KIBERBIZTONSÁG

Az autóipar radikális paradigmaváltás folyamatát éli, már nyakig benne van: a gyors ütemű digitalizációval egyre több elektronikus vezérlőrendszer, intelligens alkatrész, beágyazott rendszer és API-interfész (alkalmazásprogramozási interfész) kerül a járművekbe, azok minden eddiginél nagyobb teljesítményűek, biztonságosabbak és intelligensebbek lesznek. Az elektronikától való növekvő függőség azonban veszélyeket is rejt magában. Az autóipari kiberbiztonság napjaink kihívása az autógyártók számára. Az autó minden kommunikációs interfésze és alkatrésze potenciális támadási pontot jelent a kiberbűnözők számára. A támadások kárpotenciálja gyorsan növekszik, például az autonóm módon vezérelt járművek vagy az elektronikusan vezérelt vezetési és fékezési funkciók tekintetében.

Az ENSZ két, nemrégen megalkotott rendelettel határozza meg az autóipari kiberbiztonság alapvető kereteit. Ezek az ENSZ UN R 155, amely közvetlenül az új ISO/SAE 21434 szabványra épül és utal, valamint az UN R 156 frissítés. Az előírások már 2022 júliusától kötelezővé válnak az új járműtípusokra. Az autóipar tehát komoly kihívások előtt áll – különösen azért, mert számos autógyártó és első beszállító kritizálja az új előírásokat, mivel azok nagyon általánosak. Itt széles körű az igény a konkrét cselekvési ajánlásokra, mint kötelező védőkorlátra. Miért van szükség az autóipari kiberbiztonságra?

Informatikailag összekapcsolt járművek asszisztensrendszereket, (részben) autonóm vezetést, a beszállítók bevonásával történő hálózatba kapcsolt gyártást, összekapcsolt szolgáltatások sorát jelentik. A digitalizáció az autóipar szinte minden területén egyértelműen érezteti hatását és gyorsan halad előre. A modern autók akár 150 elektronikus vezérlőegységet és mintegy 100 millió programsort, kódot tartalmaznak, ami 2030-ra várhatóan megháromszorozódik. A mai járművekben lévő szoftverek mennyisége már most is négyszerese egy vadászrepülőgépének. 2015-ben két amerikai informatikai szakértő bemutatta egy Jeep Cherokeera irányuló hackelés lehetséges hatásait. Kompromittálták a UconnectTM rendszert, amely számos elektronikus járműfunkciót egyesít az infotainmenttől a navigációig. Emellett interfészként is szolgál a mobileszközök számára és kérésre WLAN-hotspotot nyit, más szóval IP-címmel rendelkezik. A két hacker, hogy demonstrálják képességeiket, meghívtak egy újságírót, akinek nem sokkal később tehetetlenül kellett végignéznie, ahogy elveszítik az irányítást a jármű felett. A több mint 1000 kilométeres távolságból a hackerek először a klímát és a rádiót kapcsolták be a laptopjukon keresztül. Ezután ablaktörlő vizet fújtak a szélvédőre, végül pedig egyszerűen leállították a motort egy autópálya közepén. A járművek informatikai infrastruktúrájának komoly sebezhetőségét bizonyító első bizonyíték után még egy kicsit tovább is mentek. Egy üres parkolóban demonstrálták, hogy akár a kormányzást is befolyásolni tudják, vagy a fékeket felülbírálni. Ennek következménye 1,4 millió jármű visszahívása és 105 millió dolláros bírság lett.

Ma már nem elegendőek a szelektív intézkedések a járművek holisztikus védelméhez. Ehelyett szisztematikus és stratégiai megközelítésekre van szükség, amelyek egyértelmű követelményeket határoznak meg a biztonsági rendszer alkalmazási körére, teljesítményére és ellenőrzésére vonatkozóan. A stratégiai megközelítésnek a termék teljes életciklusára ki kell terjednie. Itt a hangsúlyt például a szoftverfrissítések hosszú távú elérhetőségére vagy a teljes ellátási lánc integrációjára kell helyezni.

A rendeletek 2021 elején léptek hatályba. Az új járműtípusok esetében 2022 júliusától lesz kötelező a megfelelés. Azok a gyártók, akik nem teljesítik a követelményeket, ezután az érintett járműtípusok nyilvántartásba vételének megtagadásával kell számolniuk. Végül 2024 júliusától az előírások minden újonnan gyártott járműre vonatkoznak majd.

Forrás
Holger Schmeken, a KRITIS (Kritische Infrastrukturen) auditálási eljáráshoz szükséges kompetenciával rendelkező ISO 27001 auditorának, a DQS BIT GmbH vezetőjének írásai