Cyberbezpieczeństwo w automotive - kto pomoże zabezpieczyć twój biznes

Dla osób, które nie mają zbyt dużo wspólnego z szeroko pojętym sektorem motoryzacji, może wydawać się dziwne, że międzynarodowe instytucje, takie jak Europejska Komisja Gospodarcza Organizacji Narodów Zjednoczonych, swoimi regulacjami mają wpływ na rynek producentów samochodów i bezpieczeństwo.

Mam tu na myśli znane już z naszego bloga wytyczne, kryjące się pod akronimami R155 oraz R156.  Jako Certified Ethical Hacker pomagam firmom we wdrożeniu tych regulacji, a dziś podpowiem ci, kto w twojej firmie, bądź poza nią, może wesprzeć twoją organizację w zaadaptowaniu procesów do wymogów związanych z cyberbezpieczeństwem.

R155/R156 a bezpieczeństwo informatyczne w motoryzacji

Regulacja R155 wprowadza i nakłada obligatoryjne zmiany na producentów z branży automotive. Dotyczy to wszystkich elementów łańcucha dostaw tej gałęzi przemysłu, a wymagania koncentrują się na zapewnieniu cyberbezpieczeństwa i podkreśleniu wysiłku, by rzeczone  osiągnąć. Cyberbezpieczeństwo nie jest towarem, po który idziemy do sklepu i kupujemy na sztuki – osiąga się je zazwyczaj (ale też nie tylko) jako wynik dobrze działającej machiny – procesu, w którym jesteśmy gotowi na niespodzianki.

Samo użycie słowa proces może być mylące, bo działania te wymagają ogromnego nakładu pracy i sztuką jest zrobić to z punktu branżowego lege artis. Znamienne jest to, że organizacje, których przepisy dotyczą, mają wyznaczony termin wdrożenia regulacji na koniec roku 2023, czyli w sumie w realiach biznesowych, można bez nadużycia powiedzieć, że na już, jak nie na wczoraj.

Zależności pomiędzy R155 i ISO/SAE 21434:2021 oraz R156 i ISO 24089:2023

Istnieją silne więzy pomiędzy regulacją R155 a wymienionym już standardem ISO/SAE 21434:2021. Standard specyfikuje wymagania cyberbezpieczeństwa na systemy elektryczne i elektroniczne istniejące w pojazdach, a sama norma nie określa konkretnej technologii ani nie wyszczególnia rozwiązań związanych z cyberbezpieczeństwem.

ISO/SAE 21434:2021 daje jednak wytyczne, by wprowadzić – na poziomie zarówno organizacji jak i projektu – system do zarządzania cyberbezpieczeństwem, ustanowić polityki, które adresują problemy związane z zabezpieczeniem pojazdów, ale też dokonywać ciągłych aktywności, by ukazać wysiłek, wkładany w zapewnienie bezpieczeństwa informatycznego.

Takimi aktywnościami mogą być procedury odpowiedzi na incydenty cyberbezpieczeństwa czy stosowanie sprawdzonych na rynku bezpiecznych sposobów opracowywania oprogramowania. Trzeba jednak stwierdzić, że sama norma ISO SAE 21434 nie dotyka problemu cyberbezpieczeństwa – idzie raczej w kierunku zabezpieczenia systemów komputerowych wdrożonych w pojazdach – akcentowana jest tam także potrzeba zarządzania ryzykiem cybernetycznym.

Z kolei regulacja R156 głównie koncentruje się na kwestiach związanych z samymi pojazdami (m.in. homologacji), a dokładniej  oprogramowaniu, i formułuje wymagania w zakresie jego aktualizacji i ich zarządzaniu. Regulacja R156 jest zaadresowana w standardzie ISO 24089:2023.

Kogo i jakich kompetencji potrzebujesz, żeby zapewnić bezpieczeństwo cyfrowe w automotive?

Niczym odkrywczym jest powiedzieć, że współcześnie samochód ma więcej wspólnego z poruszającym się komputerem, niż tylko napędzanym przez paliwo pojazdem. Jakich kompetencji w zespole potrzebujesz, żeby dbać o cyberbezpieczeństwo w szeroko rozumianej branży motoryzacyjnej?

