[Информационная безопасность, Умный дом] Кибербезопасность? Да, теперь и ваша машина в зоне риска (перевод)
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
В автомобилестроении примерно шесть лет назад всерьез взялись за кибербезопасность, начали инвестировать в проектирование и развертывание киберзащитных решений. Сегодня в автомобильной индустрии кибербезопасность обеспечивается как аппаратными, так и программными решениями, но предстоит долгий путь, прежде чем все до одного ECU (электронные блоки управления) в машине будут защищены от активизирующихся кибератак.
Кибербезопасность в автомобилестроении гораздо сложнее, чем на смартфонах и ПК, по двум основным причинам:
- Десятки ЭБУ в каждой машине, соединенные множеством электронных шин и отвечающих за различные скорости и характеристики, и
- Множество потенциальных точек доступа, как расположенных внутри автомобиля, так и удаленных, в частности, OBDII, USB и SD-порты, бесключевой доступ, Bluetooth и Wi-Fi, встроенный модем, датчики, инфотейнмент или приложения для смартфонов, а также множество подключений с применением телематики и других облачных систем, имеющих доступ к системам автомобиля.
Повод для оптимизма – в том, что в области автомобильной кибербезопасности все больше делается для оснащения автомобиля собственным аппаратным и программным обеспечением, а также для развития облачных платформ, обеспечивающих кибербезопасность. Формируется несколько стандартов и регламентов, регулирующих кибербезопасность, что дополнительно способствует развертыванию киберзащитных решений во всех подключенных автомобилях.
В следующей таблице обобщены аспекты кибербезопасности, затронутые в этой авторской колонке. Дополнительная информация будет изложена в другой авторской колонке на эту тему.
Автомобильная кибербезопасность: текущее состояние
Тема
Ключевая информация
Прочая информация
Статус угроз, касающихся кибербезопасности
- Предшествующий отчет по работам в области автомобилестроения
- Ссылка на отчет: https://upstream.auto/2021report/
- Доля black hat-атак от общего числа увеличивается
- Подробности о 207 кибератаках на автомобили в 2020 году
- Рассмотрены 633 кибератаки за период с 2010 по 2020 годы
- Доля Black Hat в 2020: 54,6%, 2010-2020: 49,3%
Организации, обеспечивающие кибербезопасность
- Auto-ISAC: хаб для обмена информацией о кибербезопасности
- ENISA: агентство ЕС по вопросам кибербезопасности
- В глобальном масштабе – более 45 участников: оригинальные производители оборудования и поставщики
- Множество отчетов о кибербезопасности в автомобильной индустрии
Регламентация кибербезопасности
- Документ WP.29 ЕЭК ООН: вскоре значительно повлияет на отрасль
- Стандарт ISO/SAE 21434 в разработке
- Фреймворк IEEE Uptane; киберзащита для обновлений OTA
- 54 страны придерживаются WP.29 ЕЭК ООН
- Чистовая версия документа подготовлена в марте 2021 года
- Программный фреймворк под Linux
Документ WP.29 ЕЭК ООН, посвященный кибербезопасности
- Регулирующий документ WP.29 принят в июне 2020 года
- CSMS: системы управления кибербезопасностью
- SUMS: системы управления обновлениями программ
- Внедрение начинается в 2021 и 2022 годах
- Два новых регулирующих документа внедряются в 2021-2022
- Регулирующий документ объемом 30 страниц: 03/21
- Регулирующий документ объемом 16 страниц: 03/21
- Стремительное наращивание в 2023 и 2024 годах
Обзор технологий кибербезопасности
- Аппаратное обеспечение кибербезопасности
- Встраиваемое ПО для кибербезопасности
- Облачное отслеживание кибербезопасности
Подробнее в другой авторской колонке на тему кибербезопасности
Игроки на рынке кибербезопасности
- Компании, занятые разработкой киберзащитного ПО
- Обзор кибербезопасности в компаниях 1-го эшелона
- Защищенные чипы для процессоров
- Argus, GuardKnox, Upstream, другие
- Bosch, Conti, Harman, другие
- NXP, Renesas, другие
Потенциал рынка кибербезопасности
- Программные клиенты для кибербезопасности
- Облака для кибербезопасности, предоставляемые как SaaS
Подробнее в другой авторской колонке на тему кибербезопасности
Источник таблицы: Эджил Джулиуссен, май 2021
Статус киберугроз
Компания Upstream Security опубликовала несколько годовых отчетов с анализом кибератак на автомобили. Новейший из этих отчетов, выпущенный в начале 2021 года (доступен по адресу: https://upstream.auto/2021report/) содержит данные за период с 2010 по 2020 и рассматривает более 200 кибер-инцидентов с автомобилями по всему миру.
