансовые услуги.

ENISA

Агентство по сетевой и информационной безопасности Евросоюза (ENISA) – это орган ЕС, занимающийся обеспечением кибербезопасности в масштабах Европы. ENISA участвует в формировании киберполитики ЕС, способствует повышению доверия к продукции ИКТ, услугам и процессам, связанным с сертификацией кибербезопасности.  ENISA активно действует в области киберзащиты автомобилей и выпустило несколько важных отчетов.

В феврале 2021 года ENISA опубликовало документ «Вызовы кибербезопасности, связанные с внедрением искусственного интеллекта в автономном вождении». Отчет позволяет составить впечатление о вызовах кибербезопасности, связанных с использованием ИИ-технологий в автомобилях. Проблема описана в контексте политики, реализуемой как на европейском, так и на более широком международном уровне.

В ноябре 2019 года ENISA опубликовало документ «Рекомендации по обеспечению информационной безопасности умных автомобилей». В данном отчете определены рекомендуемые практики по обеспечению безопасности подключенных автомобилей и полуавтономных транспортных средств. В 2017 году ENISA опубликовало документ «Кибербезопасность и надежность умных автомобилей», в котором основное внимание уделено рекомендуемым практикам для производителей автомобильных комплектующих и для поставщиков с целью защитить встраиваемые автомобильные системы от кибератак.

Основное требование к стандартам и регламентам в области кибербезопасности – защитить автомобиль на протяжении всего его жизненного цикла, от проектирования, до производства и далее до использования клиентом.  

После двухлетней подготовки и редактирования ООН 24 июня 2020 года приняла документ WP.29 ЕЭК, регулирующий вопросы кибербезопасности. WP.29 действует в 54 странах, в том числе, ЕС, Великобритании, Японии и Южной Корее. На эти 54 страны приходится около 35% мирового производства автомобилей. Во многих других странах принимаются автомобили, соответствующие нормам ООН. США не входят в число этих 54 стран. Все производители, в том числе, автопроизводители из США, продающие автомобили на этих рынках, должны следовать требованиям кибербезопасности, изложенным в WP.29, применительно ко всей их продукции и процессам.

Регламенты ООН являются юридически обеспеченными. Если страна или регион принимает регламент WP.29, то всем действующим в ней производителям комплектующих требуется доказательство соответствия для прохождения обязательной сертификации и дальнейшего права работы на рынке. В Европе прохождение обязательной сертификации требует взаимного признания соответствия нормам на уровне всего автомобиля. Если производитель получает сертификат на автомобиль определенного типа в одной стране ЕС, то может продавать такую модель во всех странах ЕС без дальнейших проверок.

Регламент WP.29 состоит из двух основных директив по кибербезопасности автомобилей. Подробнее о них в следующем разделе.

ISO/SAE 21434 разрабатывает новый стандарт кибербезопасности для транспортных средств, с акцентом на дополнительное обеспечение кибербезопасности на этапе инженерной проработки автомобиля. Этот стандарт описывает требования по управлению рисками, связанными с кибербезопасностью, делая акцент на выстраивании процесса и общей терминологии для обмена информацией по таким рискам и их устранению. Стандарт не содержит описания конкретных технологий или предложений по конкретным решениям, связанным с кибербезопасностью.

Этот стандарт разработан совместной рабочей группой от организаций ISO и SAE и будет опубликован обеими. Более 25 автопроизводителей и 20 поставщиков высшего эшелона участвуют в разработке стандарта. Чистовая версия стандарта ISO/SAE 21434 была подготовлена в марте 2021 года. Вероятно, публикация стандарта откладывается до 2022 года.

Работы по стандартизации, проводимые ISO/SAE 21434, связаны и разрабатываются в координации с деятельностью ЕС и ЕЭК по документу WP.29.

Еще один важный стандарт — Uptane, разработанный для обновлений программ OTA. Uptane официально введен в январе 2017. Альянс Uptane образован в 2018. Это некоммерческая организация под эгидой Отраслевой организации IEEE по стандартам и технологиям (ISTO). Uptane был оформлен в виде стандарта IEEE/ISTO 6100 в июле 2019, тогда вышла версия 1.0. Альянс Uptane будет обеспечивать надзор над новыми стандартами Uptane, так, версия Uptane 1.1 была введена в январе 2021. Многие компании предлагают программные продукты, соответствующие стандарту Uptane. software products.

Документ по кибербезопасности WP.29 ЕЭК

В июне 2020 было принято две новых регулирующих нормы ООН по кибербезопасности, в рамках документа WP.29. Обе регулирующих нормы применимы к транспортным средствам всех типов, обновлены в марте 2021. Внедрение этих норм в некоторых странах начнется в 2021 и 2022 годах, более широкое внедрение – в 2023 и 2024 годах. 

В первом документе основное внимание уделяется кибербезопасности и системам управления кибербезопасностью (CSMS). Последнее обновление документа CSMS доступно по адресу: E/ECE/TRANS/505/Rev.3/Add.151 (unece.org).