Sam dział inżynierii, który opracowuje systemy na potrzeby pojazdów, jest środowiskiem dość specyficznym i swoim zakresem obejmuje biegłość w systemach wbudowanych, a co za tym idzie, wymagana jest wiedza z zakresu mikrokontrolerów i opartych na nich realizacji asemblerowych mnemoników.

• Security Researchers – mnogość egzotycznych dla zwykłego człowieka protokołów typu CAN, LIN, FlexRay, które znajdują się w nowoczesnych systemach automotive, powoduje duże zapotrzebowanie na specjalistów od ich kontrolowanego psucia, stąd też badacze bezpieczeństwa mogą być w wielu organizacjach niezbędni. We współczesnych samochodach nie brakuje przecież modułów Bluetooth, 802.11 czy GPS/GLONASS/Galileo. To, niestety, poza poszerzaniem możliwości funkcjonalnych samochodu i zapewnianiem udogodnień, naraża go na całe spektrum zagrożeń związanych z komunikacją. Od co najmniej 8 lat istnieją udokumentowane scenariusze, w których przejmuje się zdalnie kontrolę nad pojazdem, a w samych zasobach internetu czy magazynach motoryzacyjnych można znaleźć stwierdzenia, że jest to możliwe dla wszystkich pojazdów, wyprodukowanych po 2005 roku. Przejęcie kontroli umożliwia m.in. zatrzymanie samochodu, manipulację jego systemami odpowiedzialnymi za komfort jazdy, oprogramowaniem safety-critical czy pogwałceniem polityk zapewniających prywatność, gdyż atakujący ma możliwość powiązania modułu GPS z kierowcą.

• Inżynierowie z kompetencjami w modelowaniu zagrożeń i określaniu ryzyk – samo precyzyjne określenie takich zagrożeń i nadanie im odpowiednich, niezależnych i miarodajnych poziomów, wydaje się być kluczowe, by zabezpieczyć produkty na zadowalającym poziomie. W tym miejscu warto wspomnieć też o specjalistach, zajmujących się opracowywaniem i wdrażaniem zabezpieczeń opartych o kryptografię. Ich zadaniem jest zapewnienie odpowiedniego poziomu poufności przesyłanych danych, a takie zabezpieczenia mogą również stanowić zaciemnianie (obfuskację) kodu, by utrudnić inżynierię wsteczną.
• Pentesterzy, czyli osoby przeprowadzające testy penetracyjne systemów, np. oparte o fuzzing, ale też dokonujące ewaluacji zastosowanych zabezpieczeń kryptograficznych czy ocenianie zastosowanych modułów Wi-Fi czy Bluetooth.
• Audytorzy, którzy są w stanie przeprowadzić rzetelny i drobiazgowy test twoich procesów, znający przepisy oraz posiadający wiedzę, gdzie szukać słabych punktów. Oni, z racji sprawowanej funkcji, będą wchodzić w rolę wyroczni, która, dokonując przeglądu procesów, procedur, dokumentacji i wywiadów), będzie potwierdzać zgodność z wytycznymi standardu. I, chcąc nie chcąc, poniesiesz konsekwencje, jeśli ocena będzie negatywna.

Mnogość funkcji i potrzeb przyprawia o zawrót głowy, a biorąc poprawkę na braki kadrowe na rynku IT, nabawić się można porządnej migreny. Dbanie o cyberbezpieczeństwo nie jest łatwą sprawą, jednak warto zatroszczyć się o nie wcześniej niż później. Skutki zaniedbania pojawią się bardzo szybko, a ich naprawa będzie znacznie kosztowniejsza niż doświadczony zespół, który przygotuje twoją organizację do nowej rzeczywistości, gdzie prym wiodą R155 oraz R156.

Problem firm, które opracowują systemy na potrzeby automotive, może być bardzo prozaiczny, a jest nim brak wykwalifikowanych specjalistów, posiadających wiedzę z zakresu zarówno cyberbezpieczeństwa jak i samej branży. Jeśli i twoja organizacja boryka się z niedoborem inżynierów, skorzystaj z usług partnera technologicznego, mającego doświadczenie z zagadnieniami cyberbezpieczeństwa w branży motoryzacyjnej i skontakuj się z nami.

Obejrzyj nasz webinar: 10 pytań o cyberbezpieczeństwo w automotive