В отчет включена информация о глубоких сетях и даркнете, где киберпреступники, специализирующиеся на автомобилях, могут общаться, сохраняя значительную анонимность. Существуют форумы, где подробно обсуждаются атаки на подключенные транспортные средства, доступ к конфиденциальным данным, перехват управления автомобилем и способы угона машины. Даже в «поверхностном» вебе киберпреступники часто находят интернет-магазины, торгующие инструментами для взлома, сервисами, отключающими иммобилайзеры, кодграбберами, а также руководствами по угону машин.
Направления атак в автопроме: 2010-2020
Аппаратный или программный компонент
Доля от целого
Облачные серверы
32,9%
Бесключевой доступ/брелок для ключей
25,3%
Мобильное приложение
9,9%
Порт компьютерной диагностики автомобиля
7,0%
Система инфотейнмента
8,4%
IT-система
7,0%
Датчики
4,8%
Шлюз между блоками управления электроникой и телематикой (ECU-TCU)
4,3%
Бортовая сеть
3,8%
Сеть Wi-Fi
3,8%
Bluetooth
3,6%
Автомобильный трекер
3,1%
Сотовая сеть
2,4%
USB или SD-порт
2,1%
Источник: Upstream Security
В данном случае интересно рассмотреть направления атак, также называемые векторами. Из этой таблицы четко следует, что наиболее популярны две цели: облачные сервера являются воротами почти для 33% всех кибератак, поскольку хакеры пытаются получить доступ к ценным данным, которые могут быть использованы для взлома киберзащиты автомобиля. Незащищенный бесключевой доступ или электронные брелоки также часто используются для проникновения в машину и угона. Замыкают тройку мобильные приложения: через них осуществляется почти 10% кибератак.
Интересно, что суммарная доля удаленных атак составляет почти 80%, а доля физических атак – около 20%.
Upstream также классифицирует источники кибератак по категориям «белая шляпа» и «черная шляпа». Белая шляпа – знак хакера, не имеющего преступных намерений. В основном это исследователи, взламывающие системы для оценки степени их надежности и выявления уязвимостей. Такие исследователи часто получают от взломанной ими компании приглашение на работу и/или вознаграждение. Черная шляпа – атрибут хакера, взламывающего системы из корыстных или прочих преступных побуждений. В 2020 году на категорию «черных шляп» пришлось 54,6% всех кибератак, по сравнению с аналогичным показателем 49,3% за период с 2010 по 2020.
Хакеры-исследователи также открывают новые уязвимости, независимо или в рамках программ по поиску уязвимостей (bug bounty). Участники таких программ получают вознаграждение, если находят уязвимости в транспортных средствах и подключенных к ним сервисах. Список автокомпаний, ведущих такие программы, только растет: здесь уже и «Тесла», а также «Дженерал-Моторз», «Форд», «Фиат-Крайслер», «Даймлер» и другие. Они участвуют в программах bug bounty на специализированных платформах, например, BugCrowd, HackerOne, либо ведут их на собственных сайтах.
Уязвимости, обнаруженные в программных компонентах, публикуются в отчетах по «общеизвестным уязвимостям информационной безопасности» (CVE) в рамках программы, запущенной корпорацией MITRE в 1999. Всего известно 110 таких отчетов, связанных с автопромом, причем, за 2020 год поступило 33, а за 2019 – 24.
ISAC в автопроме
В большинстве отраслей сформированы организации для борьбы за кибербезопасность; обычно их называют «Центрами обмена информацией и анализа» (ISAC). Организация Auto-ISAC создана в августе 2015 года; она оперирует центральным узлом по обмену, отслеживанию и анализу выявленных данных о киберугрозах, уязвимостях и инцидентах, связанных с подключенными транспортными средствами. Ее штаб-квартира находится в Вашингтоне, округ Колумбия, сайт в Интернете: Auto-ISAC – Automotive Information Sharing & Analysis Center (automotiveisac.com).
На организации, состоящие в Auto-ISAC, приходится более 99% легковых автомобилей, проданных в Северной Америке; также эта организация включает более 45 глобальных производителей оборудования (OEM) и поставщиков. Членство в Auto-ISAC расширилось, в нем уже участвуют производители запчастей для тяжелых грузовиков и их поставщики, а также сектор коммерческого транспорта, в частности, таксопарки. К числу поставщиков относятся компании высшеего эшелона, такие как Argo, Intel, Motional и Waymo.
