Kablosuz güncellemeler ve artan veri bağlantısı gibi gelişmiş teknolojilerin entegrasyonuyla, arabalar artık yalnızca ulaşım aracı değil, aynı zamanda kişisel ve operasyonel verilerin de merkezidir. Bu değişim, bilgisayar korsanlığı ve veri hırsızlığından potansiyel sistem ihlallerinden kaynaklanan güvenlik tehlikelerine kadar uzanan benzersiz siber güvenlik zorluklarını beraberinde getiriyor.
Bu Help Net Security röportajında, IOActive Güvenli Mühendislik Direktörü Ivan Reedman, üreticilerin, hükümet düzenlemelerinin ve tüketicilerin bu yeni zorluklara nasıl uyum sağladıklarını tartışıyor.
Bağlantılı araçların yükselişi otomotiv siber güvenliğinin manzarasını nasıl değiştirdi?
Araçlar daha bağlantılı hale geldikçe otomotiv endüstrisi yeni siber güvenlik sorunlarıyla karşı karşıya kalıyor. Bağlantılı arabalar, bilgisayar korsanlığı ve veri hırsızlığı gibi siber tehditlere daha fazla maruz kalıyor. Üretim tedarik zincirindeki tüm taraflar, kurumsal güvenlik, risk değerlendirmesi ve yönetimi, ürün sonrası bakım ve olaylara müdahale gibi araç siber güvenliğine yönelik temel ilkelere uymalıdır.
Bağlantılı araçlar ayrıca uzaktan yazılım güncellemelerine olanak tanıyan kablosuz güncellemeler gibi yeni teknolojileri de kullanıyor. Ancak bu aynı zamanda yazılımın ciddi güvenlik tehlikeleri oluşturabilecek bilgisayar korsanlığına maruz kalmasına da neden olur.
Üretim tedarik zincirindeki tüm taraflar, araçların siber tehditlere karşı güvende olmasını sağlamalıdır. Araç güvenliği için küresel bir standart oluşturmaya yardımcı olmak amacıyla çeşitli standartlar oluşturulmuştur, örneğin:
UNECE WP.29 Siber Güvenlik Düzenlemeleri: Bu düzenlemeler, araç tasarımında siber güvenlik risklerinin belirlenmesi ve yönetilmesi, risk yönetiminin doğrulanması, risk değerlendirmelerinin güncel tutulması ve saldırıların izlenmesi ve bunlara yanıt verilmesi için bir çerçeve tanımlamaktadır.
ISO/SAE21434: Bu, araç geliştirme sürecinde siber güvenliğin nasıl uygulanacağına rehberlik eden, karayolu araçlarının siber güvenlik mühendisliğine yönelik bir standarttır.
Tüketiciler yeni arabalarla ilişkili siber güvenlik riskleri hakkında ne bilmeli?
Bağlantılı arabalar, otomotiv endüstrisi için yeni siber güvenlik zorlukları doğuruyor. Arabalar birbirine bağlandıkça, bilgisayar korsanlığı ve veri hırsızlığı gibi siber tehditlere daha fazla maruz kalıyorlar. Araç işlevselliğine ilişkin tüketici beklentileri, sık sık hata düzeltmeleri ve tam olarak test edilemeyen özelliklerin kullanıma sunulması gibi tüketici teknolojisine benzer geliştirme uygulamalarına da yol açmıştır. Güncellemelerden sonra bazı ciddi “özelliklerin” çalışmadığı veya arızalandığına dair haberler çıktı.
Bağlantılı araçlara yönelik temel siber güvenlik risklerinden bazıları uzaktan bilgisayar korsanlığı ve veri gizliliği endişeleridir. Uzaktan hackleme ile bilgisayar korsanları bir aracın sistemlerine izinsiz olarak uzaktan erişmeye çalışacaktır. Frenleme ve direksiyon gibi kritik işlevleri kontrol edebilir veya etkileyebilirler. Araç mimarisi ve sistem uygulaması, ihlalin kritik olmayan sistemlerde ne kadar iyi kontrol altına alınacağını belirleyecektir.
