- Email: [email protected]
- Rondo Organizacji Narodów Zjednoczonych 1, 00-124 Warszawa
Wraz z postępującą informatyzacją i automatyzacją wielu procesów na znaczeniu zyskują kwestie związane z cyberbezpieczeństwem. Większa ilość urządzeń podłączonych do sieci, to większe ryzyko ewentualnego ataku hakerskiego. Tego typu zagrożenia nie są obce branży automotive. O tym jak dbać o bezpieczeństwo pojazdów wyposażonych w zaawansowane systemy IT i komputery pokładowe dysponujące dostępem do sieci opowiada nasz ekspert Krzysztof Kożuchowski z firmy Actia Automotive.
Warto zaznaczyć, iż od lipca 2022 roku, zgodnie z decyzją Światowego Forum na rzecz Harmonizacji Przepisów dotyczących Pojazdów Europejskiej Komisji Gospodarczej Organizacji Narodów Zjednoczonych (UNECE) sukcesywnie wprowadzane są w życie dwie dyrektywy – R155 Cyber Security and Cyber Security Management System (CSMS) oraz R156 Software Update and Software Update Management System (SUMS). Nakładają one obowiązki w zakresie homologacji wszystkich, produkowanych pojazdów. To forma wywierania nacisku na producentów pojazdów w celu przeciwdziałania zagrożeniom w obszarze cyberbezpieczeństwa oraz stworzenie spójnych standardów w tej branży. Datą graniczną wdrożenia przepisów jest lipiec 2026 roku, kiedy to regulacje wynikające ze wspomnianych dyrektyw będą obowiązywać także producentów pojazdów specjalnego przeznaczenia lub produkowanych w małych seriach.
W praktyce, przepisy sprowadzają się do tego, że przemysł motoryzacyjny, w każdym z 64 krajów należących do UNECE, obowiązują te same wytyczne dotyczące cyberbezpieczeństwa. Wymogi te dotyczą m.in. stosowanych w pojazdach zabezpieczeń oprogramowania i systemów w samochodach, ochrony danych osobowych oraz zarządzania incydentami związanymi z cyberbezpieczeństwem.
– Pierwszym krokiem na drodze do zapewnienia większego bezpieczeństwa pojazdów jest zadbanie o to, aby dostęp do urządzeń pokładowych pojazdów był ograniczony – mówi Krzysztof Kożuchowski.
– Warto upewnić się, że dostęp do urządzeń posiadają tylko wyznaczone osoby, a wszelkiego rodzaju zapytania blokowane są kluczami dostępowymi. Zabezpieczyć można, a nawet należy także kolejne poziomu dostępów, które dają nam więcej uprawnień. Ilość tych poziomów może być bardzo różna i zależy ona od decyzji konstruktorów i tego, na ile chcą się oni zabezpieczyć – dodaje.
Jak tłumaczy ekspert Actia Automotive, należy także zadbać o to, aby żadna, niepożądana osoba z zewnątrz nie mogła wgrać do systemu niepożądanego oprogramowania. Zazwyczaj cały proces odbywa się z pomocą kluczy szyfrujących. Jeśli dany klucz nie zgadza się, wówczas konkretna aplikacja nie może zostać wgrana do urządzenia.
– Wszystkie aplikacje powinny być podpisane certyfikatami. Aplikacje niskopoziomowe dla danego komputera powinny uniemożliwić uruchomienie aplikacji, która nie jest podpisana odpowiednim certyfikatem – wyjaśnia Krzysztof Kożuchowski.
Skutki braku dostosowania się do nowych przepisów, ale także lekceważące podejście do kwestii cyberbezpieczeństwa w świecie automotive może przynieść fatalne konsekwencje. Bramki telematyczne to nieustannie rozwijane rozwiązania stosowane w branży automotive, które łączą funkcjonalności z pogranicza automatyki, informatyki oraz telekomunikacji. Pozwalają na przesył danych między autobusem, a serwerem, który zbiera dane w celu analizy pracy pojazdów. Dostęp do bramy telematycznej może zatem stać się celem hakerów. W przypadku, gdy jest ona odpowiednio zabezpieczona, jest w stanie zablokować niepożądane prośby, próby wgrania nieautoryzowanego oprogramowania.
Nieautoryzowany dostęp do komputerów, w najgorszym przypadku, może umożliwić cyberprzestępcom sterowanie sygnałami elektrycznymi takimi jak oświetlenie, ale również umożliwić im włączenie funkcji smarowania w silniku czy wymuszenie rozruchu silnika. To zaś może doprowadzić do przelewania oleju i stać się przyczyną pożaru. W przypadku pojazdów elektrycznych nieautoryzowany dostęp może umożliwić przejęcie kontroli nad BMS (Battery Management System), czyli systemem sterowania baterią.
W świecie przemysłowym chcemy coraz bardziej zarządzać procesami zdalnie, to zaś wymaga dostępu do sieci. Taki model zwiększa ryzyko, że ktoś niepożądany może dostać się do naszego systemu. Adekwatne środki bezpieczeństwa i solidne podejście do kwestii cyberbezpieczeństwa systemów mogą uchronić nas przed przykrymi konsekwencjami nieautoryzowanych dostępów.