Также идет кооперация с другими организациями. Auto-ISAC координирует работу с 23 другими ISAC, контролирующими ключевые инфраструктурные сферы, в частности, здравоохранение, авиацию, телекоммуникации и финансовые услуги.
ENISA
Агентство по сетевой и информационной безопасности Евросоюза (ENISA) – это орган ЕС, занимающийся обеспечением кибербезопасности в масштабах Европы. ENISA участвует в формировании киберполитики ЕС, способствует повышению доверия к продукции ИКТ, услугам и процессам, связанным с сертификацией кибербезопасности. ENISA активно действует в области киберзащиты автомобилей и выпустило несколько важных отчетов.
В феврале 2021 года ENISA опубликовало документ «Вызовы кибербезопасности, связанные с внедрением искусственного интеллекта в автономном вождении». Отчет позволяет составить впечатление о вызовах кибербезопасности, связанных с использованием ИИ-технологий в автомобилях. Проблема описана в контексте политики, реализуемой как на европейском, так и на более широком международном уровне.
В ноябре 2019 года ENISA опубликовало документ «Рекомендации по обеспечению информационной безопасности умных автомобилей». В данном отчете определены рекомендуемые практики по обеспечению безопасности подключенных автомобилей и полуавтономных транспортных средств. В 2017 году ENISA опубликовало документ «Кибербезопасность и надежность умных автомобилей», в котором основное внимание уделено рекомендуемым практикам для производителей автомобильных комплектующих и для поставщиков с целью защитить встраиваемые автомобильные системы от кибератак.
Основное требование к стандартам и регламентам в области кибербезопасности – защитить автомобиль на протяжении всего его жизненного цикла, от проектирования, до производства и далее до использования клиентом.
После двухлетней подготовки и редактирования ООН 24 июня 2020 года приняла документ WP.29 ЕЭК, регулирующий вопросы кибербезопасности. WP.29 действует в 54 странах, в том числе, ЕС, Великобритании, Японии и Южной Корее. На эти 54 страны приходится около 35% мирового производства автомобилей. Во многих других странах принимаются автомобили, соответствующие нормам ООН. США не входят в число этих 54 стран. Все производители, в том числе, автопроизводители из США, продающие автомобили на этих рынках, должны следовать требованиям кибербезопасности, изложенным в WP.29, применительно ко всей их продукции и процессам.
Регламенты ООН являются юридически обеспеченными. Если страна или регион принимает регламент WP.29, то всем действующим в ней производителям комплектующих требуется доказательство соответствия для прохождения обязательной сертификации и дальнейшего права работы на рынке. В Европе прохождение обязательной сертификации требует взаимного признания соответствия нормам на уровне всего автомобиля. Если производитель получает сертификат на автомобиль определенного типа в одной стране ЕС, то может продавать такую модель во всех странах ЕС без дальнейших проверок.
Регламент WP.29 состоит из двух основных директив по кибербезопасности автомобилей. Подробнее о них в следующем разделе.
ISO/SAE 21434 разрабатывает новый стандарт кибербезопасности для транспортных средств, с акцентом на дополнительное обеспечение кибербезопасности на этапе инженерной проработки автомобиля. Этот стандарт описывает требования по управлению рисками, связанными с кибербезопасностью, делая акцент на выстраивании процесса и общей терминологии для обмена информацией по таким рискам и их устранению. Стандарт не содержит описания конкретных технологий или предложений по конкретным решениям, связанным с кибербезопасностью.
Этот стандарт разработан совместной рабочей группой от организаций ISO и SAE и будет опубликован обеими. Более 25 автопроизводителей и 20 поставщиков высшего эшелона участвуют в разработке стандарта. Чистовая версия стандарта ISO/SAE 21434 была подготовлена в марте 2021 года. Вероятно, публикация стандарта откладывается до 2022 года.
Работы по стандартизации, проводимые ISO/SAE 21434, связаны и разрабатываются в координации с деятельностью ЕС и ЕЭК по документу WP.29.
Еще один важный стандарт — Uptane, разработанный для обновлений программ OTA. Uptane официально введен в январе 2017. Альянс Uptane образован в 2018. Это некоммерческая организация под эгидой Отраслевой организации IEEE по стандартам и технологиям (ISTO). Uptane был оформлен в виде стандарта IEEE/ISTO 6100 в июле 2019, тогда вышла версия 1.0. Альянс Uptane будет обеспечивать надзор над новыми стандартами Uptane, так, версия Uptane 1.1 была введена в январе 2021. Многие компании предлагают программные продукты, соответствующие стандарту Uptane. software products.
