حفاظت از خودروی الکتریکی و نرم افزاری تعریف شده

هک‌های خودرو در حال افزایش هستند در حالی که فناوری‌های نوآورانه مانند برقی، خودکار و/یا [+] وسایل نقلیه نرم افزاری تعریف شده به طور تصاعدی تهدیدات بالقوه را افزایش داده اند. بنابراین جامعه امنیت سایبری برای یادگیری، به اشتراک گذاشتن و واکنش نشان می دهد. (عکس از شان گالوپ/گتی ایماژ)

گتی ایماژ

«پوتین یک سر است. افتخار اوکراین.»

این چیزی است که شارژرهای وسایل نقلیه الکتریکی هک شده در میان چیزهای دیگر در ایستگاه های شارژ غیر فعال در نزدیکی مسکو به تازگی خوانده شده است. و به همان اندازه که لبخند را به روی بسیاری از افراد در سراسر جهان می آورد، نکته ای را برجسته می کند که توسط چندین محقق و توسعه دهنده که هفته گذشته در اسکار 2022 (کنفرانسی که هر ساله بر پیشرفت‌های فنی و عمیق در امنیت سایبری خودرو تمرکز دارد): هک‌های خودرو در حال افزایش هستند. در واقع، برای گزارش Upstream Automotiveتعداد حملات سایبری از سال 225 تا 2018 به میزان 2021 درصد افزایش یافته است که 85 درصد آن از راه دور انجام شده است و 54.1 درصد از هک های سال 2021 را مهاجمان "کلاه سیاه" (معروف به مخرب) تشکیل می دهند.

در میان گوش دادن به گزارش‌های مختلف و واقعی در این کنفرانس، چند چیز آشکار شد: هم خبرهای خوب و هم خبرهای بد بر اساس تمرکز همیشه مورد نیاز در این حوزه حیاتی وجود دارد.

خبر بد

در ساده‌ترین عبارت، خبر بد این است که پیشرفت‌های فناوری تنها احتمال رویدادهای روز اول را بیشتر می‌کند. جی جانسون، پژوهشگر اصلی از آزمایشگاه ملی ساندیا، گفت: «وسایل نقلیه الکتریکی در حال ایجاد فناوری بیشتری هستند، به این معنی که تهدیدها و سطوح تهدید بیشتری وجود دارد. در حال حاضر 46,500 شارژر تا سال 2021 موجود است و تا سال 2030 تقاضای بازار نشان می دهد که تقریباً 600,000 شارژر وجود خواهد داشت. جانسون در ادامه چهار رابط اصلی مورد علاقه و یک زیرمجموعه اولیه از آسیب‌پذیری‌های شناسایی‌شده را همراه با توصیه‌ها ترسیم کرد، اما پیام واضح بود: نیاز به یک «فراخوان برای تسلیح» مداوم وجود دارد. او پیشنهاد می کند که این تنها راه برای جلوگیری از مواردی مانند حملات انکار سرویس (DoS) در مسکو است. جانسون می‌گوید: «محققان به شناسایی آسیب‌پذیری‌های جدید ادامه می‌دهند، و ما واقعاً به یک رویکرد جامع برای به اشتراک گذاشتن اطلاعات در مورد ناهنجاری‌ها، آسیب‌پذیری‌ها و استراتژی‌های پاسخ برای جلوگیری از حملات هماهنگ و گسترده به زیرساخت‌ها نیاز داریم».

