Bağlı otomobiller zaten Avrupa yollarında, yazılım, sensörler ve sabit veri bağlantıları ile dolu. Sürücüler, bu araçların uzak uygulamalardan akıllı gezinmeye kadar getirdiği özellikleri sever, ancak her yeni bağlantı da potansiyel siber risklere bir kapı açar. Arabaları daha akıllı yapan şey, onları daha savunmasız kılan şeydir.
Budapeşte’deki óbuda Üniversitesi ve Oslo Üniversitesi’nden yeni bir çalışma, mevcut kuralların yetersiz kaldığı bu tehditlere ve sürücülerin araçlarının güvenliği hakkında nasıl hissettiklerini ışık tutuyor. Siber güvenlik uzmanları, inovasyon ve eşit olmayan güvenlik kontrollerinin kombinasyonunun endüstriyi maruz bıraktığını söylüyor.
Saldırganların seçenekleri var
Bağlı otomobiller esasen saldırganlar için birden fazla giriş noktası olan dijital platformlardır.
Araştırma birkaç endişe alanını vurgulamaktadır. Uzaktan erişim saldırıları telematik sistemlerini, kablosuz arayüzleri veya otomobille bağlantılı mobil uygulamaları hedefleyebilir. Veri sızıntıları bir başka önemli sorundur, çünkü bağlı otomobiller, genellikle bulutta saklanan konum geçmişi ve sürüş davranışı dahil hassas bilgiler toplar.
Sensörler kendi risk kümelerini sunar. Kameralar, radar, lidar ve GP’ler manipüle edilebilir ve sürücü yardım sistemleri için karışıklık yaratabilir. Bir aracın içine girdikten sonra, saldırganlar fren, direksiyon ve ivme gibi anahtar sistemleri birbirine bağlayan CAN veriyolundan yararlanarak daha derine hareket edebilirler.
Rutin güncellemeler bile potansiyel tehlikelerdir. Meyveden çıkarılan ürün yazılımı, aynı anda çok sayıda aracı etkileyerek hava güncellemelerinin üzerine yayılabilir. Tedarik zinciri de karmaşıklık ekler. Tek bir üçüncü taraf bileşeninde veya API’daki bir güvenlik açığı, birden fazla üreticiyi ve modeli etkileyebilir.
Kurallar yerinde ama tutarlılık yok
Avrupa bu riskleri ele almak için adımlar attı. UNECE R155 ve BM R156 gibi düzenlemeler, tür onay için siber güvenlik ve yazılım güncelleme yönetim sistemlerini gerektirerek düzenleyicilere güvensiz araçları engelleme gücü sağlar. GDPR, kişisel verileri ele almak için kurallar belirlerken, yaklaşan siber esneklik yasası bağlı ürünler için daha katı güvenlik beklentileri getirecektir.
ISO SAE 21434 ve ISO 24089 gibi endüstri standartları, araç siber güvenlik ve yazılım güncellemeleri hakkında ayrıntılı rehberlik sağlar. TiSax ve Autosar Adaptive dahil diğerleri süreç ve mimariye odaklanır. Bununla birlikte, bunlar genellikle gönüllüdür ve yasal düzenlemelerin uygulama gücünden yoksundur.
Çalışma, tüm tehdit alanlarını ele alan tek bir çerçeve bulamadı. Bazıları sistem bütünlüğüne, diğerleri gizlilik ve diğerleri güvenlik üzerine odaklanır. Tedarik zinciri güvenliği zayıf bir nokta olmaya devam etmektedir, çünkü birçok standart doğrudan üçüncü taraf hesap verebilirliği gerektirmez. Bu, üreticileri sözleşmeler ve denetimler yoluyla tedarikçi riskini yönetmeye bırakır.
Carnegie Mellon Üniversitesi ve Mayhem CEO’sunda hücum siber güvenlik profesörü David Brumley, yardım Net Security’ye araştırmanın bu standartların neden farklı olduğunu açıklamada daha da ileri gidebileceğini söyledi.
