Автопром сталкивается с растущими киберрисками: аналитики предупреждают, что технология обновления по воздуху (OTA), используемая для модернизации автомобильных систем, повышает уязвимость для кибератак. OTA-технологии обеспечивают беспроводную доставку обновлений программного обеспечения, прошивок и данных для автомобилей, подключённых к интернету; именно такой подход Tesla начала стандартизировать с 2012 года с обновлениями для Model S. Эксперты отмечают риски для национальной безопасности, выходящие за рамки вопроса конфиденциальности данных: среди стран, заявляющих о обеспокоенности, — Норвегия, Дания и Великобритания, которые опасаются, что иностранные акторы могут саботировать управление транспортными средствами. Это стало причиной призывов усилить регуляторное вмешательство в отрасли.
Джейсон Ван дер Шайфф, стипендиат по кибер-, технологиям и безопасности в Австралийском стратегическом политическом институте, подчеркнул, что OTA-технологии теперь встроены во многие элементы автомобильного сектора. Сирадж Ахмед Шайх, профессор по системной безопасности в Суонси-университете в Великобритании, рассказал CNBC, что эту технологию ценят как быстрый и экономически эффективный вариант вместо традиционных процедур отзыва. Габриэль Лим, старший аналитик Школы международных исследований S. Rajaratnam в Сингапуре, охарактеризовал использование OTA как «уникальную обеспокоенность с точки зрения национальной безопасности».
Норвежская компания Ruter выявляет уязвимость системы управления
В конце прошлого года норвежская автобусная компания Ruter провела тесты безопасности на двух автобусах и обнаружила потенциальные риски в одном транспортном средстве, связанные с OTA-технологией. Компания заявила: «Есть доступ к системе управления батареей и электропитанием через мобильную сеть с использованием румынской SIM-карты. Теоретически, таким образом, этот автобус может быть остановлен или сделан неработоспособным производителем». Тесты проводились на автобусах, произведённых китайской компанией Yutong.
Великобритания и Дания запускают расследования по безопасности OTA
После проверки Ruter Великобритания и Дания начали собственные обзоры безопасности. Министерство транспорта Великобритании подтвердило, что изучает этот вопрос, и работает в тесном взаимодействии с Национальным центром кибербезопасности страны. Профессор Шайх подчеркнул, что уязвимость выходит за рамки одного производителя или одной страны: по его словам, внедрение OTA распространяется на морской транспорт, железнодорожную отрасль, аэрокосмический сектор, промышленное оборудование и робототехнику.
Американский Институт предпринимательства рекомендует проверки безопасности в майском отчёте
В мае Американский институт предпринимательства выпустил доклад, предупреждающий, что защита автомобильного сектора имеет решающее значение, чтобы ограничить возможности иностранных правительств по шпионажу. В докладе сказано: «Чтобы защититься от угроз иностранного шпионажа, США следует рассмотреть дополнительные проверки безопасности, ввести ограничения на определённые аппаратные и программные компоненты иностранного производства в автомобилях и обязать расширить раскрытие информации о сборе данных». Лим подчеркнул важность привлечения к ответственности организаций и правительств за то, как применяются системы OTA — особенно в отношении систем, которые «тихо работают на фоне технологий, которыми мы пользуемся в повседневной жизни».
FAQ
Какую уязвимость в OTA-технологии обнаружила норвежская автобусная компания Ruter?
Ruter выяснил, что один автобус имел доступ к системе управления батареей и электропитанием через мобильную сеть с использованием румынской SIM-карты, то есть транспортное средство теоретически можно остановить или сделать неработоспособным производителем.
Какие страны запустили расследования после тестов норвежской компании?
Великобритания и Дания начали собственные расследования безопасности после выводов Ruter: Министерство транспорта Великобритании работает в тесном взаимодействии с Национальным центром кибербезопасности, чтобы изучить этот вопрос.
Что рекомендовал Американский Институт предпринимательства в своём майском отчёте?
Институт рекомендовал США рассмотреть дополнительные проверки безопасности, ввести ограничения на определённые аппаратные и программные компоненты иностранного производства в автомобилях и обязать расширить раскрытие информации о сборе данных, чтобы защититься от угроз иностранного шпионажа.