Bununla birlikte, kötü tasarlanmış veya uygulanmış mimariler, tam bir ihlal durumunda çok az koruma sunacak ve bilgisayar korsanlarının bilgi-eğlence ünitesi gibi kritik olmayan sistemlerden fren veya direksiyon gibi kritik sistemlere geçmesine olanak tanıyacaktır. Veri gizliliği açısından, bağlantılı arabalar çok fazla veri topluyor ve bu da bu verilerin nasıl saklandığı, kullanıldığı ve korunduğu konusunda endişeleri artırıyor. Bilgisayar korsanları bu verilere erişerek gizliliği ihlal edebilir, hatta bazı durumlarda tüketicinin kimliğini bile çalabilir.
Tüketicilerin bu risklerin farkında olması ve kendilerini koruması gerekmektedir. Bunu yapabilmelerinin bir yolu, araçlarının yazılımını güncel tutmak ve bağlı araçların risklerini azaltmak amacıyla bağlı tüm hizmetler için güçlü şifreler kullanmaktır.
Modern araçlardaki bilgi-eğlence sistemleri nasıl siber güvenlik riskleri oluşturuyor?
Modern araç bilgi-eğlence sistemi, wifi, bluetooth, usb veya hücresel gibi çeşitli bağlantı seçeneklerini sunar ve kullanır. Bu sistemler, bilgisayar korsanlarının araç işlevlerine uzaktan erişmek ve bunları kontrol etmek için kullanabileceği birçok arayüzü açığa çıkararak insan güvenliğini tehlikeye atıyor. Bilgi-eğlence sistemleri ayrıca siber suçluların ilgisini çekebilecek kişisel kişiler ve konum verileri gibi kişisel bilgileri de saklar. Araç mimarisi, kritik sistemlerin bu tür ihlallerden ne kadar iyi korunacağını belirler. İyi mimari, kritik olmayan sistemleri kritik olanlardan izole etmek için tasarlanırken, kötü bir mimari veya uygulama bunu yapmaz.
Elektrik ve Elektronik Mühendisliği Enstitüsü’nün (IEEE) standart geliştirme (CSD) kriterleri, mevcut telematik ve bilgi-eğlence sistemlerinde çeşitli güvenlik kusurları ve açıkları bulmuştur. Bunlardan biri, saldırganların araçtaki güvenlik açısından kritik sistemleri etkileyen rastgele denetleyici erişim ağı (CAN) mesajları göndermesine izin veriyor ve bu nedenle CSD, bunu önlemek için telematik/bilgi-eğlence eylemlerinin CAN veri yolu iletişim işlevlerinden ayrılmasını öneriyor.
Tüketiciler, bir aracın işlevselliğinin, güvenli bir şekilde uygulanmadığı takdirde ciddi güvenlik etkileri yaratabileceğini anlamalıdır. Araç üreticilerinin güvenlik standartları ve uygulamaları farklılık göstermektedir, bu da ISO/SAE 21434 gibi standartları ve UN155/156 gibi düzenlemeleri daha önemli hale getirmektedir.
Otomotiv üreticileri gelişen siber güvenlik standartlarına uyum sağlamak için nasıl uyum sağlıyor?
Otomotiv üreticileri, araçlarını siber tehditlere karşı güvende tutmak için değişen siber güvenlik standartlarını karşılayan yeni süreç ve teknolojileri benimsiyor. Örneğin, Uluslararası Standartlar Organizasyonu (ISO) ve SAE International, otomotiv siber güvenlik mühendisliği için siber güvenliği araç tasarımına entegre etmeye yönelik sistematik bir sürecin ana hatlarını çizen ortak bir standart yayınladı.
Ayrıca Birleşmiş Milletler Avrupa Ekonomik Komisyonu (UNECE), araçlara yönelik yeni siber güvenlik düzenlemeleri çıkararak üreticilerin siber güvenlik yönetim sistemi (CSMS) için Uygunluk Sertifikası almasını zorunlu kıldı. Bu sertifika bir onay kuruluşu veya onun teknik servisi tarafından verilir ve üç yıl süreyle geçerlidir. CSMS, geliştirmeyi, üretimi ve üretim sonrası aşamayı kapsamalıdır.