“Araştırmacılar neden farklı standartlar olduğunu tam olarak ortaya koymadılar,” diyor Brumley. “ISO 21434 genellikle yazılım geliştirmeye odaklanıyor-bunu ön yayın olarak düşünün-R155 vahşi doğada konuşlandırılmış yazılımlara odaklanıyor. Devam eden güvenlik farklı görevlerdir.”
“Araştırmacılar en azından pratikte R155’i yanlış karakterize etti” diyor. “Otomobil üreticileri büyük miktarda güvensiz yazılım gönderiyorlar. Bu, R155’in bir lanet okumasının onları riske atacağını öne sürdüğü şeyler. Araba üreticileriyle konuştuğumda, R155’i eylem değil, yazılı bir rapora kaynatıyorlar. Otomotiv içindeki geliştiricilerin bu standartlarda neler olduğu konusunda gerçek bir fikri yok ve kesinlikle ruh olarak ele almak için bir görev yok.”
Bu bağlantının nasıl oynandığına bir örnek olarak Audi’ye işaret ediyor. Brumley, “Audi Cars, en azından 2024 yılına kadar, FreeImage gibi tanınmış güvenlik açıklarına sahip bir sürü yazılımla birlikte gönderin” diyor. “Bu yazılımın artık bir bakımı bile yok. Yüz değerinde bu R155’i geçmeyecekti, ancak sistematik olarak bu, güvensiz yazılımın araçta olduğu yüzlerce veya binlerce örnekten sadece biri.”
Halkın bilinçlendirilmesi artıyor, ancak güven gecikiyor
Teknik incelemesinin yanı sıra, çalışma akıllı araba güvenliği ve gizlilik konusundaki görüşlerini ölçmek için çoğunlukla Avrupa’da yaklaşık 300 kişiyi araştırdı.
Çoğunluk, araçlarının hem üreticilere hem de dış şirketlere veri gönderdiğine ve daha yeni otomobil sahipleri arasında en yüksek farkındalığa sahip olduğuna inanıyor. Batı Avrupa’dan katılımcıların verilerinin Doğu Avrupa’dakilere kıyasla paylaşıldığını düşündüklerini söylemeleri daha olasıdır.
Çoğu sürücü, hangi verilerin toplandığı ve nereye gittiği hakkında bilgi ister, ancak çok azı bu bilgileri aldıklarını söyledi. Marka algısı da bir rol oynar. Birçok katılımcı Avrupa veya Japon markalarını tercih ederken, bazıları belirli ülkelerden araçlara karşı güvensizlik, siyasi kaygılara, güvenlik sorunlarına veya algılanan kalite boşluklarına güvenmeyi ifade etti.
Çalışma, “akıllı araba” teriminin birçok tüketicinin zihninde hala belirsiz olduğunu göstermektedir. İnsanlar otonom sürüş veya eğlence sistemleri gibi özelliklere odaklanırken, veri güvenliği ve gizliliği ile perde arkasında olanlara daha az dikkat ederler.
İnovasyon, düzenlemeleri geride bırakıyor
Üreticiler yeni yazılım tanımlı özellikleri zorluyor, uygulamaları entegre ediyor ve hava güncellemeleri üzerinde kullanıyorlar. Bu hız, saldırı yollarının sayısını artırır ve güvenlik uygulamalarının ve kurallarının devam etmesini zorlaştırır.
Çalışma, Avrupa’nın güçlü yapı taşlarına sahip olsa da, teknik standartlar, yasal gereksinimler ve tüketici beklentileri arasında hala uyumsuzluklar olduğunu göstermektedir. Kamu güveni bu boşlukları kapatmaya bağlı olacaktır.
Brumley, inovasyon hızının bazı otomobil üreticilerinin düzenlemelerin ruhunu benimseme isteğini aştığı konusunda uyarıyor.
“R155 kağıt üzerinde iyi geliyor, ancak icra zayıf” diyor. “Sonuç, bugün bilinen güvenlik açıklarıyla yoldaki otomobiller. Hesap verebilirlik olana kadar bu sistemik bir sorun olmaya devam edecek.”