Как защитить свой умный автомобиль от кибератак

Я был очень рад, когда получил свой нынешний автомобиль, прежде всего потому, что в нем были такие интересные функции, как беспроводное зарядное устройство для телефона, передача данных с телефона на автомобиль, сканирование уличных знаков в реальном времени и датчики.

Я также мог бы использовать приложение, чтобы завести автомобиль, запереть двери, установить и контролировать скорость. Также была возможность подключить автомобиль к домашней сети или превратить его в точку доступа.

Однако меня вырвало из задумчивости внезапное осознание того, что подключение моего телефона к машине подвергает меня потенциальным рискам кибербезопасности. В конце концов, 7,3 % инцидентов с подключенными автомобилями в период с 2010 по 2021 году были связаны с сопутствующими мобильными приложениями.

Дистанционный угон автомобиля — это не просто голливудская фантазия

Меня беспокоят потенциальные киберинциденты не из-за голливудского изображения взломанных автомобилей, как в Форсаж 8. Имеются доказательства, указывающие на возможность взлома и угона транспортных средств.

Исследователи Argus успешно заглушили двигатель движущегося автомобиля путем использования уязвимого ключа Bosch Drivelog Connector. Исследователь безопасности, Дэвид Коломбо, получил удаленный доступ к десяткам автомобилей Tesla, разбросанных по всему миру, из-за уязвимости в программе регистрации TeslaMate.

Исследователи кибербезопасности были не единственными, кто интересовался использованием уязвимостей в подключенных автомобилях. Согласно отчету, количество кибератак на автомобили увеличилось на 225 % в 2021 году по сравнению с 2018 годом, при этом 54,1 % инцидентов были совершены злоумышленниками.

Около 85 % атак были выполнены удаленно, 40 % были нацелены на внутренние серверы, 38 % были связаны с нарушениями данных/конфиденциальности и 20 % затрагивали системы управления. Взломы без ключа и брелки составляют 50 % всех краж транспортных средств.

Увеличение combined charging station attacks was observed in первой половине 2022 года, что проложит путь к крупномасштабному нарушению возможностей зарядки, компрометации административных привилегий и атакам программ-вымогателей на пользователей электромобилей.

Некоторые из способов, используемых для взлома интеллектуальных транспортных средств, включают манипулирование внутренними кодами и данными, отправку вредоносных сообщений через информационно-развлекательные системы, использование уязвимостей в программном обеспечении и подключенных устройствах, компрометацию привилегированного доступа, внедрение вирусов в средства связи, захват серверов для передачи вредоносных кодов сетевым транспортным средствам. , а также развертывание атак типа "отказ в обслуживании", чтобы вызвать неисправность транспортных средств.

Новые векторы угроз оказываются очень разрушительными. Наблюдается рост числа атак с использованием уязвимостей в API для удаленного доступа и управления транспортными средствами, их кражи и нарушения работы критически важных функций.

Злоумышленники также используют зарядные станции для атак на электромобили, мошенничества с выдачей себя за другое лицо и нарушения возможности зарядки электромобилей в больших масштабах.

Риск, связанный с подключенными транспортными средствами, представляет собой возникающую неминуемую угрозу

Как и любые другие устройства Интернета вещей (IoT), подключенные автомобили подвержены рискам кибербезопасности. Печально известная атака ботнета Mirai в 2016 году использовала многие устройства Интернета вещей, чтобы вызвать глобальные широко распространенные распределенные атаки типа "отказ в обслуживании" (DDoS).

В США почти половина организаций, использующих сеть IoT, столкнулась с нарушением безопасности, что привело к значительным финансовым потерям. Возможность использования умных транспортных средств в качестве оружия достижима, если отсутствуют соответствующие меры кибербезопасности.

В 2021 году число распространенных уязвимостей и энумераций (CVE), обнаруженных в умных транспортных средствах, увеличилось на 321 % по сравнению с 2020 годом.

Было 26 критических и 70 высоких vulnerabilities включая несанкционированное сопряжение Bluetooth (CVE-2021-0583) и уязвимость в бортовой информационно-развлекательной системе (CVE-2021-22156), которая может быть использована для выполнения DoS-атаки.

Подключенные автомобили и зарядные станции с библиотеками Apache Log4j подвержены уязвимостям Log4Shell (CVE-2021-44228, CVE-2021-45046 и CVE-2021-45105).

Эти уязвимости были использованы для компрометации межсетевая инфраструктура (V2G), беспроводные обновления встроенного ПО (FOTA), автомобильные информационно-развлекательные системы (IVI) и цифровые ключи, управляющие критически важными функциями автомобиля.

n Новые киберугрозы для подключенных транспортных средств включают угрозы для каналов связи (89,3%), угрозы для данных/кода транспортного средства (87,7%), неисправленные уязвимости (50,8%), угрозы для подключения и подключений транспортных средств (47,1%) и угрозы для подключения внутренних серверов (24,1%).

