Cybersikkerhedsudfordringer for biler på mellemlang sigt
maj 09, 2023 - César Daniel Barreto
Fremkomsten af elbiler har udløst et monumentalt skift inden for bilindustrien. Biler er ikke længere blot simple maskiner fra fortiden, men ligner nu indviklede computersystemer på hjul, der kommer stadig tættere på at blive højt autonome, robotiske enheder. Denne artikel dykker ned i den komplekse verden af moderne køretøjer og udforsker deres avancerede sensorer, enorme beregningsevner og utallige kodelinjer, der understøtter deres tilslutningsmuligheder og uafhængighed.
Med sådanne fremskridt kommer det presserende behov for pålidelige, forstærkede systemer til at forsvare sig mod funktionelle sikkerhedsrisici og cyberangreb.
Når vi bevæger os ind i 2023 og videre, er de største bilproducenter dybt bekymrede over nødvendigheden af at væve cybersikkerhedsovervejelser ind i alle aspekter af deres operationer, fra bildesign og ladestationer til transportinfrastruktur og forsyningskæder. Denne strategi er afgørende for at overleve i vores stadigt mere digitaliserede verden.
Takket være gennembrud inden for computere er bilindustrien blevet transformeret. Køretøjer har nu sømløse forbindelser til producenter, ejere og chauffører, gjort muligt af sammensmeltningen af informationsteknologi og innovative, samarbejdende og alsidige smartkøretøjer. Eksempler er mange, såsom nødopkald under ulykker eller lokalisering af køretøjer via GPS. Dog øges køretøjernes sårbarhed over for cybertrusler med stigende konnektivitet.
I en verden, hvor prototyper på førerassisterede køretøjer udvikler sig hurtigt, har nogle allerede gjort deres debut på de europæiske og japanske markeder. Industri-giganter som Tesla og Google investerer ressourcer i dette spirende felt og forstår fuldt ud betydningen af cybersikkerhed. De erkender, at de lokkende udsigter, som banebrydende teknologi tilbyder, også medfører farer, såsom målrettede cyberangreb. Derfor er det yderst vigtigt at adressere cybersikkerhedsrisici inden for området for intelligente køretøjer.
Svage punkter ved et computerstyret køretøj
Cyberkriminelle forsøger at påvirke køretøjets elektroniske systemer for at tage kontrol over det, hvilket kan påvirke passagerernes sikkerhed eller i værste fald skabe ulykker, der kan påvirke andre køretøjer på vejen eller selve transportinfrastrukturen i tilfælde af en kollision. Der er registreret cyberangreb på intelligente køretøjer fra prestigefyldte producenter.
Uden at ændre noget i indholdet: Cyberangreb på telematik-kontrolenheden og den centrale gateway-modul er de mest almindelige. Angrebsmåden sker ved fysisk adgang gennem forskellige grænseflader på køretøjet med omverdenen; omborddiagnosesystemer, USB-hukommelse eller mobilnetværket, som kan give adgang til hele køretøjets netværk og gøre det muligt at manipulere funktioner så kritiske som styring eller bremsning.
I den forstand arbejder producenterne hårdt på robuste og pålidelige cybersikkerhedssystemer. I 2023 anbefaler cybersikkerhedsspecialister brugen af standarden „Road Vehicles Cybersecurity Engineering“ (ISO/SAE CD 21434), der er baseret på den velkendte SAE J3061 „Cybersecurity Guidebook for CyberPhysical Vehicle Systems“-standard, som forsøger at minimere risikoen forårsaget af mulige cyberangreb på køretøjer.
Grunde til at cyberangribe et intelligent køretøj
Cyberangrebet på et køretøj i bevægelse på en stærkt trafikeret motorvej for at forårsage en ulykke er et eksempel på cyberterrorisme. Bilparken og transportsektoren anses for at være et mål for terrorisme, fordi et angreb på denne sektor vil påvirke et stort antal brugere negativt. En anden grund til at cyberangribe køretøjer er at afpresse penge fra førere under trussel om køretøjstyveri, der fremmer salget af dele på det sorte marked, eller endnu værre, at få adgang til realtidsdata om et køretøj såsom dets placering, navigation, oplysninger om dine omgivelser og endda oplysninger om din fører og passagerer med henblik på kidnapning eller mord, hvis løsesummen ikke bliver betalt.
Databeskyttelses- og privatlivslove spiller en væsentlig rolle i at beskytte bilejere, da bilsalgsforretninger på tidspunktet for salget kan behandle en stor mængde personlige data, herunder kreditkortoplysninger fra den person, der køber køretøjet.
Det siger sig selv, at hvis forbrugerdata bliver afsløret og falder i hænderne på cyberkriminelle, kan det forårsage alvorlige skader, enten ved at sælge dataene, udføre andre typer fysiske kriminelle handlinger eller udføre ransomware på nogen af køretøjets funktioner, der forhindrer dets brug, indtil der betales en løsesum for at gendanne funktionaliteten.
Udfordringer med cybersikkerhed i bilindustrien
Cybersikkerhed foreslår, at forskellige led i bilindustriens kæde som leverandør: producenter, leverandører, forhandlere, eftersalgs værksteder, producenter og ledere af ladestationer, ejere af transportinfrastrukturer, transportører og chauffører, blandt andre, deltager i en plan, der overholder cybersikkerhedskrav.
