Yazılım Tanımlı Araç Filoları Siber Güvenlik Konusunda Dolambaçlı Bir Yolla Karşı Karşıya


İsrail merkezli REE Automotive, P7 elektrikli araç şasisini tasarladığında, yazılımdan yola çıkarak çalıştı: Düz araç şasisi, her biri bir elektronik sürücü tarafından çalıştırılan, direksiyon, frenleme, süspansiyon ve güç aktarma organları için her lastiğin yanında bulunan dört bağımsız modül ile tamamen yapılandırılabilir. yazılım aracılığıyla özelleştirilebilir kontrol ünitesi (ECU).

Drive-by-wire, direksiyon-by-wire ve fren-by-wire ve bir hizmet olarak veri toplama özelliği, şirkete aracı müşterinin uygulamasına göre uyarlama olanağı veriyor, ancak aynı zamanda potansiyel olarak platformu bir bilgisayar korsanının hedefi haline getiriyor. rüya.

Otomotiv teknolojisi şirketinin CISO’su Yaron Edan, bir araç filosunun güvenliğini sağlamanın büyük bir çaba olduğunu ve tasarım ve geliştirme ekipleri, fabrika sahası ve bağlantılı araçların kendileri için siber güvenlik gerektirdiğini söylüyor. Siber güvenlik ekipleri yalnızca siber tehditleri izlemekle kalmıyor, aynı zamanda tedarik zincirinin güvenliğini, fabrikadaki operasyon teknolojisini (OT) ve platformu izlemek ve güncellemek için kullanılan araç ağını da yönetmek zorunda.

“Baş ağrım ve endişem temelde ikiye ayrılıyor: ağımız [which supports the creation of the platform]ancak bu yeterli değil” diyor. “Tehditlerin neler olduğunu bulmamız ve izlememiz gerekiyor. [for those] SOC’miz aracılığıyla her araç için tüm gün boyunca.”

Ancak bu tür güvenlik çabalarının başka bir sorunu daha var: Müşterilerin satın aldıkları cihazları tamir etmelerine olanak tanıyan her türlü tüketici ve kurumsal teknolojiyi açmaya yönelik “onarım hakkı” çabalarının başarısı. Örneğin bir Massachusetts yasasının kabul edilmesi, otomobil üreticilerinin ve otomotiv teknolojisi üreticilerinin, tüketicilerin ve üçüncü tarafların araçlarının bakımını, onarımını ve hatta modifikasyonunu yapabilmesine olanak sağlamak için araçlar tarafından üretilen bilgi ve verileri paylaşmalarını gerektiriyor.

Ulusal Karayolu Trafik Güvenliği İdaresi (NHTSA) başlangıçta hüküm sürdü mevcut federal güvenlik düzenlemelerinin yasaların önüne geçtiğini söyleyerek, “[f]ederal yasası, bir üreticinin güvenlik kusuru içerdiğini bildiği araçları satmasına izin vermez” — eyalet ve federal hükümetler sonunda uygulama konusunda bir anlaşmaya vardı: Otomobil üreticilerinin üçüncü taraflara, veri ve sistemlere yerel olarak erişme olanağı vermesi gerekecekti. Sahip oldukları araçlar ancak uzaktan teşhis ve güncelleme ağları kapalı kalabilir, düzenleyiciler karar verdi.

Elektrikli Araçlar Büyük Esneklik ve Risk Getiriyor

Anlaşmanın büyük araç filosuna, özellikle de elektrikli araçlara sahip şirketlere yardımcı olup olmayacağı henüz açık bir soru değil. Yazılım tanımlı araçlar EV’ler gerçekten büyük bir başarı yakaladı ve Tesla’nın başarısının bir örneği oldu ve en önemli yazılım tabanlı yetenekler muhtemelen elektrikli araçlarda kalacak.

Otomobil tedarik zinciri danışmanlığı şirketi SBD Automotive’in Kuzey Amerika direktörü Alex Oyler, EV üreticilerinin platformlarını ilk tasarımdan başlayarak, araçların konfigürasyonunu ve performansını dağıtım ve ötesine kadar değiştirecek şekilde güncellenebilecek yazılımlar kullanarak oluşturabileceğini söylüyor. .

Siber güvenlik olaylarına etkili ve hızlı bir şekilde yanıt verme yeteneğinin büyük olasılıkla üçüncü taraflara değil, üreticilere ait olacağını söylüyor.

“Gerçekten kritik bir sıfır gün varsa ve bunun mümkün olan en kısa sürede yamalanması gerekiyorsa, bu ürün siber güvenlik ekipleri [at auto manufacturers] gösteriyi yürütüyoruz, işletmedeki paydaşları koordine ediyoruz ve bazı şeyleri düzeltmek için zaman çizelgelerini hızlandırıyoruz” diyor ve şöyle devam ediyor: “Bugün bunun kolay bir süreç olmadığı kesin.”