С развитием сетей, обеспечивающих связь транспортных средств со всем (V2X) и сотовых сетей (CV2X), перед злоумышленниками открываются безграничные возможности.

Эта сеть включает в себя транспортное средство-пешеход (V2P), транспортное средство-сеть (V2N), транспортное средство-транспортное средство (V2V), транспортное средство-облако (V2C), транспортное средство-сеть (V2G) и транспортное средство-инфраструктура (V2I).

Любая уязвимость в экосистеме может быть превращена в оружие, что приведет к массовым нарушениям, включая угрозу безопасности.

Развитие умных транспортных средств сопряжено с большим риском

По прогнозам, к 2025 году рынок подключенных автомобилей вырастет до 121 млрд долларов США. По прогнозам, к 2023 году мировая автомобильная промышленность будет производить более 76 миллионов подключенных автомобилей.

Связь 5G призвана изменить автомобильный опыт за счет улучшенной телематики, автоматизированной заводской парковки, передовых систем помощи водителю, автономного вождения, бесперебойной передачи данных и сотовой связи.

По оценкам, к 2025 году умный автомобиль будет генерировать 25 ГБ данных в час, что превосходит возможности просмотра веб-страниц или потокового видео.

n Рост и трансформация автомобильной отрасли расширяют возможности для атак и усиливают подверженность значительным бизнес-рискам. По данным Всемирного экономического форума, прогноз объем рынка подключенных автомобилей к 2027 году составит 215 млрд долларов США.

Однако, по оценкам, к 2024 году отрасль потеряет более 500 млрд долларов США из-за кибератак. Можно с уверенностью предположить, что кибератаки сведут на нет большую часть достижений рынка умных автомобилей.

Помимо нормативных стандартов кибербезопасности, таких как WP.29 R1552 & R1563 и стандарта ISO/SAE 21434, производители умных автомобилей должны уделять первостепенное внимание адекватным средствам контроля безопасности, чтобы уменьшить поверхность атаки и свести к минимуму успешное использование уязвимостей.

Что вы можете сделать, чтобы защитить свой умный автомобиль

Защита подключенных к Интернету транспортных средств является обязанностью не только производителей транспортных средств. Владельцы транспортных средств должны сыграть свою роль в минимизации доступа к данным и их утечек. Следуя этим простым рекомендациям, преступникам будет сложно украсть ваши данные или транспортное средство.

* Ограничьте доступ к личной информации, передаваемой вашему умному автомобилю, в том числе о том, как вы сохраняете свой домашний адрес (как ни странно, после того, как моя машина обновилась, она потребовала, чтобы я создал профиль пользователя с помощью моего интеллектуального ключа — вы правильно догадались, я отказался от настройки).

* Обновляйте свой мобильный телефон и следите за безопасностью установки приложений. Зараженные приложения могут использоваться для взлома телефонов и подключенных к сети автомобилей.

* Не синхронизируйте свой телефон с арендованным автомобилем. Возможно, вы оставляете слишком много информации, чем хотелось бы.

* Обновляйте прошивку, когда она доступна, но не в движении. Вы не можете предсказать, на что повлияет новое обновление, поэтому вы хотите сделать это безопасно.

* Убедитесь, что подключенные устройства, такие как USB-ключи, не содержат вредоносных программ.

* По возможности старайтесь избегать подключения автомобиля к домашней сети. При необходимости сохраните соединение на выделенном канале.

* Будьте в курсе вашего окружения при использовании брелоков. Если ваш автомобиль оснащен системой доступа без ключа на двери, используйте ее для запирания/отпирания автомобиля, а не брелок.

* Заряжайте свои электромобили только на специально отведенных станциях с надлежащим контролем сдерживания (например, камерами наблюдения).

* При подключении к социальным сетям через автомобиль будьте осторожны и не переходите по подозрительным ссылкам.

* Имейте в виду, что если ваш автомобиль может подключиться к Интернету, он может загрузить вредоносное программное обеспечение. Следите за веб-сайтами, которые вы посещаете.

* Если вы заметили, что ваша приборная панель выглядит странно, лучше не садитесь за руль, пока не убедитесь, что информационно-развлекательная система не повреждена.

Уверенно отправляйтесь в путь

Возможность кибератаки не должна мешать вам наслаждаться своим умным автомобилем. Принимая разумные меры безопасности в соответствии с рекомендациями, приведенными выше, вы сможете использовать интересные функции вашего подключенного автомобиля, не ставя под угрозу свою безопасность.

Кроме того, производители автомобилей должны обеспечить интеграцию безопасных инженерных принципов на каждом этапе жизненного цикла разработки автомобиля.

Сторонние поставщики играют важную роль в поддержании целостности подключенных транспортных средств, внедряя надлежащие средства контроля, чтобы свести к минимуму использование уязвимостей в цифровой цепочке поставок.