Документ по кибербезопасности WP.29 ЕЭК
В июне 2020 было принято две новых регулирующих нормы ООН по кибербезопасности, в рамках документа WP.29. Обе регулирующих нормы применимы к транспортным средствам всех типов, обновлены в марте 2021. Внедрение этих норм в некоторых странах начнется в 2021 и 2022 годах, более широкое внедрение – в 2023 и 2024 годах.
В первом документе основное внимание уделяется кибербезопасности и системам управления кибербезопасностью (CSMS). Последнее обновление документа CSMS доступно по адресу: E/ECE/TRANS/505/Rev.3/Add.151 (unece.org).
Определение WP.29 CSMS: под CSMS понимается систематический подход на основе оценки рисков, который определяет организационные процессы, зоны ответственности и управление для правильной трактовки рисков, связанных с киберугрозами транспортным средствам и с защитой транспортных средств от кибератак.
В документе CSMS отлично рассмотрены угрозы, связанные с кибербезопасностью, приведен обширный список уязвимостей и методов атаки. В приложении 5 содержится 10 страниц с описанием уязвимостей, распределенных по множеству категорий. В первой из таблиц, приведенных ниже, обобщены угрозы и уязвимости. Существует 6 типов угроз и множество типов уязвимостей (29) со множеством примеров (67), перечисленных в документе CSMS.
Резюме угроз и уязвимостей из области кибербезопасности по документу WP.29
Таблица №
Тип угрозы
Примеры и типы уязвимостей
A1
- Сервер базы данных для машин, находящихся в пути
- Каналы коммуникации между машинами
- Процедуры обновления для автомобилей
- Соединяемость и соединения между автомобилями
- Данные и программный код для автомобилей
- Уязвимости, связанные с недостаточной защищенностью или прочностью систем
- Типов 3; примеров 9
- Типов 8; примеров 20
- Типов 2; примеров 5
- Типов 3; примеров 7
- Типов 7; примеров 14
- Типов 6; примеров 12
Источник данных: E/ECE/TRANS/505/Rev.3/Add.151 (unece.org)
В следующей таблице резюмированы меры по предотвращению угроз из области кибербезопасности, описанные в документе CSMS. Данные из таблицы B описывают угрозы, возникающие на борту автомобиля, данные из таблицы C – угрозы, возникающие вне автомобиля.
Резюме способов предотвращения киберугроз, связанных с документом WP.29
Таблица №
Предотвращение угроз, связанных с
Внутри или вне машины
Способов предотвращения
B1
Каналы коммуникации между автомобилями
Внутри
20
B2
Процесс обновления ПО
Внутри
5
B3
Непреднамеренные действия человека, способствующие кибератаке
Внутри
2
B4
Соединения со внешними устройствами
Внутри
7
B5
Потенциальная цель атаки и ее мотивация
Внутри
14
B6
Уязвимость, используемая в случае недостаточной защиты автомобиля
Внутри
8
B7
Утрата данных или кража данных из автомобиля
Внутри
1
B8
Физические манипуляции с системой с целью создания условий для атаки
Внутри
1
C1
Серверы базы данных
Снаружи
6
C2
Непреднамеренные человеческие действия
Снаружи
2
C3
Физическая потеря или потеря данных
Снаружи
3
Источник данных: E/ECE/TRANS/505/Rev.3/Add.151 (unece.org)
Если вам интересна тема автомобильной безопасности, рекомендуем изучить оригинал документа со всеми данными.
Второй регулирующий документ касается процессов обновления программным обеспечением и систем управления такими обновлениями (SUMS). Документ SUMS доступен по адресу: E/ECE/TRANS/505/Rev.3/Add.151 (unece.org).
Определение WP.29 SUMS: Система управления обновлениями программ – это систематический подход, определяющий, какие организационные процессы и процедуры должны соответствовать требованиям по доставке программных обновлений согласно данному регулирующему документу.
Новая регулирующая норма ООН об универсальных предпосылках к обновлениям программ и системам управления обновлениями программ применяется к автомобилям, работа которых зависит от обновления ПО. Данная норма также касается трейлеров и сельскохозяйственной техники, а также пассажирского транспорта, фургонов, грузовиков и автобусов.
При обновлении программ по WP.29 от производителя комплектующих требуется:
- Записывать версии программного и аппаратного обеспечения для каждого типа транспортных средств.