Otomotiv üreticileri ayrıca, yazılımı uzaktan güncellemelerine olanak tanıyan kablosuz güncellemeler gibi yeni teknolojileri de kullanıyor. Ancak bu aynı zamanda yazılımın ciddi güvenlik tehlikeleri oluşturabilecek bilgisayar korsanlığına maruz kalmasına da neden olur. Bunu önlemek için üreticiler, araca yalnızca yetkili yazılımın yüklendiğini doğrulayan güvenli önyükleme gibi yeni güvenlik özellikleri uyguluyor.
Siber güvenlik uyumluluğu, filolarına yeni süreçler ve teknolojiler uygulamak isteyen otomotiv üreticileri için önemli bir temadır ancak aynı zamanda araçlarının siber tehditlere karşı güvende olmasını sağlamaya da yardımcı olur. Bu standartlar ve düzenlemeler, bağlantılı araçlarla ilgili riskleri azaltabilir ve müşterilerini siber tehditlerden koruyabilir.
Otomotiv tedarik zincirinde siber güvenliği yönetmenin temel zorlukları nelerdir?
Araçlar, farklı bölge ve kültürlerde farklı güvenlik standartlarına ve uygulamalarına sahip olabilecek çeşitli satıcıların bileşenleriden yapılmıştır. Araç üreticisinin açık ve katı güvenlik gereklilikleri ve uyumluluğu sağlamak için kapsamlı testler yapılmadığı takdirde, aracın güvenlik duruşu bileşenlerine göre farklılık gösterecektir.
Otomotiv sektörü için en büyük tedarik zinciri risklerinden biri, yazılım satıcıları tarafından sağlanan bilgi-eğlence sistemleri ve bağlantı teknolojisidir. Tüketiciler yeni ve daha iyi özellikler istiyor; bu da bilgi-eğlence ve bağlantı işlevlerinin sürekli entegrasyonu anlamına geliyor. Bu işlevler yeni güvenlik açıkları ortaya çıkarır. Önümüzdeki iki yılın en büyük otomotiv siber güvenlik zorlukları; bağlantılı araçlar, kablosuz yazılım güncellemeleri ve araçtan araca iletişim olacak.
Hükümet düzenlemeleri otomotiv sektörünün siber güvenlik yaklaşımını nasıl şekillendiriyor?
UNECE, orijinal ekipman üreticilerinin (OEM’ler) ve tedarikçilerinin siber saldırıları önlemek ve bunlara karşı koymak için kapsamlı siber güvenlik çözümleri benimsemelerini zorunlu kılan yeni düzenlemeler yayınladı. Düzenlemeler dört hususu kapsıyor: Siber risk yönetimi, tasarım gereği araç güvenliği, tespit ve müdahale yetenekleri ve araç güvenliğinden ödün vermeden güvenli yazılım güncellemeleri.
Düzenlemelerin Temmuz 2024’ten itibaren yürürlüğe girmesi bekleniyor. AB’nin araç üreticileri için büyük bir pazar olması nedeniyle diğer AB düzenlemeleri gibi bu düzenlemelerin de küresel etkisi olacak. Siber güvenlik tehditlerini ele almak için çeşitli ISO/SAE standartları oluşturulmuştur ve bu standartlara uymak, otomotiv üreticilerinin dünya çapında hem mevcut hem de gelecek çeşitli hükümet düzenlemelerine uymasına yardımcı olacaktır.
Otomotiv endüstrisi yakın gelecekte hangi siber güvenlik tehditlerine hazırlıklı olmalı?
Araç hacklenmesinden kaynaklanan insan hayatına yönelik risk, otomotiv endüstrisi için en ciddi endişe ve yeni ortaya çıkan tehdittir ve bunu veri hırsızlığı takip etmektedir.
Her ikisi de sürekli bir tehdit olsa da araç özerkliği, güvenlik ve veri hırsızlığı sorumluluğu açısından yeni ve gelişen zorlukları da beraberinde getiriyor. Otonom bir araç kazaya neden olursa kim sorumlu tutulmalı? Sürücü mü, araba mı, yoksa üretici mi? Farklı hukuk sistemlerinin bu soruya farklı yanıtları vardır ve bunun mali sorumluluk açısından sonuçları vardır.