Определение WP.29 CSMS: под CSMS понимается систематический подход на основе оценки рисков, который определяет организационные процессы, зоны ответственности и управление для правильной трактовки рисков, связанных с киберугрозами транспортным средствам и с защитой транспортных средств от кибератак.

В документе CSMS отлично рассмотрены угрозы, связанные с кибербезопасностью, приведен обширный список уязвимостей и методов атаки. В приложении 5 содержится 10 страниц с описанием уязвимостей, распределенных по множеству категорий. В первой из таблиц, приведенных ниже, обобщены угрозы и уязвимости. Существует 6 типов угроз и множество типов уязвимостей (29) со множеством примеров (67), перечисленных в документе CSMS.

Резюме угроз и уязвимостей из области кибербезопасности по документу WP.29  
Таблица № Тип угрозы Примеры и типы уязвимостей
A1
  • Сервер базы данных для машин, находящихся в пути
  • Каналы коммуникации между машинами
  • Процедуры обновления для автомобилей
  • Соединяемость и соединения между автомобилями
  • Данные и программный код для автомобилей
  • Уязвимости, связанные с недостаточной защищенностью или прочностью систем

  • Типов 3; примеров 9
  • Типов 8; примеров 20
  • Типов 2; примеров 5
  • Типов 3; примеров 7
  • Типов 7; примеров 14
  • Типов 6; примеров 12

Источник данных: E/ECE/TRANS/505/Rev.3/Add.151 (unece.org)

В следующей таблице резюмированы меры по предотвращению угроз из области кибербезопасности, описанные в документе CSMS. Данные из таблицы B описывают угрозы, возникающие на борту автомобиля, данные из таблицы C – угрозы, возникающие вне автомобиля.

Резюме способов предотвращения киберугроз, связанных с документом WP.29 
Таблица № Предотвращение угроз, связанных с  Внутри или вне машины Способов предотвращения
B1 Каналы коммуникации между автомобилями Внутри 20
B2 Процесс обновления ПО Внутри 5
B3 Непреднамеренные действия человека, способствующие кибератаке Внутри 2
B4 Соединения со внешними устройствами Внутри 7
B5 Потенциальная цель атаки и ее мотивация Внутри 14
B6 Уязвимость, используемая в случае недостаточной защиты автомобиля  Внутри 8
B7 Утрата данных или кража данных из автомобиля Внутри 1
B8 Физические манипуляции с системой с целью создания условий для атаки Внутри 1
C1 Серверы базы данных Снаружи 6
C2 Непреднамеренные человеческие действия Снаружи 2
C3 Физическая потеря или потеря данных Снаружи 3
Источник данных: E/ECE/TRANS/505/Rev.3/Add.151 (unece.org)

Если вам интересна тема автомобильной безопасности, рекомендуем изучить оригинал документа со всеми данными.

Второй регулирующий документ касается процессов обновления программным обеспечением и систем управления такими обновлениями (SUMS). Документ SUMS доступен по адресу: E/ECE/TRANS/505/Rev.3/Add.151 (unece.org).

Определение WP.29 SUMS: Система управления обновлениями программ – это систематический подход, определяющий, какие организационные процессы и процедуры должны соответствовать требованиям по доставке программных обновлений согласно данному регулирующему документу.  

Новая регулирующая норма ООН об универсальных предпосылках к обновлениям программ и системам управления обновлениями программ применяется к автомобилям, работа которых зависит от обновления ПО. Данная норма также касается трейлеров и сельскохозяйственной техники, а также пассажирского транспорта, фургонов, грузовиков и автобусов.

При обновлении программ по WP.29 от производителя комплектующих требуется:

  • Записывать версии программного и аппаратного обеспечения для каждого типа транспортных средств.
  • Документировать процедуру обновления ПО 
  • Идентифицировать программы, важные для прохождения обязательной сертификации 
  • Убедиться, что программное обеспечение данной комплектующей работает верно 
  • Идентифицировать взаимозависимости программных компонентов для последующих обновлений 
  • Идентифицировать целевые транспортные средства и убедиться, что они совместимы с обновлением 
  • Определить, влияет ли обновление на безопасность, в частности, безопасность вождения 
  • Оценить, сказывается ли обновление ПО на прохождении обязательной сертификации 
  • Информировать автовладельцев об обновлениях

Производитель комплектующих для транспортного средства должен выполнять следующие требования:

  • Разработать систему управления обновлениями программ для всех своих автомобилей, находящихся в эксплуатации. 
  • Защитить процедуру обновления ПО, обеспечив ее целостность и аутентичность.
  • Защитить идентификационные номера ПО 
  • Гарантировать, что идентификационный номер ПО проставлен на автомобиле в удобочитаемом виде.
  • При обновлении программ в онлайновом режиме необходимо:

VPS серверы от Маклауд быстрые и безопасные.

Зарегистрируйтесь по ссылке выше или кликнув на баннер и получите 10% скидку на первый месяц аренды сервера любой конфигурации!

Кибербезопасность? Да, теперь и ваша машина в зоне риска - 2

Автор: S_ILya

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js