Teknoloji yaşamın tüm alanlarına girdi ve arabalarımız bir istisna değil. Güvenlik ve konfor sağlayan sensörler, yazılım ve bağlantı ile donatılmış tekerlekler üzerinde bilgisayar haline geldiler. Bununla birlikte, tüm teknolojik yenilikler gibi, bu da arabaları siber saldırılara karşı savunmasız hale getirerek riskler getirir.
Birinin bir aracı hackleyebilmesi ve kontrolü alabilmesi, senaryoları filmlerden gerçeğe dönüştürmek için korkunçtur. Buna, otomobillerdeki yazılımın kişisel verilerimizi işlediği ve sakladığı gerçeğini de ekleyin ve bu korkunun yeni bir boyut kazanması.
Bir güvenlik ihlali durumunda, sürüş verilerimiz, kişilerimiz, çağrı günlükleri, mesajlar ve hatta konum bilgilerimiz gibi şeyler yanlış ellerle sonuçlanabilir. Üreticilerin sorumluluğu, sadece fiziksel güvenlik açısından değil, aynı zamanda siber güvenlik açısından da büyüyor, çünkü bu iki yön el ele gidiyor.
Eğer birisi bir arabayı hacklemenin akla yatkın olmadığını düşünüyorsa, tekrar düşünmelidir. 2024’te Sam Curry liderliğindeki bir grup araştırmacı, KIA’nın web portalında 2013’ten sonra üretilen herhangi bir KIA aracının internet bağlantılı özelliklerinin kontrolünü yeniden atamalarına izin veren bir güvenlik açığı keşfetti. Aynı araştırmacılar da belirli Subaru modellerini uzaktan ele geçirmeyi ve izlemeyi başardı.
Vicone’un raporuna göre, otomotiv endüstrisi siber saldırı maliyetlerinde 22,5 milyar dolar karşılaştı. Bu, veri sızıntısından 20 milyar dolar, sistem kesinti nedeniyle 1,9 milyar dolar ve fidye yazılımı hasarlarında 538 milyon dolar dahildir.
Otomotiv sistemleri için siber güvenlik riskleri
Otomotiv sistemleri, uzaktan hackler, fiziksel saldırılar, yazılım güvenlik açıkları ve kötü amaçlı yazılımlar dahil olmak üzere çeşitli siber güvenlik tehditleriyle karşı karşıyadır.
Uzaktan saldırılar: Günümüzde araçlar kolaylık ve işlevsellik için Bluetooth, Wi-Fi ve hücresel bağlantılarla donatılmıştır, ancak bu sistemler uygun şekilde güvence altına alınmazsa, bilgisayar korsanları aracın ağına uzaktan erişebilir.
Fiziksel Erişim Saldırıları: Araçlarda, bakım ve sorun giderme için tasarlanan teşhis bağlantı noktaları (OBD-II gibi) vardır, ancak bunlar araca fiziksel olarak erişebilirlerse saldırganlar tarafından sömürülebilir. Buna ek olarak, CAN veriyolu (frenler ve motor kontrolü gibi anahtar sistemleri birleştiren) gibi dahili araç ağları, korsanların hız, frenleme ve hatta güvenlik özelliklerini devre dışı bırakma gibi araç işlevlerini manipüle etmesine izin veren kurcalamaya karşı savunmasızdır.
Yazılım Güvenlikleri: Herhangi bir yazılım gibi, hatalar ve zayıflıklar da kullanılabilir, bu da saldırganların yetkisiz kontrol kazanmasına veya araçtan hassas veriler çalmasına izin verir.
Kötü amaçlı yazılım ve fidye yazılımı: Bilgisayar korsanları, uzaktan veya tehlikeye atılan USB sürücüleri aracılığıyla araç sistemlerine kötü amaçlı yazılımlar enjekte edebilirler. Fidye yazılımı kritik sistemleri kilitleyebilir, bu da bir fidye ödenene kadar aracı çalışmaz hale getirir.
CAN ve LIN gibi araç içi ağlar, motordan koltuk ayarlarına kadar kritik işlevleri kontrol ettiler, ancak güvenlik göz önünde bulundurularak tasarlanmamış ve onları hacklemeye karşı savunmasız bırakmışlardır.
Bu sistemleri korumak için, yetkisiz erişim ve manipülasyonu önlemek için şifreleme (verileri güvence altına almak), kimlik doğrulama (cihaz kimliklerini doğrulamak için) ve saldırı algılama sistemleri (IDS) (şüpheli aktiviteyi tespit etmek için) uygulanmaktadır.
Gelecekteki güvenlik endişeleri
Kendi kendine giden otomobiller, ulaşım endüstrisinde devrimci değişiklikler getiriyor, ancak sadece araç üzerinde kontrol sahibi olmamamız, gelişmiş gibi görünürken de endişe duyan bir şey.
Gelecekte, muhtemelen otomobillerin insan müdahalesi olmadan tamamen çalışabileceği Seviye 5 özerkliğine sahip robo-alımsal alacağız, bu da bunu herkesin beraberinde gelecek tüm olası sorunları ele alması için büyük bir zorluk haline getiriyor. Bu arabalar sokaklara çarpmadan önce, üreticilerin ve düzenleyicilerin teknolojinin ve yolcularının güvenliğini sağlamak için siber güvenlik önlemlerine öncelik vermesi çok önemlidir.
