Ha az SGW nem kötelező, akkor miért van szinte minden autóban? - 1. rész

Ismét „tollhegyre tűzzük” az autók kiberbiztonság témáját, mely első sorban a független gépjárműszervizek szakembereit érinti, de a hamarosan a műszaki vizsga vizsgabiztosait, a tuningolókat, de a szakértő amatőröket is és a szakiskolai képzést is.

Ez a biztonság célú intézkedés SGW rövidítéssel híresült el, jelentése Security Gateway, biztonsági átjáró.

Az SGW egy olyan elektronikus biztonsági alkalmazás, ami a jármű diagnosztikai hálózatát (OBD-csatlakozó és az irányítóegységek közötti kommunikációt) védi.

„A cracker támadások nemcsak elméleti kockázatok, hanem valós veszélyek. Ha például valaki távolról manipulálja a fékvezérlőt vagy a motorvezérlést, az komoly biztonsági kockázatot jelenthet. Az SGW célja, hogy ezt megakadályozza, és csak hitelesített eszközök, felhasználók férhessenek hozzá a kritikus funkciókhoz.” – írja a ddc Kft.

Legjobb hasonlattal olyan, mint a komputertechnikából ismert digitális „tűzfal”, amely megakadályozza, hogy illetéktelen eszközök vagy alkalmazások hozzáférjenek a jármű irányítóegységeihez. (Velünk élnek a 4 keréken futó szoftverautók. Ma úgy hívják őket, hogy SDV (Software-Defined Vehicle), magyarul szoftver által vezérelt jármű.)

A probléma az az autó világában is, hogy a tűzfalat nyitni kell tudni, a biztonsági átjárón keresztül szabaddá kell tenni az információáramlást. Tehát szükséges az SGW feloldás a gyártók által engedélyezett módon.

Támadás érte, bírósági feljelentés – mi európai támadásokról tudunk – az SGW intézményét, mondván a független autójavítók életét keseríti meg, költségeiket növeli, az autógyárhoz való kötődést erősíti – egyszóval a munkát teszi nehezebbé, körülményesebbé.

Ezeket a bírósági „köröket” nem ismertetve, ma biztosnak tűnik, hogy az SGW marad a régiben, de technikai megoldása sokszínűséget mutat.


Megoldódott-e a hozzáférés általánosan?

Az Illés Kéglidal szövegét idézve:

„Sok kérdést már megoldottunk,
Nem volt soha ilyen jó dolgunk,
Mégis az ember néha érzi,
Bosszantó, hogy…”

…igen bosszantó, hogy folyamatosan gondot jelent az új modelleknél, megváltoztatott rendszerekkel találkozunk, ahol a régi gyakorlat már nem „viszi” a problémát.

A gyári úton való elérhetőség általában biztosított, egyenként más és más a folyamat és minden járuléka, például a frissítés a fizetés.

Mennyiben segítenek a diagnosztikai rendszerteszter gyártók? Nagyon sokban! Lassan mindegyik tud adni SGW-kompatibilis eszközt. Kapaszkodnak a „szeren”, mert ha nincs bejutás az agyakba, ECU szkennereik használhatatlanná válnak.


Nézzük az alapokat!

Az Autótechnikában „születésétől” nyomon követtük az SGW-t, de ez napjainkban (éveinkben) örökzöld téma.


Ki mondta, hogy SGW kell?

Az ENSZ EGB (UNECE) R155 előírása, melyre szoktak hivatkozni, nem szól róla. Ha átböngészi az ember az angol szöveget, (terjedelmes előírás!), az SGW-t nem találja!

Mert eszerint az SGW önmagában nem kötelező.
Az R155 a kiberbiztonsági irányítási rendszer (CSMS) követelményeit írja elő az autógyártók számára. Nem konkrét műszaki megoldást ad, hanem eredmény- és folyamatközpontú szabályozást tesz kötelezővé.

A gyártónak igazolnia kell, hogy:

  • van Cyber Security Management System (CSMS),
  • az autó teljes életciklusában kezeli a kiberkockázatokat,
  • védi a járművet illetéktelen hozzáférés, manipuláció, támadás ellen
    (pl. OBD, OTA, infotainment, backend kapcsolat stb.).

Nem mondja ki, hogy:

  • „kell Secure Gateway”
  • „kell külön SGW ECU”

Fontos, hogy

az ENSZ EGB R155 kötelező új típusjóváhagyásnál (EU: 2022.07-től), SGW azonban nem kötelező, csak – ma úgy vélik – a legjobb megoldás a megfeleléshez.
Mert az SGW egy kézenfekvő és jól auditálható megoldás az R155 teljesítésére.

Az SGW:

  • szegmentálja a CAN/Ethernet hálózatokat,
  • jogosultságot kezel (read/write),
  • naplózható, hitelesíthető,
  • jól illeszthető backendes tanúsítvány-kezeléshez.

Ezért a gyártók gyakorlatilag szabványmegoldásként használják, de ez iparági gyakorlat, nem jogszabályi kényszer.


Lehet R155-kompatibilis autó SGW nélkül?

Elméletben igen.
Például:

  • ECU-szintű kriptográfiai védelem,
  • secure boot + secure flashing minden vezérlőben,
  • hálózati IDS/IPS,
  • fizikai OBD védelem,
  • backend alapú jogosultságkezelés.

De ezek:

  • bonyolultabbak,
  • drágábbak,
  • nehezebben tanúsíthatók.

Ezért a gyakorlatban a legtöbb OEM SGW-t (vagy SGW-funkciót) alkalmaz, akár:

  • külön ECU-ban,
  • BCM-be, Gateway-be integrálva,
  • Ethernet gateway részeként.


Még mindig az alapozás!

A mondás szerint a dolgok nem járnak egyedül, itt is így van ez.

A tárgyalt R155 és az R156 két külön ENSZ EGB (UNECE)-szabályozás, amelyek egymással összefüggenek, de eltérő célokra és követelményekre vonatkoznak a

  • járművek szoftverbiztonság és az
  • OTA (Over-The-Air) frissítés területén. 

UNECE R156 – Software Update Management System (SUMS) mit szabályoz?

Az R156 elsősorban a szoftverfrissítések kezelésére és végrehajtására vonatkozik, beleértve az OTA (távoli) frissítéseket is, és előírja a gyártók számára egy software update management system (SUMS) létrehozását. 

Konkrétan az R156:

  • meghatározza, hogyan kell biztonságosan és következetesen kezelni a szoftverfrissítéseket,
  • előírja a frissítések hitelességének és sértetlenségének biztosítását,
  • követelményeket támaszt az OTA frissítések esetén (pl. biztonsági ellenőrzés, energiaellátás, rollback/hibakezelés) és a frissítések nyomon követhetőségét (pl. verzióazonosítás). 

Amikor egy jármű szoftvere frissül — akár OTA, akár szervizben — az R156 szerint ezt biztonságosan kell „menedzselni”, dokumentálni és biztosítani kell, hogy a frissítések ne vezessenek hibás működéshez vagy kiberbiztonsági veszélyhez. 

(Folytatjuk)