- Документировать процедуру обновления ПО
- Идентифицировать программы, важные для прохождения обязательной сертификации
- Убедиться, что программное обеспечение данной комплектующей работает верно
- Идентифицировать взаимозависимости программных компонентов для последующих обновлений
- Идентифицировать целевые транспортные средства и убедиться, что они совместимы с обновлением
- Определить, влияет ли обновление на безопасность, в частности, безопасность вождения
- Оценить, сказывается ли обновление ПО на прохождении обязательной сертификации
- Информировать автовладельцев об обновлениях
Производитель комплектующих для транспортного средства должен выполнять следующие требования:
- Разработать систему управления обновлениями программ для всех своих автомобилей, находящихся в эксплуатации.
- Защитить процедуру обновления ПО, обеспечив ее целостность и аутентичность.
- Защитить идентификационные номера ПО
- Гарантировать, что идентификационный номер ПО проставлен на автомобиле в удобочитаемом виде.
- При обновлении программ в онлайновом режиме необходимо:
VPS серверы от Маклауд быстрые и безопасные.
Зарегистрируйтесь по ссылке выше или кликнув на баннер и получите 10% скидку на первый месяц аренды сервера любой конфигурации!
оригинал
===========
Источник:
habr.com
===========
===========
Автор оригинала: Egil Juliussen
===========Похожие новости:
- [Информационная безопасность, Платежные системы, Финансы в IT] EMV 3-D Secure, или кто украл SMS с одноразовым паролем. Часть 1
- [Читальный зал, Научно-популярное] Европейская металлургия от костра до мартена
- [Разработка игр, История IT] Ничего личного — только бизнес”: Как Electronic Arts создала и уничтожила студию Visceral Games
- [Информационная безопасность, Разработка систем связи, Сетевое оборудование, Квантовые технологии] Дмитрий Песков: у России есть новейшие технологические разработки, но их нельзя внедрять с текущим уровнем киберзащиты
- [Информационная безопасность] Security Week 25: уязвимость в Apple ID
- [Разработка под Windows, История IT] Краткая история Windows и что у нее под капотом
- [Информационная безопасность, Клиентская оптимизация, IT-инфраструктура, Сетевые технологии, Удалённая работа] USB over IP: удалённое администрирование
- [Информационная безопасность, Биллинговые системы, Законодательство в IT] Операторам связи запретили раскрывать сведения о клиентах
- [Разработка веб-сайтов, JavaScript] Идеальный инструмент для создания прогрессивных веб-приложений или Все, что вы хотели знать о Workbox. Часть 2
- [Информационная безопасность, Администрирование доменных имен, Законодательство в IT] 96% госсайтов не соответствуют требованиям НПА по информационной безопасности
Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_umnyj_dom (Умный дом), #_umnye_avtomobili (умные автомобили), #_bezopasnost_umnyh_avtomobilej (безопасность умных автомобилей), #_smart_avtomobili (смарт автомобили), #_vzlom_avtomobilej (взлом автомобилей), #_vzlom_umnyh_ustrojstv (взлом умных устройств), #_blog_kompanii_maklaud (
Блог компании Маклауд
), #_informatsionnaja_bezopasnost (
Информационная безопасность
), #_umnyj_dom (
Умный дом
)
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 12:41
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
 В автомобилестроении примерно шесть лет назад всерьез взялись за кибербезопасность, начали инвестировать в проектирование и развертывание киберзащитных решений. Сегодня в автомобильной индустрии кибербезопасность обеспечивается как аппаратными, так и программными решениями, но предстоит долгий путь, прежде чем все до одного ECU (электронные блоки управления) в машине будут защищены от активизирующихся кибератак. Кибербезопасность в автомобилестроении гораздо сложнее, чем на смартфонах и ПК, по двум основным причинам:
Повод для оптимизма – в том, что в области автомобильной кибербезопасности все больше делается для оснащения автомобиля собственным аппаратным и программным обеспечением, а также для развития облачных платформ, обеспечивающих кибербезопасность. Формируется несколько стандартов и регламентов, регулирующих кибербезопасность, что дополнительно способствует развертыванию киберзащитных решений во всех подключенных автомобилях. В следующей таблице обобщены аспекты кибербезопасности, затронутые в этой авторской колонке. Дополнительная информация будет изложена в другой авторской колонке на эту тему. Автомобильная кибербезопасность: текущее состояние Тема Ключевая информация Прочая информация Статус угроз, касающихся кибербезопасности
Организации, обеспечивающие кибербезопасность
