Podłączenie pojazdów bezpośrednio do Internetu jest uznawane za potencjalne źródło ataków cybernetycznych, ale łatwo pomijać połączenia pośrednie, takie jak podłączenie telefonu komórkowego za pomocą USB lub Bluetooth. Nawet samochód, który zdaje się być odizolowany od sieci, może być wyposażony w bezprzewodowy system monitorowania ciśnienia w oponach lub moduł diagnostyczny umożliwiający dostęp do informacji o pojeździe.

Niedostateczne zabezpieczenia w systemach komunikacji spowodowały głośny incydent w 2015 roku, podczas którego badacze mogli zdalnie kontrolować pewne funkcje pojazdu. Chociaż było to bolesne doświadczenie dla wielu, zmusiło to branżę motoryzacyjną do przemyślenia systematycznego podejścia do cyberbezpieczeństwa pojazdów.

„Mając świadomość, że użytkownik samochodu nie musi posiadać wiedzy o ewentualnych zagrożeniach dla bezpieczeństwa cyfrowego, wdrożyliśmy zasadę jak najmniejszego dostępu. Oznacza to, że użytkownik pojazdu posiada minimalne uprawnienia i nie może swobodnie zarządzać wszystkimi funkcjami w pojeździe. Kiedy opracowujemy nasze systemy, projektujemy je tak, żeby kierowca otrzymywał dostęp do konkretnego urządzenia w pojeździe tylko na czas potrzebny do użycia danej funkcji. Przykładowo, w samochodach producenci rzadko umieszczają sklepy z aplikacjami, a kierowca ma dostęp tylko z fabrycznie zainstalowanego oprogramowania. Stosując takie podejście mamy pewność, że na skutek błędu w użytkowaniu lub w wyniku niekontrolowanego dostępu nie powstanie żadna luka w bezpieczeństwie samochodu” – wyjaśnia Dariusz Mruk, dyrektor Centrum Technicznego Aptiv w Krakowie.

Doświadczenia z innych sektorów w obszarze cyberbezpieczeństwa posłużyły jako podstawa dla nowych przepisów dotyczących kompleksowego systemu zarządzania cyberbezpieczeństwem w branży motoryzacyjnej, takich jak norma UNECE R155. Wzrost zapotrzebowania na zabezpieczenia sprzętowe przyczynił się do rozwoju wyspecjalizowanych mikroprocesorów, które są wykorzystywane przez przemysł motoryzacyjny. Z kolei wielopoziomowe strategie obrony, opracowane dla innych branż, umożliwiają skuteczne zapewnienie bezpieczeństwa na różnych poziomach w całym pojeździe

Skuteczne zarządzanie cyberbezpieczeństwem powinno być harmonijnie powiązane z ewolucją programowo zdefiniowanych pojazdów. Twórcy oprogramowania muszą zagwarantować bezpieczeństwo we wszystkich aspektach, niezależnie od konkretnego zastosowania aplikacji.

„W krakowskim oddziale Aptiv pracujemy na co dzień nad zabezpieczeniami do urządzeń. Naszym celem jest ochrona komunikacji wewnątrz pojazdu, np. Automotive Ethernet w taki sposób, aby tylko uprawnione urządzenia lub osoby miały dostęp do określonych danych. Zajmujemy się również zabezpieczaniem oprogramowania za pomocą podpisów cyfrowych. Nasi inżynierowie upewniają się, że kod został prawidłowo skompilowany, przetestowany i pochodzący z zaufanego źródła. Wyzwaniem dla skutecznej ochrony systemów jest przewidywanie, jak zaprojektowane zabezpieczenia będą się zachowywały w przyszłości. Z punktu widzenia cyberbezpieczeństwa bardzo trudnym zadaniem jest tworzenie systemów, które będą bezpieczne nie tylko dzisiaj, ale również za rok, pięć, a może dziesięć lat. Do opracowywania prognoz nasi inżynierowie wykorzystują własne doświadczenie, wiedzę i informacje zawarte w dokumentacji. Wiedząc, z jakich algorytmów szyfrujących chcemy skorzystać, możemy przeanalizować to, jak były rozwijane i jakie są ewentualne szanse ich złamania. Analizujemy tym samym wszystkie ryzyka i możemy określić maksymalne prawdopodobieństwo, z jakim dany system będzie bezpieczny. Na tej podstawie prognozujemy zachowanie projektowanego rozwiązania w przyszłości” – mówi Dariusz Mruk.

System zarządzania bezpieczeństwem cybernetycznym to systematyczne podejście do określania procesów i ich kontrolowania, które skupia się na zapewnieniu bezpieczeństwa od etapu rozwoju, poprzez utrzymanie oprogramowania, umożliwiając organizacji zastosowanie tego podejścia na każdym poziomie systemu motoryzacyjnego.

Źródło: Aptiv