Trang chủ » Thách thức bảo mật ô tô trong trung hạn

Thách thức an ninh mạng ô tô trung hạn

Tháng năm 09, 2023 • César Daniel Barreto

Bình minh của xe điện đã khơi dậy một sự thay đổi to lớn trong lĩnh vực ô tô. Xe hơi không còn chỉ là những cỗ máy đơn giản của quá khứ, mà giờ đây giống như những hệ thống máy tính phức tạp trên bánh xe, ngày càng tiến gần hơn đến việc trở thành các thực thể robot tự động hóa cao. Bài viết này đi sâu vào thế giới phức tạp của các phương tiện hiện đại, khám phá các cảm biến công nghệ cao, sức mạnh tính toán rộng lớn và vô số dòng mã hỗ trợ khả năng kết nối và độc lập của chúng.

Cùng với những tiến bộ như vậy là nhu cầu cấp thiết về các hệ thống đáng tin cậy, kiên cố để bảo vệ chống lại các mối nguy về an toàn chức năng và các cuộc tấn công mạng.

Khi chúng ta tiến vào năm 2023 và hơn thế nữa, các nhà sản xuất ô tô lớn đang rất lo ngại về yêu cầu phải tích hợp các yếu tố an ninh mạng vào mọi khía cạnh của hoạt động của họ, từ thiết kế xe và trạm sạc đến cơ sở hạ tầng giao thông và chuỗi cung ứng. Chiến lược này là rất quan trọng để tồn tại trong thế giới ngày càng số hóa của chúng ta.

Nhờ những đột phá trong công nghệ tính toán, ngành ô tô đã được biến đổi. Các phương tiện hiện nay có khả năng kết nối liền mạch với nhà sản xuất, chủ sở hữu và tài xế, nhờ vào sự kết hợp giữa công nghệ thông tin và các phương tiện thông minh sáng tạo, hợp tác và đa năng. Các ví dụ điển hình bao gồm các cuộc gọi khẩn cấp được kích hoạt khi xảy ra tai nạn hoặc định vị vị trí phương tiện qua GPS. Tuy nhiên, khi kết nối phương tiện gia tăng, thì tính dễ bị tấn công trước các mối đe dọa mạng cũng tăng lên.

Trong một thế giới mà các nguyên mẫu xe có trợ lái đang phát triển nhanh chóng, một số đã ra mắt tại thị trường châu Âu và Nhật Bản. Các tập đoàn lớn như Tesla và Google đang đầu tư nguồn lực vào lĩnh vực đang phát triển này, hoàn toàn nhận thức được tầm quan trọng của an ninh mạng. Họ nhận ra rằng những triển vọng hấp dẫn mà công nghệ tiên tiến mang lại cũng đi kèm với nguy hiểm, chẳng hạn như các cuộc tấn công mạng có mục tiêu. Do đó, việc giải quyết các rủi ro an ninh mạng trong lĩnh vực xe thông minh là vô cùng quan trọng.

Điểm yếu của xe máy tính

Tội phạm mạng ô tô tìm cách tác động đến các hệ thống điện tử của xe để kiểm soát xe, điều này có thể ảnh hưởng đến sự an toàn của người ngồi trên xe hoặc tệ hơn là gây ra tai nạn có thể ảnh hưởng đến các xe khác trên đường hoặc chính cơ sở hạ tầng giao thông trong trường hợp xảy ra va chạm. Có hồ sơ về các cuộc tấn công mạng vào xe thông minh từ các nhà sản xuất uy tín.

Không thay đổi bất kỳ nội dung nào: Các cuộc tấn công mạng vào bộ điều khiển viễn thông và mô-đun cổng trung tâm là phổ biến nhất. Phương thức tấn công là truy cập vật lý thông qua các giao diện khác nhau của xe với bên ngoài; hệ thống chẩn đoán trên xe, bộ nhớ USB hoặc mạng di động, có thể cung cấp quyền truy cập vào toàn bộ mạng lưới xe và có khả năng thao túng các chức năng quan trọng như lái xe hoặc phanh.

Với ý nghĩa đó, các nhà sản xuất đang nỗ lực xây dựng các hệ thống bảo mật mạng mạnh mẽ và đáng tin cậy. Vào năm 2023, các chuyên gia bảo mật mạng khuyến nghị sử dụng tiêu chuẩn “Road Vehicles Cybersecurity Engineering” (ISO/SAE CD 21434), dựa trên tiêu chuẩn SAE J3061 “Cybersecurity Guidebook for CyberPhysical Vehicle Systems” nổi tiếng, nhằm giảm thiểu rủi ro từ các cuộc tấn công mạng có thể xảy ra đối với các phương tiện.