Регламентация кибербезопасности
Документ WP.29 ЕЭК ООН, посвященный кибербезопасности
Обзор технологий кибербезопасности
Подробнее в другой авторской колонке на тему кибербезопасности Игроки на рынке кибербезопасности
Потенциал рынка кибербезопасности
Подробнее в другой авторской колонке на тему кибербезопасности Источник таблицы: Эджил Джулиуссен, май 2021 Статус киберугроз Компания Upstream Security опубликовала несколько годовых отчетов с анализом кибератак на автомобили. Новейший из этих отчетов, выпущенный в начале 2021 года (доступен по адресу: https://upstream.auto/2021report/) содержит данные за период с 2010 по 2020 и рассматривает более 200 кибер-инцидентов с автомобилями по всему миру. В отчет включена информация о глубоких сетях и даркнете, где киберпреступники, специализирующиеся на автомобилях, могут общаться, сохраняя значительную анонимность. Существуют форумы, где подробно обсуждаются атаки на подключенные транспортные средства, доступ к конфиденциальным данным, перехват управления автомобилем и способы угона машины. Даже в «поверхностном» вебе киберпреступники часто находят интернет-магазины, торгующие инструментами для взлома, сервисами, отключающими иммобилайзеры, кодграбберами, а также руководствами по угону машин. Направления атак в автопроме: 2010-2020 Аппаратный или программный компонент Доля от целого Облачные серверы 32,9% Бесключевой доступ/брелок для ключей 25,3% Мобильное приложение 9,9% Порт компьютерной диагностики автомобиля 7,0% Система инфотейнмента 8,4% IT-система 7,0% Датчики 4,8% Шлюз между блоками управления электроникой и телематикой (ECU-TCU) 4,3% Бортовая сеть 3,8% Сеть Wi-Fi 3,8% Bluetooth 3,6% Автомобильный трекер 3,1% Сотовая сеть 2,4% USB или SD-порт 2,1% Источник: Upstream Security В данном случае интересно рассмотреть направления атак, также называемые векторами. Из этой таблицы четко следует, что наиболее популярны две цели: облачные сервера являются воротами почти для 33% всех кибератак, поскольку хакеры пытаются получить доступ к ценным данным, которые могут быть использованы для взлома киберзащиты автомобиля. Незащищенный бесключевой доступ или электронные брелоки также часто используются для проникновения в машину и угона. Замыкают тройку мобильные приложения: через них осуществляется почти 10% кибератак. Интересно, что суммарная доля удаленных атак составляет почти 80%, а доля физических атак – около 20%. Upstream также классифицирует источники кибератак по категориям «белая шляпа» и «черная шляпа». Белая шляпа – знак хакера, не имеющего преступных намерений. В основном это исследователи, взламывающие системы для оценки степени их надежности и выявления уязвимостей. Такие исследователи часто получают от взломанной ими компании приглашение на работу и/или вознаграждение. Черная шляпа – атрибут хакера, взламывающего системы из корыстных или прочих преступных побуждений. В 2020 году на категорию «черных шляп» пришлось 54,6% всех кибератак, по сравнению с аналогичным показателем 49,3% за период с 2010 по 2020. Хакеры-исследователи также открывают новые уязвимости, независимо или в рамках программ по поиску уязвимостей (bug bounty). Участники таких программ получают вознаграждение, если находят уязвимости в транспортных средствах и подключенных к ним сервисах. Список автокомпаний, ведущих такие программы, только растет: здесь уже и «Тесла», а также «Дженерал-Моторз», «Форд», «Фиат-Крайслер», «Даймлер» и другие. Они участвуют в программах bug bounty на специализированных платформах, например, BugCrowd, HackerOne, либо ведут их на собственных сайтах. Уязвимости, обнаруженные в программных компонентах, публикуются в отчетах по «общеизвестным уязвимостям информационной безопасности» (CVE) в рамках программы, запущенной корпорацией MITRE в 1999. Всего известно 110 таких отчетов, связанных с автопромом, причем, за 2020 год поступило 33, а за 2019 – 24. ISAC в автопроме В большинстве отраслей сформированы организации для борьбы за кибербезопасность; обычно их называют «Центрами обмена информацией и анализа» (ISAC). Организация Auto-ISAC создана в августе 2015 года; она оперирует центральным узлом по обмену, отслеживанию и анализу выявленных данных о киберугрозах, уязвимостях и инцидентах, связанных с подключенными транспортными средствами. Ее штаб-квартира находится в Вашингтоне, округ Колумбия, сайт в Интернете: Auto-ISAC – Automotive Information Sharing & Analysis Center (automotiveisac.com). На организации, состоящие в Auto-ISAC, приходится более 99% легковых автомобилей, проданных в Северной Америке; также эта организация включает более 