Od jesieni nowe modele samochodów będą lepiej zabezpieczone przed cyberatakami

Od 6 lipca nie będzie już można sprzedawać nowych samochodów, które nie spełniają norm UNECE R155 i R156. Ale zobaczmy, jakie są te zasady i czy Święty Mikołaj przyniesie mi to V10, o które prosiłem... czy też nie.

Norma R155 jest częścią pakietu legislacyjnego wspieranego przez ONZ i ma na celu ochronę pojazdów przed możliwymi cyberatakami, zapewniając skuteczne zarządzanie incydentami i podatnościami, które mogą pojawić się podczas okresu eksploatacji. Innymi słowy: nie przestaniemy otrzymywać aktualizacji oprogramowania, nawet jeśli miną 2 lub 3 lata i nowa wersja naszego modelu będzie już dostępna, tak jak ma to miejsce obecnie.

Natomiast R156 określa wymagania mające na celu zagwarantowanie, że te aktualizacje oprogramowania lub oprogramowania układowego są przeprowadzane w bezpieczny sposób, tj. w taki, że cyberprzestępca nie może przechwycić tego pakietu oprogramowania, aby go zmodyfikować, zanim dotrze do naszego samochodu, że kod oprogramowania jest bezpieczny i odpowiednio skontrolowany oraz, co oczywiste, że nowa aktualizacja nie zawiera żadnych nowych zagrożeń ani luk w zabezpieczeniach.

No tak, wszystko pięknie i dobrze... ale co z tym V10, 560 koni mechanicznych z 2015 roku, które – jak mam nadzieję – przyniesie mi Święty Mikołaj, bo dobrze się zachowywałem?

Zasady te mają zastosowanie wyłącznie do pojazdów homologowanych później niż w lipcu 2022 r. oraz do modeli wyprodukowanych po 6 lipca 2024 r. W GMV współpracowaliśmy w tym zakresie ze znanym producentem autobusów, który homologował 4 nowe modele, i w ich przypadku musieliśmy przeprowadzić różne działania, takie jak szczegółowa analiza ryzyka (TARA) i bardzo konkretny pentest w celu sprawdzenia, czy ryzyko zidentyfikowane w TARA zostało prawidłowo usunięte... innymi słowy, czy cyberprzestępca nie mógł wsiąść na przystanku Plaza de Castilla w Madrycie, usiąść w ostatnim rzędzie w bluzie z kapturem i zablokować usługi w całym autobusie, sprawiając, że spóźniliśmy się do biura, lub też podkręcić ogrzewanie tak, że wszyscy spociliśmy się jak myszy.

Innymi słowy: mogę poprosić Świętego Mikołaja o to zarejestrowane w 2015 roku V10... chociaż przepisy środowiskowe w moim mieście prawdopodobnie nie pozwolą mi nim jeździć.

Nie wszystkie kraje zaakceptowały fakt, że standardy te mają być obowiązkowe, na przykład Japonia i Korea Południowa przyjęły je bez problemów, podobnie jak kraje europejskie, ale Stany Zjednoczone optują bardziej za wytycznymi oraz normami opracowanymi przez organy krajowe i międzynarodowe, takimi jak ISO/SAE 21434. Norma ISO/SAE 21434 zapewnia nam szczegółowe ramy zarządzania cyberbezpieczeństwem w pojazdach przez cały cykl ich życia, od projektowania i rozwoju po produkcję, konserwację oraz wycofanie z eksploatacji.

Jest to rzeczywiście bardzo interesująca norma, chociaż – w przeciwieństwie do swoich kuzynek R155 i R156 – nie jest obowiązkowa per se, jest dobrowolną międzynarodową normą opracowaną przez Międzynarodową Organizację Normalizacyjną (ISO) i Stowarzyszenie Inżynierów Motoryzacyjnych (SAE). Jednak jej przyjęcie może być obowiązkowe lub konieczne pośrednio, w wyniku stosowania przepisów (np. jeśli pojazdy są eksportowane do Europy), wymogów rynkowych czy konkretnych umów w branży motoryzacyjnej.

Oprócz tego należy zauważyć, że GMV jest pionierem w szkoleniu w zakresie wszystkich tych norm i przepisów, a obecnie dysponujemy wysoce skutecznym zespołem pomagającym producentom w całym procesie walidacji nowych pojazdów, w ramach którego możemy dokonać przeglądu analizy TARA dostarczonej przez producenta oraz przeprowadzić wszystkie niezbędne testy penetracyjne w celu potwierdzenia zidentyfikowanych zagrożeń, a w wielu przypadkach znaleźć nowe luki w zabezpieczeniach, które nie zostały wcześniej zidentyfikowane przez producenta. To jest ta najciekawsza część tego tematu.

Nie trzeba dodawać, że omawiany powyżej V10 z 2015 roku nie ucierpi z powodu wielu luk w sieci obejmującej pojazdy, które nigdy nie zostały usunięte... ponieważ w 2015 roku pojazdy nie były połączone ze światem zewnętrznym. Najskuteczniejszym zatem środkiem ochrony, jaki możemy zastosować, jest nieudostępnianie nikomu podejrzanemu kluczyków.

Autor(ka): Carlos Sahuquillo