Lý do để tấn công mạng một chiếc xe thông minh

Tấn công mạng vào một chiếc xe đang di chuyển trên đường cao tốc có lưu lượng giao thông cao để gây ra tai nạn là một ví dụ về khủng bố mạng. Đội xe ô tô và phương tiện giao thông được coi là mục tiêu của khủng bố vì một cuộc tấn công vào lĩnh vực này sẽ ảnh hưởng tiêu cực đến một số lượng lớn người dùng. Một lý do khác để tấn công mạng vào xe là để tống tiền tài xế dưới sự đe dọa trộm cắp xe, thúc đẩy việc bán phụ tùng trên thị trường chợ đen hoặc thậm chí tệ hơn là truy cập vào dữ liệu thời gian thực trên xe như vị trí, điều hướng, thông tin về môi trường xung quanh và thậm chí là thông tin về tài xế và hành khách của bạn để bắt cóc hoặc giết bạn, trong trường hợp tiền chuộc không được thanh toán.

Các luật bảo vệ dữ liệu và quyền riêng tư đóng vai trò quan trọng trong việc bảo vệ chủ sở hữu phương tiện, vì các cơ sở bán xe, vào thời điểm bán, có thể xử lý một lượng lớn dữ liệu cá nhân, bao gồm thông tin thẻ tín dụng của người mua xe.

Không cần phải nói rằng nếu dữ liệu người tiêu dùng bị lộ và rơi vào tay tội phạm mạng, nó có thể gây ra thiệt hại nghiêm trọng, hoặc bằng cách bán dữ liệu, thực hiện các hành vi phạm tội vật lý khác, hoặc thực hiện phần mềm tống tiền trên bất kỳ chức năng nào của phương tiện khiến nó không thể sử dụng cho đến khi trả tiền chuộc để khôi phục lại chức năng.

Những thách thức của an ninh mạng ô tô

An ninh mạng đề xuất rằng các mắt xích khác nhau trong chuỗi ngành ô tô như nhà cung cấp: nhà sản xuất, nhà cung cấp, đại lý, xưởng sửa chữa sau bán hàng, nhà sản xuất và người quản lý các trạm sạc, chủ sở hữu cơ sở hạ tầng giao thông, các nhà vận chuyển và tài xế, trong số những người khác, tham gia vào một kế hoạch tuân thủ các yêu cầu về an ninh mạng.

Người châu Âu là nguồn tham khảo lớn nhất về các dự luật, việc thực hiện luật và việc thực hiện các quy định trong lĩnh vực an ninh mạng. Kinh nghiệm của họ là nguồn tham khảo bắt buộc và từ đó, có một loạt các khuyến nghị dưới dạng các thông lệ tốt cho an ninh mạng của xe thông minh. Những điều này trải qua quá trình bảo vệ toàn diện tất cả các hệ thống liên quan, bao gồm cả quy trình sau bán xe. Nhìn chung, các thách thức về an ninh mạng được đề cập để bảo vệ đội xe ô tô vào năm 2023:

  • Định nghĩa phương pháp dựa trên rủi ro để xác định và ưu tiên các rủi ro chính của xe.
  • Đảm bảo quyền riêng tư và bảo mật dựa trên thiết kế của xe kết nối và tự động.
  • Các nhà sản xuất có trách nhiệm cài đặt bản cập nhật trên xe tự hành để giảm thiểu lỗ hổng trước khi xe được bán.
  • Các xưởng hậu mãi có trách nhiệm cung cấp dịch vụ an ninh mạng cho xe sau khi bán để xử lý các sự cố an ninh khi chúng xảy ra, có khả năng thực hiện các bản cập nhật phần mềm để giải quyết các lỗ hổng trong trường hợp bị tấn công mạng, có cơ chế cho phép cấu hình lại và vô hiệu hóa các ứng dụng để đảm bảo các chức năng của xe tiếp tục hoạt động và không gây rủi ro cho người ngồi trên xe và môi trường.

Tất cả những điều này đòi hỏi phải có sự chuyên môn hóa về an ninh mạng trong ngành công nghiệp ô tô, vốn cũng giống như các ngành công nghiệp khác, đang thiếu hụt các kỹ sư an ninh mạng có trình độ. Để đáp ứng nhu cầu này, điều cần thiết là các công ty phải tập trung nỗ lực vào việc tăng cường các quy trình an ninh mạng dành riêng cho bãi đỗ xe ô tô.