45 глобальных производителей оборудования (OEM) и поставщиков. Членство в Auto-ISAC расширилось, в нем уже участвуют производители запчастей для тяжелых грузовиков и их поставщики, а также сектор коммерческого транспорта, в частности, таксопарки. К числу поставщиков относятся компании высшеего эшелона, такие как Argo, Intel, Motional и Waymo. Также идет кооперация с другими организациями. Auto-ISAC координирует работу с 23 другими ISAC, контролирующими ключевые инфраструктурные сферы, в частности, здравоохранение, авиацию, телекоммуникации и финансовые услуги. ENISA Агентство по сетевой и информационной безопасности Евросоюза (ENISA) – это орган ЕС, занимающийся обеспечением кибербезопасности в масштабах Европы. ENISA участвует в формировании киберполитики ЕС, способствует повышению доверия к продукции ИКТ, услугам и процессам, связанным с сертификацией кибербезопасности. ENISA активно действует в области киберзащиты автомобилей и выпустило несколько важных отчетов. В феврале 2021 года ENISA опубликовало документ «Вызовы кибербезопасности, связанные с внедрением искусственного интеллекта в автономном вождении». Отчет позволяет составить впечатление о вызовах кибербезопасности, связанных с использованием ИИ-технологий в автомобилях. Проблема описана в контексте политики, реализуемой как на европейском, так и на более широком международном уровне. В ноябре 2019 года ENISA опубликовало документ «Рекомендации по обеспечению информационной безопасности умных автомобилей». В данном отчете определены рекомендуемые практики по обеспечению безопасности подключенных автомобилей и полуавтономных транспортных средств. В 2017 году ENISA опубликовало документ «Кибербезопасность и надежность умных автомобилей», в котором основное внимание уделено рекомендуемым практикам для производителей автомобильных комплектующих и для поставщиков с целью защитить встраиваемые автомобильные системы от кибератак. Основное требование к стандартам и регламентам в области кибербезопасности – защитить автомобиль на протяжении всего его жизненного цикла, от проектирования, до производства и далее до использования клиентом. После двухлетней подготовки и редактирования ООН 24 июня 2020 года приняла документ WP.29 ЕЭК, регулирующий вопросы кибербезопасности. WP.29 действует в 54 странах, в том числе, ЕС, Великобритании, Японии и Южной Корее. На эти 54 страны приходится около 35% мирового производства автомобилей. Во многих других странах принимаются автомобили, соответствующие нормам ООН. США не входят в число этих 54 стран. Все производители, в том числе, автопроизводители из США, продающие автомобили на этих рынках, должны следовать требованиям кибербезопасности, изложенным в WP.29, применительно ко всей их продукции и процессам. Регламенты ООН являются юридически обеспеченными. Если страна или регион принимает регламент WP.29, то всем действующим в ней производителям комплектующих требуется доказательство соответствия для прохождения обязательной сертификации и дальнейшего права работы на рынке. В Европе прохождение обязательной сертификации требует взаимного признания соответствия нормам на уровне всего автомобиля. Если производитель получает сертификат на автомобиль определенного типа в одной стране ЕС, то может продавать такую модель во всех странах ЕС без дальнейших проверок. Регламент WP.29 состоит из двух основных директив по кибербезопасности автомобилей. Подробнее о них в следующем разделе. ISO/SAE 21434 разрабатывает новый стандарт кибербезопасности для транспортных средств, с акцентом на дополнительное обеспечение кибербезопасности на этапе инженерной проработки автомобиля. Этот стандарт описывает требования по управлению рисками, связанными с кибербезопасностью, делая акцент на выстраивании процесса и общей терминологии для обмена информацией по таким рискам и их устранению. Стандарт не содержит описания конкретных технологий или предложений по конкретным решениям, связанным с кибербезопасностью. Этот стандарт разработан совместной рабочей группой от организаций ISO и SAE и будет опубликован обеими. Более 25 автопроизводителей и 20 поставщиков высшего эшелона участвуют в разработке стандарта. Чистовая версия стандарта ISO/SAE 21434 была подготовлена в марте 2021 года. Вероятно, публикация стандарта откладывается до 2022 года. Работы по стандартизации, проводимые ISO/SAE 21434, связаны и разрабатываются в координации с деятельностью ЕС и ЕЭК по документу WP.29. Еще один важный стандарт — Uptane, разработанный для обновлений программ OTA. Uptane официально введен в январе 2017. Альянс Uptane образован