Вы уже наверняка слышали поговорку, что современные автомобили похожи на помесь компьютера со смартфоном на колёсах?
Да, знакомые и любимые приложения с вашего телефона теперь доступны непосредственно в интерфейсе приборной панели вашего авто. Вы можете слушать потоковую музыку, просматривать фильмы, прокладывать маршрут до нужного объекта, а вскоре даже можно будет заказать ужин или свой любимый напиток по дороге на работу.
Автомобилисты тоже вступили в эпоху программно-определяемых транспортных средств, когда автомобильные функции определяются и управляются программным обеспечением в большей степени, чем механическими компонентами. Обновления по беспроводной сети (OTA - Over-the-air) позволяют автопроизводителям исправлять ошибки в ЭБУ (электронных блоках управления), предоставлять новые возможности и прошивки (включая обновление приложений) и оценивать работу механизмов. Такой способ постоянной модификации также открывает возможности для сотрудничества с третьими сторонами, в разработке новых предложений, а следовательно, новых источников дохода.
Однако, как и в случае с любой электронной системой, транспортные средства могут быть уязвимы для кибератак, если они не защищены должным образом. Обновления, особенно когда в них участвуют третьи стороны, представляют собой потенциальную угрозу уязвимости. В этой статье мы поведаем о ключевых аспектах безопасности обновлений автомобильных приложений, а также о мерах, которые следует принимать для обеспечения безопасности.
Автомобильное программное обеспечение является движущей силой эволюции транспортных средств. Обновления совершаются посредством различных типов передачи - по сетям сотовой связи, по Wi-Fi или другим, основанным на радиочастотах методам. Эта группа технологий предлагает производителям транспортных средств быстрый и удобный способ устранения неполадок, с обеспечением надёжности на будущее, и всё это без необходимости посещения дилера автовладельцем. В настоящее время в автомобильной промышленности не существует стандартизированного способа проверки обновлений программного обеспечения. Таким образом, OEM-производитель может иметь несколько способов подтверждения обновлений ПО для целого списка своих компонентов, либо полагаться на сложную цепочку для доставки этих обновлений. Но эти процедуры меняются, по мере того, как функции управления программным обеспечением, всё более активно внедряются в отрасль.
Усилия, по обеспечению безопасности от хакерского взлома, обычно начинаются с оценки рисков, определения компонентов транспортного средства, с которыми будет взаимодействовать любое приложение. Но при этом возникает много дополнительных вопросов о риске и ответственности сторон, участвующих в процессе. В качестве примера давайте рассмотрим приложение для самостоятельной парковки, активируемое смартфоном. Транспортное средство, о котором идёт речь, уже обладает возможностями автономного вождения. Однако, чтобы включить самостоятельную парковку, водителю необходимо установить приложение, привязанное к компании-владельцу автостоянки. Это делается для получения разрешения на взаимодействие систем автомобиля с системой автостоянки (и, конечно, на право парковки там). Чтобы это приложение заработало, автопроизводителю необходимо предоставить приложению информацию о местоположении и другие данные о транспортном средстве, чтобы автомобиль мог безопасно перемещаться по гаражу (к свободному месту парковки или по запросу водителя). Отвечает ли производитель за мониторинг безопасности и возможностей приложения и управление ими? Или поставщик несёт ответственность за то, чтобы приложение не содержало ничего вредоносного или скомпрометированного? Многие из этих вопросов будут решаться юридическими отделами больших корпораций и государственных департаментов, но надлежащая гигиена кибербезопасности является основным направлением для минимизации подобных событий.
Автомобильные приложения, как примере выше, представляют собой новый источник дохода с множеством широких захватывающих возможностей. Представьте, что у вас есть автомобиль, который знает, что вы предпочитаете заказывать в некоем кафе утренний кофе - как только вы садитесь в авто, чтобы отправиться на работу, система уже оформила заказ, обработала платёж с небольшого депозита или карты для текущих небольших расчётов (опять же, в целях безопасности, чтобы с основной банковской карты не произошло безакцептного списания огромной суммы денег) и выбирает самый быстрый маршрут к кафе для получения заказа. Технологии развиваются стремительно, а поэтому скоро разные приложения (автомобильные и бытовые) будут взаимодействовать друг с другом. Поэтому можно фантазировать над такими вариантами взаимодействий бесконечно. Но, при этом, сами приложения должны иметь встроенную защиту от вредоносных атак. Когда поступит сигнал к обновлению, данные должны безопасно передаваться с серверов дата-центра на транспортное средство с наименьшим риском того, что информация будет перехвачена, а системы автомобиля скомпрометированы.