Giáo dục công dân về an ninh mạng của xe thông minh

Các chuyên gia an ninh cho rằng mặc dù có các chương trình giáo dục liên tục, phần lớn mọi người vẫn cần hiểu được tầm quan trọng của việc được thông báo về tình trạng an ninh mạng của ô tô. Theo thời gian, ngày càng nhiều cá nhân bắt đầu chú ý đến an ninh mạng của ô tô và nhận ra những rủi ro do hệ thống an ninh mạng lỗi thời gây ra.

Các nhà sản xuất xe hơi tại Hoa Kỳ kể từ năm 2019 đã thực hiện một chiến dịch quan trọng về tầm quan trọng của việc duy trì hệ thống an ninh mạng, được thúc đẩy bởi một loạt các quy định của chính phủ nhằm bảo vệ công dân dựa trên các lý do sau:

  • Bảo vệ chống lại các cuộc tấn công mạng: Cả hai điểm truy cập vào các hệ thống điện tử của mỗi phương tiện được bán tại Hoa Kỳ phải được trang bị để bảo vệ chống lại các cuộc tấn công mạng, bao gồm các biện pháp cách ly để tách các hệ thống phần mềm quan trọng khỏi các hệ thống không quan trọng và cần phải đánh giá chúng trước các lỗ hổng bảo mật mạng, bao gồm việc áp dụng kiểm tra xâm nhập.
  • Bảo mật thông tin đã thu thập: Dữ liệu được thu thập từ các hệ thống điện tử của phương tiện phải được bảo mật để ngăn chặn việc truy cập trái phép. Ngược lại, dữ liệu được lưu trữ trong phương tiện khi được chuyển từ xe sang một vị trí khác và trong bất kỳ việc lưu trữ hoặc sử dụng dữ liệu ngoài phương tiện. Điều này đặc biệt áp dụng đối với các doanh nghiệp cho thuê xe.
  • Phát hiện, Báo cáo và Phản ứng với Các cuộc Tấn công Mạng: Bất kỳ phương tiện nào được sản xuất để bán tại Hoa Kỳ và có các điểm truy cập sẽ cần được trang bị khả năng phát hiện ngay lập tức, báo cáo và phản ứng với bất kỳ nỗ lực nào để can thiệp vào dữ liệu điều khiển và lái xe của phương tiện. Nếu là cho thuê, bạn phải trình bày một kế hoạch nghiêm ngặt hơn nữa để cập nhật hệ thống bảo mật mạng của mình.
  • Panel bảo mật mạng: tất cả các phương tiện phải có một bảng điều khiển bảo mật mạng thông báo người lái xe thông qua đồ thị chuẩn và mức độ bảo vệ và quyền riêng tư dễ hiểu.

Các sáng kiến nêu trên đang được các quốc gia khác xem xét. Các chuyên gia an ninh mạng khuyến nghị rằng một cơ quan điều phối an ninh mạng cho ngành ô tô giúp các cơ quan quản lý giao thông xác định, phát hiện, bảo vệ, ứng phó và phục hồi sau các mối đe dọa mạng và tấn công mạng.

Kết luận

Khi nói đến an ninh mạng trong lĩnh vực ô tô, chúng ta cần phải xem xét đến an ninh mạng và quyền riêng tư của xe ngay từ khâu thiết kế, cũng như tất cả các yếu tố mà xe sẽ tương tác sau này, chẳng hạn như hệ thống sạc, đường sá lưu thông hoặc hệ thống quản lý giao thông, tất cả những điều này đều phải tính đến chuỗi cung ứng của xe và các trách nhiệm cơ bản trong trường hợp có sự cố xảy ra.

Để tích hợp an ninh mạng và quyền riêng tư ngay từ thiết kế, cần phải nuôi dưỡng một văn hóa an ninh mạng trong các nhà sản xuất xe hơi và phụ tùng thay thế, để họ có thể xác định và quản lý các chính sách an ninh mạng, đào tạo nhân viên, áp dụng chu kỳ sống cho sự phát triển của xe và suy nghĩ về các phản ứng đối với các mối đe dọa mạng và tấn công mạng có thể xảy ra. Việc giáo dục người dùng liên quan đến việc hiểu trạng thái an ninh mạng của xe của họ và trách nhiệm của họ trong trường hợp xảy ra sự cố an ninh mạng.

tác giả avatar

César Daniel Barreto

César Daniel Barreto là một nhà văn và chuyên gia an ninh mạng được kính trọng, nổi tiếng với kiến thức sâu rộng và khả năng đơn giản hóa các chủ đề an ninh mạng phức tạp. Với kinh nghiệm sâu rộng về bảo mật mạng và bảo vệ dữ liệu, ông thường xuyên đóng góp các bài viết và phân tích sâu sắc về các xu hướng an ninh mạng mới nhất, giáo dục cả chuyên gia và công chúng.

viVietnamese