خودروهای برقی و ایستگاه‌های شارژ مرتبط با آن‌ها تنها فناوری‌ها و تهدیدات جدید نیستند. "وسیله نقلیه نرم افزاری تعریف شده" یک پلت فرم معماری نیمه جدید است (* احتمالاً بیش از 15 سال پیش توسط جنرال موتورز استفاده شده است.GM
و OnStar) که برخی از تولیدکنندگان قصد مبارزه با آن را دارند میلیاردها دلار هدر می رود در توسعه مستمر هر وسیله نقلیه. ساختار اصلی شامل میزبانی بیشتر مغز خودرو در خارج از کشتی است که امکان استفاده مجدد و انعطاف پذیری در نرم افزار را فراهم می کند، اما همچنین تهدیدات جدیدی را ارائه می دهد. طبق همین گزارش Upstream، 40 درصد از حملات در چند سال گذشته سرورهای بک‌اند را هدف قرار داده‌اند. Juan Webb، مدیر عامل Kugler Maag Cie، هشدار می‌دهد: «بیایید خودمان را گول نزنیم، مکان‌های بسیاری در سراسر زنجیره خودرو وجود دارد که ممکن است حملات از تولید گرفته تا نمایندگی‌ها و سرورهای خارج از کشتی رخ دهد. هر جا که ضعیف‌ترین پیوند وجود داشته باشد، ارزان‌ترین راه برای نفوذ با بیشترین پیامدهای مالی است، آنجاست که هکرها به آن حمله خواهند کرد.»

در آنجا، بخشی از آنچه در اسکار مورد بحث قرار گرفت، اخبار بد-خوب-خبر (بسته به دیدگاه شما) بود. مقررات UNECE از این هفته برای همه انواع خودروهای جدید اعمال می شود: تولیدکنندگان باید یک سیستم مدیریت امنیت سایبری قوی (CSMS) و سیستم مدیریت به روز رسانی نرم افزار (SUMS) را برای خودروهایی که برای فروش در اروپا، ژاپن و در نهایت کره گواهینامه دریافت کنند، نشان دهند. توماس لیدکه، متخصص امنیت سایبری نیز از Kugler Maag Cie می‌گوید: «آماده شدن برای این گواهی‌ها تلاش کمی نیست.

خبر خوب

اول و مهمتر از همه، بهترین خبر این است که شرکت ها فریاد تجمع را شنیده اند و حداقل شروع به القای سختگیری لازم برای مبارزه با دشمنان کلاه سیاه فوق الذکر کرده اند. در سال‌های 2020-2022، شاهد افزایش شرکت‌هایی بوده‌ایم که مایل به انجام تحلیل تهدید و ارزیابی ریسک یا TAR هستند.AR
لیدکه می گوید. به عنوان بخشی از آن تحلیل‌ها، توصیه می‌شود روی انواع حملات کنترل‌شده از راه دور تمرکز کنید، زیرا این حملات منجر به ارزش‌های ریسک بالاتری می‌شوند.»

و همه این تحلیل ها و سخت گیری ها در ابتدا به نظر می رسد که تأثیر دارند. طبق گزارش ارائه شده توسط سامانتا ("Sam") ایزابل بومونت از IOActive، تنها 12٪ از آسیب پذیری های یافت شده در آزمایش نفوذ آنها در سال 2022 "تاثیر بحرانی" در نظر گرفته شدند در مقابل 25٪ در سال 2016، و تنها 1٪ "احتمال بحرانی" بودند. 7 درصد در سال 2016. Beaumont می‌گوید: «ما می‌بینیم که استراتژی‌های فعلی اصلاح ریسک شروع به نتیجه می‌دهند. "صنعت در ساخت بهتر بهتر می شود."

یعنی این صنعت تمام شده است؟ قطعا نه. جانسون پیشنهاد می‌کند: «همه اینها فرآیندی مستمر برای تقویت طرح‌ها در برابر حملات سایبری در حال تکامل است».

در همین حال، آخرین خبر خوبی را که به دست آوردم جشن می‌گیرم: هکرهای روسی به جای فید من در رسانه‌های اجتماعی، مشغول هک کردن دارایی‌های روسیه هستند.

منبع: https://www.forbes.com/sites/stevetengler/2022/06/28/cybersecurity-risks-protecting-the-electric-and-software-defined-car/