В наши дни автопроизводители и разработчики приложений тесно сотрудничают, хотя основное внимание уделяется выводу новых возможностей на рынок. На потребительском уровне может пройти несколько лет, прежде чем мы начнём видеть реализацию этих сценариев. Инновации, на уровне предприятия, могут появиться раньше. Pizza Hut, например, изучает возможность заказа концепт-кара без водителя, оснащённого печью для пиццы, - шаг, который может изменить порядок заказа, приготовления и доставки еды. Идея, конечно, немного сумасшедшая, на первый взгляд, но мир уже наблюдал более потрясающие реализации самых смелых фантазий.
Оценка рисков является надёжной отправной точкой решения проблем взаимодействия, для решения которой требуются подходящие люди. Также важно распределение зон ответственности, учёт шагов и действий, необходимых для снижения рисков. Автопроизводителям было бы разумно не полагаться слепо на сторонних разработчиков приложений, в понимании требований безопасности своих автомобилей. К тому же, эти требования будут сильно различаться, в зависимости от типов транспортных средств. Защищённый набор интерфейсов прикладного программирования (API) для разработчиков приложений, является оптимальной гарантией, открывая возможности контролировать/ограничивать доступ. Таким образом, если с приложением произойдёт что-то неподобающее, система самого автомобиля будет знать, как реагировать и потенциально сможет защитить себя. Ещё одним важным элементом является создание защитного пояса для подсистем автомобиля, обеспечивающего безопасный способ взаимодействия третьих лиц с системами авто, при предоставлении дополнительных услуг.
Ключевые элементы эффективного обеспечения безопасности обновлений включают наличие надёжной инфраструктуры открытых ключей (PKI), чётко определённые методы проверки и валидации кода ПО, а также эффективное развёртывание, хранение и активацию программного обеспечения транспортного средства. Автомобильная промышленность также может извлечь некоторые уроки из индустрии мобильных устройств – производители смартфонов, например, должны применять надлежащие меры безопасности, чтобы гарантировать сохранность своих устройств, установленных на них приложений, а также данных, доступных этим приложениям. Автопроизводители должны делать то же самое.
Для поддержки уже доступны различные технологии безопасности и мониторинга. Что касается самих автомобилей, то инженеры, электронщики, программисты и тестировщики автомобильных конструкторских бюро могут использовать электронные цифровые решения – цифровые двойники, которые предоставляют виртуальные среды, для тестирования решений перед их внедрением. По мере того, как мы наблюдаем все большую консолидацию бортовых вычислительных платформ, традиционные методы тестирования процессоров на безопасность становятся непрактичными, учитывая все точки соприкосновения в этих сложных средах. Цифровые двойники дают гораздо большие возможности для моделирования различных угроз. Датчики могут отслеживать поведение электронных компонентов во времени, начиная с этапов проектирования и заканчивая испытаниями в полевых условиях. С помощью SLM-датчиков инженеры-автомобилестроители получают возможность оценивать, как устройства справляются с рабочими нагрузками в течение всего длительного срока службы транспортных средств.
Что касается программного обеспечения, то статическое тестирование безопасности приложений, а также beta-тестирование для выявления слабых мест в системе безопасности, последующая корреляция уязвимостей приложений, диагностика новых рисков - входят в число доступных решений для защиты приложений в автомобиле.
Обновления по беспроводным сетям - это эффективный и экономичный способ для самих автопроизводителей, чтобы патчами обеспечить безопасность авто в процессе эксплуатации, не инициируя процедуру отзыва в дилерские центры для исправления (конечно, это касается, в основном, только неисправностей электронных узлов). Как и в случае с любым электронным компонентом или программным решением, эти обновления, а также встроенные приложения, которые помогают водителям, могут быть уязвимы для кибератак. Проведение тщательной оценки рисков, распределение зон ответственности за безопасность и внедрение как аппаратных, так и программных решений, могут помочь сохранить транспортные средства и, возможно, спасти многие жизни людей.
