Cyberbezpieczeństwo w motoryzacji.

Kilka dekad temu zabezpieczenie samochodu oznaczało solidny zamek i alarm. Dziś jest to ochrona ruchomej, zawsze podłączonej do sieci platformy komputerowej – wyposażonej w dziesiątki elektronicznych jednostek sterujących (ECU), wiele sieci pokładowych i szybkie łącza do chmury.

W tej nowej rzeczywistości komputer o wysokiej wydajności (HPC) staje się „mózgiem” pojazdu, koordynującym takie obszary jak układ napędowy, system informacyjno-rozrywkowy, ADAS i ładowanie. W praktyce jest to centrum danych na kołach. Im większa wydajność, łączność i integracja, tym większe wyzwania związane z cyberbezpieczeństwem.

Wyzwania związane z bezpieczeństwem pojazdów

Złożoność systemu

Nowoczesne pojazdy łączą w sobie wiele warstw technologicznych: Linux dla systemu informacyjno-rozrywkowego, Android Automotive dla obsługi użytkownika, AUTOSAR Classic/Adaptive dla obszarów krytycznych dla bezpieczeństwa – wszystkie połączone sieciami takimi jak CAN, Ethernet i LIN. Każda taka warstwa ma swoje własne słabe punkty, cykle aktualizacji i zależności. Efekt? Ogromna powierzchnia ataku, której złożoność potęgują architektury strefowe i łączność zdalna (Wi-Fi, Bluetooth, 5G, V2X).

Biblioteki zewnętrzne i zależności

Wiele funkcji pojazdów opiera się na bibliotekach stron trzecich lub oprogramowaniu open source. Przyspieszają one rozwój, ale mogą wprowadzać słabe punkty poza bezpośrednią kontrolą producenta OEM. Jeśli dostawca opóźnia wprowadzenie poprawki, ryzyko pozostaje w systemie do momentu jego wyeliminowania.

Wymogi regulacyjne

Dla inżynierów i architektów zgodność z przepisami to nie tylko formalności – to ograniczenie projektowe.

• UNECE R155 nakłada obowiązek stosowania systemu zarządzania cyberbezpieczeństwem (CSMS), obejmującego cały cykl życia: od koncepcji i projektu po monitorowanie po zakończeniu produkcji i wycofanie z eksploatacji.
• UNECE R156 wymaga systemu zarządzania aktualizacjami oprogramowania (SUMS) w celu bezpiecznego dostarczania i weryfikowania aktualizacji przez cały okres eksploatacji pojazdu.
• ISO/SAE 21434 przekłada te wymagania na praktyki inżynieryjne – od analizy zagrożeń i oceny ryzyka (TARA) po planowanie reagowania na incydenty.
• ISO 24089 dodaje wymagania dotyczące bezpiecznych procesów aktualizacji OTA.
• FIPS 140 określa wymagania bezpieczeństwa modułów kryptograficznych, które mają kluczowe znaczenie dla sprzętu i oprogramowania kryptograficznego w pojazdach.
• dyrektywa w sprawie urządzeń radiowych (RED, EN 18031-1/2) nakłada dodatkowe wymagania na urządzenia z funkcją łączności bezprzewodowej, wymagając solidnego cyberbezpieczeństwa i odporności na ataki sieciowe.

Prawdziwym wyzwaniem jest włączenie tych wymagań do architektur, które już teraz muszą godzić cele związane z bezpieczeństwem, wydajnością i kosztami. Wszystko to w ramach napiętych terminów rynkowych. Brak zgodności? Pojazd nie może być sprzedawany w wielu kluczowych regionach.

Cyberbezpieczeństwo a ASPICE i terminy rozwoju

Włączenie bezpieczeństwa do ustalonych procesów rozwoju opartych na ASPICE może być trudne. Zadania związane z cyberbezpieczeństwem, takie jak audyty kodu, modelowanie zagrożeń i sprawdzanie bezpiecznej konfiguracji, często powodują dodatkową pracę, która jest niewidoczna dla klientów końcowych, ale ma kluczowe znaczenie dla bezpieczeństwa systemu. Równoważenie tych niewidocznych zadań z terminami dostaw jest ciągłym wyzwaniem.

Problem niewidocznej pracy

Inżynieria bezpieczeństwa rzadko tworzy „funkcje” widoczne dla klientów. Wdrożenie bezpiecznego rozruchu, szyfrowanie zapisanych danych lub wzmocnienie procesu OTA zajmuje dużo czasu, ale nie zmienia wyglądu ani właściwości jezdnych samochodu. Może to utrudniać uzasadnienie zasobów wewnętrznych, nawet jeśli środki te są niezbędne do ochrony marki i użytkownika.

