Էլեկտրական և ծրագրակազմով սահմանված ավտոմեքենայի պաշտպանություն

Ավտոմոբիլային հաքերները աճում են, մինչդեռ նորարարական տեխնոլոգիաները, ինչպիսիք են էլեկտրական, ինքնավար և/կամ ... [+] Ծրագրային ապահովման միջոցով սահմանված տրանսպորտային միջոցները էքսպոնենցիալ մեծացրել են պոտենցիալ սպառնալիքները: Այսպիսով, կիբերանվտանգության համայնքը հավաքվում է սովորելու, կիսվելու և արձագանքելու համար: (Լուսանկարը՝ Sean Gallup/Getty Images)

Getty Images

«Պուտինը գլխավորն է. Փառք Ուկրաինային»։

Դա այն է, ինչ վերջերս կարդացել են էլեկտրական մեքենաների լիցքավորման սարքերի կոտրված սարքերը Մոսկվայի մերձակայքում գտնվող հաշմանդամ լիցքավորման կայաններում: Եվ որքան էլ այն ժպիտ է առաջացնում շատերի դեմքին ամբողջ աշխարհում, այն ընդգծում է մի կետ, որը արվել է մի քանի հետազոտողների և մշակողների կողմից, ովքեր հավաքվել են անցյալ շաբաթ ժ. Էսկար 2022 (համաժողով, որն ամեն տարի կենտրոնանում է ավտոմոբիլային կիբերանվտանգության խորը, տեխնիկական զարգացումների վրա). ավտոմոբիլային հաքերները աճում են: Փաստորեն, պեր Upstream Automotive-ի հաշվետվությունըԿիբերհարձակումների հաճախականությունը 225-ից մինչև 2018 թվականն աճել է ահռելի 2021%-ով, ընդ որում 85%-ը կատարվել է հեռակա կարգով, իսկ 54.1-ի հաքերների 2021%-ը եղել են «Black Hat» (նաև չարամիտ) հարձակվողները:

Այս կոնֆերանսի տարբեր, իրական աշխարհի զեկույցները լսելու ընթացքում մի քանի բան ակնհայտ դարձավ. կան և՛ լավ, և՛ վատ նորություններ՝ հիմնված այս կարևոր ոլորտում մշտապես պահանջվող ուշադրության վրա:

Վատ նորություններ

Իր ամենապարզ բառերով, վատ նորությունն այն է, որ տեխնոլոգիական առաջընթացը միայն ավելի հավանական է դարձնում Առաջին օրվա իրադարձությունների հավանականությունը: «Էլեկտրական մեքենաները ստեղծում են ավելի շատ տեխնոլոգիաներ, ինչը նշանակում է, որ ավելի շատ սպառնալիքներ և սպառնալիքներ կան», - ասում է Ջեյ Ջոնսոնը, Սանդիայի ազգային լաբորատորիաների գլխավոր հետազոտողը: «46,500 թվականի դրությամբ արդեն հասանելի է 2021 լիցքավորիչ, և մինչև 2030 թվականը շուկայի պահանջարկը ենթադրում է, որ դրանք կլինեն մոտավորապես 600,000»: Ջոնսոնը շարունակեց ուրվագծել հետաքրքրության չորս հիմնական միջերեսները և հայտնաբերված խոցելիության նախնական ենթախումբը, ինչպես նաև առաջարկություններ, բայց ուղերձը պարզ էր. պետք է լինի շարունակական «զենքի կոչ»: Նա առաջարկում է, որ դա միակ միջոցն է խուսափելու այնպիսի բաներից, ինչպիսին է Denial of Service (DoS) հարձակումը Մոսկվայում: «Հետազոտողները շարունակում են բացահայտել նոր խոցելիությունները,- ասում է Ջոնսոնը,- և մեզ իսկապես անհրաժեշտ է անոմալիաների, խոցելիության և արձագանքման ռազմավարությունների մասին տեղեկատվության փոխանակման համապարփակ մոտեցում՝ ենթակառուցվածքների վրա համակարգված, համատարած հարձակումներից խուսափելու համար»:

