Автопроизводители стали более серьезно относиться к защите автомобилистов от киберугроз, связанных с автомобилями, и не слишком рано. На фоне растущего беспокойства со стороны Конгресса и путешествующей публики дюжина крупных производителей создала Центр обмена и анализа информации (Auto-ISAC), который полностью заработал в январе. Руководители организации уже сообщают, что им удалось предотвратить атаки, поделившись информацией об угрозах и уязвимостях.
Руководители молодой организации обсудили свои усилия и общее состояние автомобильной кибербезопасности на этой неделе во время конференции TU-Automotive в пригороде Детройта. Их замечания прозвучали всего через несколько дней после того, как британские исследователи безопасности объявили, что они использовали уязвимости в подключаемом гибриде Mitsubishi Outlander (через Wi-Fi-подключение к головному устройству, показанному на фотографии выше), что позволило им манипулировать некоторыми функциями автомобиля. Исследователи из Pen Test Partners говорят, что они обнаружили минимальные меры безопасности в автомобиле и легко подключились к бортовому Wi-Fi, чтобы получить доступ к функциям, управляемым информационно-развлекательным экраном. По мере того, как количество подключенных транспортных средств по всему миру растет как грибы, вероятность подобных нарушений безопасности растет.
Больше беспокоит: программы-вымогатели
Но характер автомобильных киберугроз, скорее всего, будет меняться в будущем, отходя от вмешательства, основанного на исследованиях, которое до сих пор наблюдалось в отрасли, к атакам программ-вымогателей, которые преследуют другие отрасли и предлагают хакерам-злоумышленникам перспективу больших зарплат. На сегодняшний день атаки программ-вымогателей в основном нацелены на больницы и медицинские учреждения, которые полагаются на информацию в режиме реального времени для оказания критически важной помощи пациентам. Хакеры угрожают заблокировать жизненно важные компьютерные системы до тех пор, пока не будет выплачен выкуп.
Автомобильные эксперты предупреждают, что хакеры могут проводить аналогичные атаки на подключенные автомобили, выводя их из строя аналогичным образом, пока им не заплатят. Или хуже.
«Нам повезло, что никто еще не взломал целую марку автомобилей и не сказал: «Я остановлю все ваши машины завтра в полдень, если вы не дадите мне денег», — сказал Стефан Гудмундссон, директор по стратегии сотовых продуктов. в u-blox, швейцарской компании, производящей беспроводные полупроводники для автомобильных компаний.
Подобный широкомасштабный взлом беспокоил чиновников Министерства обороны шесть лет назад, когда исследователи из Калифорнийского университета в Сан-Диего и Вашингтонского университета впервые продемонстрировали возможность взлома электронных систем автомобилей. До недавнего времени казалось, что автомобильная промышленность медленно устраняет уязвимости. Удаленный взлом Jeep Cherokee исследователями Чарли Миллером и Крисом Валасеком, о котором стало известно прошлым летом, наконец выдвинул на первый план эти опасения как представителей отрасли, так и федеральных чиновников.
Сотрудничество для противостояния угрозе
К тому моменту лидеры отрасли уже начали работу по созданию Auto-ISAC, но взлом Jeep ускорил их сроки и расширил масштабы их плана. Теперь официальные лица Auto-ISAC добавляют поставщиков в свою группу быстрее, чем предполагалось. Delphi была первой, кто присоединился в начале этого года. Джонатан Аллен, исполнительный директор Auto-ISAC, сказал, что в течение недели к организации присоединятся еще четыре поставщика, а к концу июня к ней присоединятся еще восемь компаний. Одним из них может быть Google.
«Google является одним из основных, особенно в связи с их отношениями с FCA», — сказал Аллен. «Мы ведем переговоры с Google». Представитель Google отказался от комментариев.
Будь то технологический гигант, такой как Google, или поставщик уровня 3, вовлечение любой компании, не входящей в состав внутреннего инженерного корпуса крупного автопроизводителя, является сложным делом. Основным препятствием при настройке Auto-ISAC, который полагается на то, что компании самостоятельно сообщают о своих уязвимостях, было приучить их к мысли, что им, возможно, придется делиться некоторой конфиденциальной информацией. Добавление поставщиков, которые могут выполнять работу для нескольких автопроизводителей, усложняет и без того хрупкий баланс. По словам Аллена, для того, чтобы убедить автопроизводителей делиться информацией, в первую очередь потребовался «культурный сдвиг».
«Я думаю, что мы собираемся вместе, когда это важнее всего», — сказал Генри Бзейх, управляющий директор по подключению и мобильности Kia. «Конечно, мы конкуренты, но мы прагматичны, и мы находим способы работать вместе и получаем ответы на самые важные вопросы — безопасность, V2V [связь между транспортными средствами], стандарты SAE. До сих пор кибербезопасность была удивительным путешествием, и мы добились удивительного прогресса, доверяя друг другу».
Этот контент импортируется из OpenWeb. Вы можете найти тот же контент в другом формате или найти дополнительную информацию на их веб-сайте.