Co robią hakerzy – typowe ataki na pojazdy

Ataki mogą być skierowane na sieci wewnętrzne, interfejsy zewnętrzne, sprzęt lub infrastrukturę zaplecza. Najczęściej spotykane ataki to:

• wstrzyknięcie magistrali CAN – wykorzystanie braku uwierzytelnienia do wysyłania złośliwych ramek (ataki DoS, fuzzing, podszywanie się lub ataki Bus-off).
• przeprogramowanie ECU – flashowanie zmodyfikowanego oprogramowania układowego w celu ominięcia kontroli lub dodania backdoorów.
• fałszowanie danych z czujników – przekazywanie fałszywych danych z GPS, radaru lub kamery w celu wprowadzenia w błąd systemów ADAS/autonomicznych.
• ataki typu „relay” na systemy bezkluczykowe – zwiększenie zasięgu komunikacji pilota w celu odblokowania/uruchomienia pojazdu bez kluczyka.
• wykorzystanie luk w zabezpieczeniach sieci bezprzewodowych – ataki na kanały Wi-Fi, Bluetooth, 5G lub V2V/V2I w celu uzyskania dostępu do krytycznych systemów.
• naruszenie aktualizacji OTA – wstrzyknięcie złośliwego kodu lub wykorzystanie słabej ochrony przed cofnięciem.
• naruszenie zaplecza – naruszenie serwerów OEM lub dostawców w celu dystrybucji złośliwych aktualizacji lub manipulowania danymi telematycznymi.
• ataki na sprzęt – ataki bocznymi kanałami na chipy, wprowadzanie błędów lub fizyczne manipulacje w celu wydobycia kluczy lub ominięcia zabezpieczeń.
• naruszenie łańcucha dostaw – wprowadzenie podrobionych chipów, komponentów z tylnymi drzwiami lub złośliwego oprogramowania układowego podczas produkcji lub logistyki.

Może to być robione przez złodziei, zorganizowane grupy cyberprzestępcze, hakerów lub osoby wspierane przez państwo – każda z nich ma inne możliwości i cele.

Codzienność w cyberbezpieczeństwie motoryzacyjnym

Cyberbezpieczeństwo motoryzacyjne to ciągłe przewidywanie zagrożeń, budowanie zabezpieczeń i reagowanie na incydenty. Zaczyna się od TARA, aby zidentyfikować obszary o najwyższym ryzyku – od systemów informacyjno-rozrywkowych po układy sterowania krytyczne dla bezpieczeństwa – co pomaga ustalić priorytety projektowe. Następnie inżynierowie wdrażają takie środki, jak:

• bezpieczny rozruch – na ECU/HPC mogą działać tylko zaufane, podpisane kody.
• bezpieczna diagnostyka – dostęp do wrażliwych funkcji jest ograniczony do uwierzytelnionych narzędzi.
• bezpieczna komunikacja – TLS, Secure Onboard Communication (SecOC) i silne zarządzanie kluczami.
• bezpieczne aktualizacje OTA – podpisane cyfrowo, szyfrowane, chronione przed cofnięciem.
• zabezpieczenia fizyczne – wyłączone porty debugowania, szyfrowane oprogramowanie układowe.

Bezpieczeństwo jest weryfikowane poprzez testy penetracyjne, fuzzing, audyty oraz przeglądy kodu zgodnie z normą ISO/SAE 21434 i wymogami regulacyjnymi. Coraz częściej narzędzia do skanowania i zarządzania podatnością są integrowane z procesem CI/CD, automatycznie skanując każdą kompilację i wprowadzając poprawki do rejestru zadań programistycznych, zapewniając, że znane problemy zostaną rozwiązane, zanim będą mogły zostać wykorzystane.

Po wprowadzeniu do produkcji (SOP) ciągłe monitorowanie za pomocą systemów wykrywania i zapobiegania włamaniom (IDPS) oraz centrów operacyjnych bezpieczeństwa (SOC) pomaga wykrywać anomalie w czasie rzeczywistym, zapewniając gotowość na najgorszy scenariusz.

Podstawowe zasady bezpieczeństwa

• ochrona wielowarstwowa – sprzęt + oprogramowanie + procesy + kontrola łańcucha dostaw.
• bezpieczeństwo od samego początku – integracja zabezpieczeń już na etapie koncepcji.
• regularne aktualizacje – ponieważ cykl życia pojazdów jest dłuższy niż wiele luk w zabezpieczeniach oprogramowania.
• ciągłe monitorowanie – wykrywanie i reagowanie, zanim incydent się nasili.

Końcowe przemyślenia

Cyberbezpieczeństwo w motoryzacji nie jest „funkcją” – jest to ciągła, ewoluująca dyscyplina, która obejmuje cały cykl życia pojazdu: koncepcję, rozwój, produkcję, eksploatację i wycofanie z eksploatacji. Wymaga to skoordynowanych działań producentów OEM, dostawców, organów regulacyjnych i ekspertów ds. cyberbezpieczeństwa.

Pojazdy przyszłości będą bardziej połączone, autonomiczne i oparte na oprogramowaniu niż kiedykolwiek wcześniej. Bez solidnych, wbudowanych zabezpieczeń będą również bardziej podatne na zagrożenia. Właściwe podejście to nie tylko zgodność z przepisami – to kwestia bezpieczeństwa, zaufania i przetrwania marki w nowej erze mobilności.

Źródła:

• https://www.researchgate.net/publication/382736828_Automotive_Cybersecurity_Challenges_A_Practitioner’s_Guide
• http://www.diagnostyka.net.pl/Author-Piotr-Pe%C5%82echaty/284817

Karolina Olchawa

Cybersecurity and Cryptography Engineer

Od początku kariery jestem związana z systemami embedded, a moją specjalizacją jest cybersecurity w branży automotive. Na co dzień pracuję w Endego jako Cryptography and Cybersecurity Developer, implementując rozwiązania zabezpieczające nowoczesne pojazdy. Po godzinach rozwijam pasję do edukacji – prowadzę szkolenia z diagnostyki samochodeowej i cybersecurity oraz współorganizuję NextGenIT, inicjatywę, która inspiruje młodych ludzi do odkrywania świata technologii