в 2018. Это некоммерческая организация под эгидой Отраслевой организации IEEE по стандартам и технологиям (ISTO). Uptane был оформлен в виде стандарта IEEE/ISTO 6100 в июле 2019, тогда вышла версия 1.0. Альянс Uptane будет обеспечивать надзор над новыми стандартами Uptane, так, версия Uptane 1.1 была введена в январе 2021. Многие компании предлагают программные продукты, соответствующие стандарту Uptane. software products. Документ по кибербезопасности WP.29 ЕЭК В июне 2020 было принято две новых регулирующих нормы ООН по кибербезопасности, в рамках документа WP.29. Обе регулирующих нормы применимы к транспортным средствам всех типов, обновлены в марте 2021. Внедрение этих норм в некоторых странах начнется в 2021 и 2022 годах, более широкое внедрение – в 2023 и 2024 годах. В первом документе основное внимание уделяется кибербезопасности и системам управления кибербезопасностью (CSMS). Последнее обновление документа CSMS доступно по адресу: E/ECE/TRANS/505/Rev.3/Add.151 (unece.org). Определение WP.29 CSMS: под CSMS понимается систематический подход на основе оценки рисков, который определяет организационные процессы, зоны ответственности и управление для правильной трактовки рисков, связанных с киберугрозами транспортным средствам и с защитой транспортных средств от кибератак. В документе CSMS отлично рассмотрены угрозы, связанные с кибербезопасностью, приведен обширный список уязвимостей и методов атаки. В приложении 5 содержится 10 страниц с описанием уязвимостей, распределенных по множеству категорий. В первой из таблиц, приведенных ниже, обобщены угрозы и уязвимости. Существует 6 типов угроз и множество типов уязвимостей (29) со множеством примеров (67), перечисленных в документе CSMS. Резюме угроз и уязвимостей из области кибербезопасности по документу WP.29 Таблица № Тип угрозы Примеры и типы уязвимостей A1
Источник данных: E/ECE/TRANS/505/Rev.3/Add.151 (unece.org) В следующей таблице резюмированы меры по предотвращению угроз из области кибербезопасности, описанные в документе CSMS. Данные из таблицы B описывают угрозы, возникающие на борту автомобиля, данные из таблицы C – угрозы, возникающие вне автомобиля. Резюме способов предотвращения киберугроз, связанных с документом WP.29 Таблица № Предотвращение угроз, связанных с Внутри или вне машины Способов предотвращения B1 Каналы коммуникации между автомобилями Внутри 20 B2 Процесс обновления ПО Внутри 5 B3 Непреднамеренные действия человека, способствующие кибератаке Внутри 2 B4 Соединения со внешними устройствами Внутри 7 B5 Потенциальная цель атаки и ее мотивация Внутри 14 B6 Уязвимость, используемая в случае недостаточной защиты автомобиля Внутри 8 B7 Утрата данных или кража данных из автомобиля Внутри 1 B8 Физические манипуляции с системой с целью создания условий для атаки Внутри 1 C1 Серверы базы данных Снаружи 6 C2 Непреднамеренные человеческие действия Снаружи 2 C3 Физическая потеря или потеря данных Снаружи 3 Источник данных: E/ECE/TRANS/505/Rev.3/Add.151 (unece.org) Если вам интересна тема автомобильной безопасности, рекомендуем изучить оригинал документа со всеми данными. Второй регулирующий документ касается процессов обновления программным обеспечением и систем управления такими обновлениями (SUMS). Документ SUMS доступен по адресу: E/ECE/TRANS/505/Rev.3/Add.151 (unece.org). Определение WP.29 SUMS: Система управления обновлениями программ – это систематический подход, определяющий, какие организационные процессы и процедуры должны соответствовать требованиям по доставке программных обновлений согласно данному регулирующему документу. Новая регулирующая норма ООН об универсальных предпосылках к обновлениям программ и системам управления обновлениями программ применяется к автомобилям, работа которых зависит от обновления ПО. Данная норма также касается трейлеров и сельскохозяйственной техники, а также пассажирского транспорта, фургонов, грузовиков и автобусов. При обновлении программ по WP.29 от производителя комплектующих требуется:
Производитель комплектующих для транспортного средства должен выполнять следующие требования:
VPS серверы от Маклауд быстрые и безопасные. Зарегистрируйтесь по ссылке выше или кликнув на баннер и получите 10% скидку на первый месяц аренды сервера любой конфигурации!  оригинал =========== Источник: habr.com =========== =========== Автор оригинала: Egil Juliussen ===========Похожие новости:
Блог компании Маклауд ), #_informatsionnaja_bezopasnost ( Информационная безопасность ), #_umnyj_dom ( Умный дом ) |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 12:41
Часовой пояс: UTC + 5