Europæerne er den største reference med hensyn til lovforslag, implementering af love og implementering af regler inden for cybersikkerhed. Deres erfaringer er obligatoriske referencer, og fra dem er der en række anbefalinger i form af god praksis for cybersikkerhed i intelligente køretøjer. Disse omfatter en holistisk beskyttelse af alle de involverede systemer, herunder køretøjets eftersalgsproces. Generelt nævnes cybersikkerhedsudfordringerne for at beskytte bilflåden i 2023:
- Definition af en risikobaseret metode til at identificere og prioritere de vigtigste køretøjsrisici.
- Garanti for privatlivets fred og sikkerhed baseret på design af forbundne og automatiserede køretøjer.
- Producenterne er ansvarlige for at installere opdateringer på autonome køretøjer for at reducere sårbarheder, før køretøjerne sælges.
- Eftersalgsværksteder er ansvarlige for at tilbyde en cybersikkerhedstjeneste til køretøjer, når de er solgt, for at håndtere sikkerhedsproblemer, når de opstår, og være i stand til at udføre softwareopdateringer, der løser sårbarheder i tilfælde af cyberangreb har mekanismer, der gør det muligt at omkonfigurere og deaktivere applikationer for at sikre, at køretøjets funktioner fortsætter med at være aktive og ikke udgør en risiko for køretøjets passagerer og miljøet.
Alt dette kræver en specialisering i cybersikkerhed i bilindustrien, der ligesom andre industrier lider under en mangel på kvalificerede cybersikkerhedsingeniører, og for at imødekomme dette behov er det vigtigt, at virksomheder retter indsatsen mod at styrke cybersikkerhedsprocesser udelukkende for bilparken.
Uddannelse af borgerne om cybersikkerhed i deres intelligente køretøjer
Sikkerhedseksperter mener, at på trods af efteruddannelsesprogrammer er de fleste mennesker stadig nødt til at forstå, hvor vigtigt det er at være informeret om cybersikkerhedstilstanden i deres biler. Som tiden går, vil flere og flere begynde at være opmærksomme på deres bilers cybersikkerhed og erkende de risici, der er forbundet med et forældet cybersikkerhedssystem.
Køretøjsproducenter i USA har siden 2019 gennemført en vigtig kampagne om vigtigheden af at vedligeholde cybersikkerhedssystemer, drevet af en række regeringsbestemmelser, der er implementeret for at beskytte borgerne baseret på følgende:
- : Begge indgange til elektroniske systemer i hvert køretøj, der udbydes til salg i USA, skal være udstyret til at beskytte mod cyberangreb, herunder isoleringsforanstaltninger for at adskille kritiske softwaresystemer fra ikke-kritiske systemer og behovet for at evaluere det mod cybersikkerhedssårbarheder, herunder anvendelse af penetrationstest.
- Sikkerhed for indsamlede oplysninger: Data indsamlet af køretøjets elektroniske systemer skal sikres for at forhindre uautoriseret adgang. Derimod opbevares dataene i køretøjet, mens de overføres fra bilen til et andet sted og i enhver opbevaring eller brug af dataene udenfor køretøjet. Dette gælder især for virksomheder, der lejer køretøjer ud.
- Cyberangreb Detektion, Rapportering og Respons: Ethvert køretøj, der er fremstillet til salg i USA og har adgangspunkter, skal være udstyret med funktioner til straks at opdage, rapportere og reagere på ethvert forsøg på at opsnappe køretøjets køre- og kontroldata. Hvis det er til leje, skal du præsentere en endnu mere streng plan for at opdatere dit cybersikkerhedssystem.
- Cybersecurity-panel: Alle køretøjer skal have et cybersecurity-panel, der informerer føreren gennem en standardgraf og gør det nemt at forstå beskyttelses- og privatlivsniveauet.
De ovennævnte initiativer overvejes af andre lande. Cybersikkerhedsspecialisterne anbefaler, at et organ koordinerer cybersikkerhed for bilsektoren, som hjælper transportmyndighederne med at identificere, opdage, beskytte, reagere på og komme sig over cybertrusler og cyberangreb.
Som konklusion
Når man taler om cybersikkerhed i bilsektoren, skal man overveje køretøjets cybersikkerhed og privatlivets fred fra dets design samt alle de elementer, som det efterfølgende vil interagere med, såsom opladningssystemer, de veje, det kører på, eller trafikstyringssystemer, alt sammen under hensyntagen til køretøjets forsyningskæde og det underliggende ansvar i tilfælde af, at noget går galt.
For at integrere cybersikkerhed og privatliv som en del af designet, skal der fremmes en kultur for cybersikkerhed hos bil- og reservedelsproducenter, så de kan definere og styre cybersikkerhedspolitikker, uddanne folk, vedtage livscyklusser for udviklingen af køretøjer og tænke på svar på mulige cybertrusler og cyberangreb. Uddannelse af brugerne involverer at kende cybersikkerhedsstatus for deres køretøjer og deres ansvar i tilfælde af cybersikkerhedsfejl.
César Daniel Barreto
César Daniel Barreto er en anerkendt cybersikkerhedsskribent og -ekspert, der er kendt for sin dybdegående viden og evne til at forenkle komplekse cybersikkerhedsemner. Med omfattende erfaring inden for netværks sikkerhed og databeskyttelse bidrager han regelmæssigt med indsigtsfulde artikler og analyser om de seneste cybersikkerhedstendenser og uddanner både fagfolk og offentligheden.