Bu önlemler hem dış tehditleri (uzaktan hackler gibi) hem de iç tehditleri (aracın kendi yazılımı veya sensör sistemleri içindeki güvenlik açıkları gibi) ele almalıdır.
Otonom araçların güvenliği, AI algoritmaları, sensörler (lidar, radar, kameralar) ve bulut tabanlı hizmetler arasındaki iletişimi güvence altına almayı gerektirir. Bu bağlantılar, AV’lerin çevreleriyle nasıl çalıştığı ve etkileşime girdiği için kritiktir.
Araçtan Her Şey (V2X) İletişim ve Hava Üstü (OTA) güncellemeleri, üreticilerin yapması gereken önemli zayıf noktalar olabilir. V2X, bir araç ve çevresi arasındaki çeşitli iletişim türlerini kapsar. Amaç, otomobillerin diğer kuruluşlarla “konuşmasına” izin vererek yol güvenliğini, trafik verimliliğini ve otonom sürüş yeteneklerini artırmaktır.
Öte yandan, OTA güncellemeleri doğrudan üretici veya servis sağlayıcıdan bir araca gönderilen kablosuz yazılım güncellemeleridir. Arabanızı bir yazılım yükseltmesi veya hata düzeltmesi için bir bayiye götürmek yerine, güncelleme akıllı telefonların güncellemeleri nasıl aldığına benzer şekilde internet üzerinden teslim edilir.
V2X iletişimlerini veya OTA güncellemelerini ele geçirmek, sadece veri çalmaktan daha ciddi sonuçlara yol açabilir, çünkü bu özellikler aracın kritik işlevlerini kontrol eder.
ABD hükümeti ayrıca, özerk otomobillerde Çin ve Rus teknolojisinin kullanımı konusundaki endişeleri dile getirdi, casusluk ve ulusal güvenlik risklerini azaltmak için bu yazılım ve donanımlarda yasaklar önerdi. Bu, otomotiv siber güvenliğinin jeopolitik boyutunu ekler.
Düzenleyici manzara
Sorun, ülkeden ülkeye farklı düzenleyici yaklaşımlarda yatabilir, bu nedenle özerk araçlar için siber güvenlik standartları oluşturmada küresel işbirliği esastır.
AB’de 2019/2144 Genel Güvenlik Yönetmeliği, güvenli yazılım güncellemeleri ve riske dayalı güvenlik önlemleri de dahil olmak üzere yeni araçlar için katı siber güvenlik gereksinimlerini zorunlu kılmaktadır.
Buna karşılık, Birleşik Devletler, uygulanabilirlik olmadan proaktif güvenlik uygulamalarını teşvik eden Ulusal Karayolu Trafik Güvenliği İdaresi’nden (NHTSA) gönüllü yönergelere güvenmektedir.
ISO ve SAE gibi küresel standart kuruluşları, özellikle tüm yaşam döngüsü boyunca araç sistemlerini güvence altına almak için bir çerçeve özetleyen ISO/SAE 21434 standardı aracılığıyla endüstri uygulamalarının şekillendirilmesinde kilit bir rol oynamaktadır.
Direksiyonun arkasında siber farkındalık
Tüm tehlikeler karmaşık sistemleri hedefleyen istismarlardan gelmez, bazen direksiyonun arkasındaki kişiden gelirler.
Örneğin, sosyal mühendislik ve kimlik avı saldırılarında, bir kişi bir otomobil üreticisinden görünen bir e -posta alabilir ve kritik bir yazılım güncellemesi hakkında uyarabilir. Mesaja güvenerek bağlantıyı tıklayabilir, talimatları izleyebilir ve bilmeden izinsiz giriş kapısını açabilirler.
Arabalar artık navigasyon veya müzik akışı için hayatı kolaylaştıran uygulamalarla da donatılmıştır. Ancak potansiyel bir risk var: Bu uygulamaların çoğu genel Wi-Fi ağlarına bağlanıyor. Bir uygulamanın güvenli bağlantıları yoksa, verilerinizi veya hatta aracınızın sistemini siber saldırılara maruz bırakabilir.
Otomobil üreticileri ve siber güvenlik uzmanları, farkındalığı artırma çabalarına öncelik vermeli, tüketicilerin verilerinin nasıl kullanıldığını ve kendilerini nasıl koruyacaklarını anlamalarına yardımcı olmalıdır. Bu, yazılımı neden düzenli olarak güncellemenin, güvenli Wi-Fi ağları kullanmanın ve araçların yerleşik güvenlik özelliklerine sahip olmasını sağlamanın önemli olduğunu açıklamayı içerir.
Sürücüler ayrıca teminatsız Bluetooth bağlantıları, araç verilerini depolayan bulut hizmetlerindeki güvenlik açıkları ve bağlı sistemler için şifre korumasının önemi gibi potansiyel risklerin farkında olmalıdır.
Gelecekte, bağlı araçların, otonom sürüş sistemlerinin ve IoT entegrasyonunun yükselişi ile otomotiv sektörü, potansiyel tehditlerin önünde kalmak için proaktif siber güvenlik stratejileri uygulamaya devam etmelidir.