Էլեկտրական մեքենաները և դրանց հետ կապված լիցքավորման կայանները միակ նոր տեխնոլոգիաներն ու սպառնալիքները չեն: «Ծրագրաշարով սահմանված փոխադրամիջոցը» կիսանոր ճարտարապետական հարթակ է (*կարելի է, որ 15+ տարի առաջ օգտագործվել է General Motors-ի կողմից։GM
և OnStar), որոնց դեմ որոշ արտադրողներ պատրաստվում են պայքարել միլիարդավոր դոլարների վատնում յուրաքանչյուր մեքենայի շարունակական վերամշակման վրա: Հիմնական կառուցվածքը ներառում է մեքենայի ուղեղի մեծ մասի տեղակայումը ափից դուրս, ինչը թույլ է տալիս վերաօգտագործել և ճկունություն ապահովել ծրագրաշարի ներսում, բայց նաև ներկայացնում է նոր սպառնալիքներ: Նույն «Upstream» զեկույցի համաձայն՝ վերջին մի քանի տարիների ընթացքում հարձակումների 40%-ը ուղղված է հետին սերվերներին: «Եկեք չխաբենք ինքներս մեզ,- զգուշացնում է Kugler Maag Cie-ի գործադիր տնօրեն Խուան Ուեբը,- ավտոմոբիլային շղթայում կան բազմաթիվ վայրեր, որտեղ հարձակումները կարող են տեղի ունենալ՝ սկսած արտադրությունից մինչև դիլերներ և արտերկրյա սերվերներ: Այնտեղ, որտեղ առկա է ամենաթույլ օղակը, դա ամենաէժանն է ներթափանցելու ամենամեծ ֆինանսական հետևանքները, այնտեղ հաքերները կհարձակվեն»:

Այնտեղ, escar-ում քննարկվածի մի մասն էր վատ-լուր-լավ նորությունը (կախված ձեր տեսակետից) UNECE կանոնակարգ Այս շաբաթ ուժի մեջ կմտնի մեքենաների բոլոր նոր տեսակների համար. արտադրողները պետք է ցուցադրեն կիբերանվտանգության կառավարման հզոր համակարգ (CSMS) և Ծրագրային ապահովման թարմացման կառավարման համակարգ (SUMS), որպեսզի մեքենաները հավաստագրվեն Եվրոպայում, Ճապոնիայում և, ի վերջո, Կորեայում վաճառքի համար: «Այս հավաստագրերին պատրաստվելը փոքր ջանք չէ», - ասում է Թոմաս Լիեդկեն, կիբերանվտանգության մասնագետ, որը նույնպես Kugler Maag Cie-ից:

Բարի լուր

Նախ և ամենակարևորը, ամենալավ նորությունն այն է, որ ընկերությունները լսել են հավաքի ձայնը և նվազագույնը սկսել են անհրաժեշտ խստություն սերմանել վերոհիշյալ «Սև գլխարկի» թշնամիների դեմ պայքարելու համար: «2020-2022 թվականներին մենք տեսել ենք կորպորացիաների աճ, որոնք ցանկանում են իրականացնել սպառնալիքների վերլուծություն և ռիսկերի գնահատում կամ TAR:AR
Ա», - նշում է Լիդկեն: «Որպես այդ վերլուծությունների մի մաս, առաջարկությունը եղել է կենտրոնանալ հեռակառավարվող հարձակման տեսակների վրա, քանի որ դրանք հանգեցնում են ավելի բարձր ռիսկային արժեքների»:

Եվ այս ամբողջ վերլուծությունն ու խստությունը ի սկզբանե կարծես թե իրենց ազդեցությունն են ունենում: IOActive-ի Սամանտա («Սեմ») Իզաբել Բոմոնտի կողմից ներկայացված զեկույցի համաձայն՝ 12 թվականի ներթափանցման թեստում հայտնաբերված խոցելիության միայն 2022%-ն է համարվել «Կրիտիկական ազդեցություն»՝ 25-ի 2016%-ի դիմաց, և միայն 1%-ն է եղել «Կրիտիկական հավանականության» դիմաց: 7% 2016թ.-ին: «Մենք տեսնում ենք, որ ներկա ռիսկերի վերացման ռազմավարությունները սկսում են արդյունք տալ», - ասում է Բոմոնտը: «Արդյունաբերությունն ավելի լավ է կառուցվում»:

Արդյո՞ք դա նշանակում է, որ արդյունաբերությունն ավարտված է: Իհարկե ոչ։ «Այս ամենը զարգացող կիբերհարձակումների դեմ նախագծերը խստացնելու շարունակական գործընթաց է», - առաջարկում է Ջոնսոնը:

Միևնույն ժամանակ, ես կնշեմ իմ հավաքած վերջին լավ լուրը. ռուս հաքերները զբաղված են ռուսական ակտիվները կոտրելով, այլ ոչ թե իմ սոցիալական ցանցերում:

Աղբյուր՝ https://www.forbes.com/sites/stevetengler/2022/06/28/cybersecurity-risks-protecting-the-electric-and-software-defined-car/