Ancak bazı üreticiler siber güvenlik işlevini dış kaynaklardan temin edebilir. Birleşmiş Milletler Ürün güvenliğine ilişkin bir değişiklik kabul edildi BM Avrupa Ekonomik Komisyonu’nun bir parçası olan ülkelerin, araçlarda kullanılan siber güvenlik yönetim sistemlerine ilişkin düzenleyici onaya sahip olmasını zorunlu kılıyor.

Bağlantı Yalnızca Büyüyecek

Araçlar, araç içi bakım sisteminin veya sürücü desteğinin bir parçası olarak onlarca yıldır birbiriyle bağlantılıdır. Ancak yazılım tanımlı araçlar, bir akıllı telefon uygulaması aracılığıyla uzaktan çalıştırma ve tüketici için sınırlı teşhisleri takip etme gibi bu bağlantıyı genişletti; esasen arabaları nesnelerin interneti (IoT) cihazlarına dönüştürdü. Otomotiv siber güvenliği ve veri yönetimi firması Upstream’in başkan yardımcısı Shira Sarid-Hausirer, otomobil üreticileri API’ler aracılığıyla daha fazla erişilebilirlik sundukça daha fazla riskin ortaya çıkacağını söylüyor.

“Ekosisteme açılmak muhtemelen en fazla riski beraberinde getiren şeydir” diyor ve şunu işaret ediyor: Tesla araçlarına yönelik çeşitli siber güvenlik saldırıları. “OEM’ler, artık aracınıza komut gönderebilecek diğer üçüncü taraf uygulamalara API’lerini açmaya başladığında ne olur? … Araç, teknoloji için bir merkez haline geliyor.”

Filo yönetimine izin vermek için şirketlere bu verilerin bir kısmına erişim izni vermek yeterli olabilir; Massachusetts Onarım Hakkı yasasındaki anlaşma ise bazı üçüncü tarafların araç bakım hizmetleri sunmasına izin veriyor. muhtemelen büyük bir maliyetle. SBD Automotive’den Oyler, SDV inovasyonunun hızlı temposu yavaşladıkça bu kısıtlamaların gelecekte iyileşip iyileşmeyeceğini zaman gösterecek, diyor.

“Hem NHTSA hem de otomobil üreticilerinin bazı uyarıları gündeme getirmesi bir bakıma adil, ancak bununla birlikte teşhis bilgilerini paylaşmanın güvenli bir yolu var ve yazılım tanımlı araç aslında bunu bu güvenli kanallar aracılığıyla yapmanın bir yolunu sunuyor” diyor.

Siber Saldırıların Çoğunlukla Felakete Dönüşmesi Mümkün Değil

Otomobil üreticilerinin son dönemde siber güvenliğe odaklanması, son on yılda çok daha güvenli platformların ortaya çıkmasını sağladı. Ancak Oyler, geleceğe yönelik odak noktasının müşterilere daha fazla şeffaflık sunarken aynı zamanda güvenlik ve emniyeti sağlamak olması gerektiğini söylüyor. Kurumsal müşteriler ve bireysel araç sahipleri, cihazlarında daha fazla bakım yapılabilirlik ve yeniden kullanılabilirlik talep ettikçe, otomobil üreticilerinin de buna uyması gerekecek.

Upstream’den Sarid-Hausirer, düzgün tasarlanmış platformların yaygın siber saldırı riskini de büyük ölçüde azaltabileceğini söylüyor. Şirket halihazırda bazı üreticiler için tehdit istihbaratı ve olay müdahalesini yönetiyor ve olayların çoğu güvenlikle ilgili değil, ancak şirketin açıklamasına göre şirket tüm olayların yarısını büyük veya yüksek önem derecesine sahip olarak sınıflandırıyor “2024 Otomotiv Siber Güvenlik Raporu

“Gördüğümüz olayların büyük çoğunluğunun mutlaka güvenliği tehlikeye atmadığını söyleyebilirim, çünkü güvenliğinizi tehlikeye atacak bir nedenin olması gerekir ve saldırganlar bu şekilde çalışmaz; onlar para kazanmak için oradadırlar, ” diyor. Bunun yerine şirket kullanılabilirliğe yönelik birçok saldırı gördü. “Uygulamayı manipüle ediyorlar, böylece sabahları kamyonlarınızı çalıştıramaz veya kamyonlarınıza binemezsiniz. Fidye yazılımı olabilir, başka şekillerde de olabilir, ancak bulunabilirlik ve filolar tartışılması gereken bir şeydir.”

Diğer saldırılar araç çağırma uygulamalarını kullanarak Moskova’da trafik sıkışıklığına neden oluyor ve uzaktan başlatma uygulamaları için hack’ler. Bu kullanılabilirlik sorunlarının, onarım hakkı için gerekli bilgiler gibi teşhis sistemleriyle daha az, yönetim sistemleriyle daha çok ilgili olduğunu söylüyor.





Source link