مقابله با آسیب‌پذیری‌های سایبری در صنعت خودرو

به گزارش کارگروه فناوری اطلاعات سایبربان؛ وقتی محققان در سال 2015 یک ماشین جیپ را از راه دور هک کردند و باعث کاهش سرعت ماشین در بزرگراه شدند، پورتال مورد استفاده هکرها یک سیستم ساخته شده به‌وسیله تأمین کننده بین‌المللی هارمان (Harman)، بخشی از سامسونگ الکترونیک بود.

 هارمان، از آن زمان محصول امنیت سایبری خود را توسعه داد و شرکت امنیت سایبری اسرائیلی «TowerSec» را به مبلغ 70 میلیون دلار برای بررسی دقیق نرم‌افزار و فرآیندهای ساخت خریداری کرد. این کار باعث جلوگیری از نقض عمومی دیگر شد و شرکت را تبدیل به یک بازیکن کلیدی در زمینه امنیت سایبری خودرو کرد. شرکت از هک اتومبیل جیپ به عنوان فرصتی استفاده کرد و در حال حاضر نرم‌افزار امنیت سایبری خود را به‌فروش می‌رساند.

جفری وود (Geoffrey Wood)، رئیس توسعه کسب و کار امنیت سایبری هارمان گفت:

خودرو یک صنعت بسیار رقابتی با حاشیه‌های اندک است؛ درصورتی که رقیب بخواهد از هزینه بیشتر برای پیروزی استفاده کند، شما هم باید همین کار را انجام دهید.

به گفته «IHS Markit»، زیرمجموعه هارمان، شرکت «Garrett Motion»، تأمین‌کنندگان آلمانی «Continental AG»، رابرت بوش (Robert Bosch ) و برخی شرکت‌های کوچک‌تر اسرائیلی و آمریکایی، درآمد جهانی بازار امنیت سایبری خودرو در سال 2017 حدود 16 میلیون دلار بوده است و به نظر می‌رسد تا سال 2025 به 2.3 میلیارد دلار برسد.  

یکی از اهداف این شرکت‌ها، امنیت خودروها در برابر هکرها است؛ وسایل نقلیه مدرن با 100 میلیون خط کد و داشتن صدها فناوری مختلف، با استفاده از سیستم‌های عملکردی مختلف می‌توانند 150 واحد کنترل الکترونیکی داشته باشند. برخلاف لوازم الکترونیکی مصرفی، ماشین‌ها می‌توانند مدت‌ها پس از قطع شدن سیستم‌های عامل و نرم‌افزار کامپوننت پشتیبانی شده با به‌روزرسانی‌ها و پچ آسیب‌پذیری‌ها، دهه‌ها مورد استفاده قرار گیرند.

مایکل گرافک (Michael Gruffke )، رئیس واحدهای سیستم امنیتی در بی‌ام‌دبلیو – تأمین کننده قسمت‌هایی برای هارمان – برای وسایل نقلیه 2024 توسعه یافته در «BMW AG» گفت که تأمین‌کنندگان باید از عدم اتصال مستقیم واحدهای کنترل سیستم رانندگی به دستگاه‌های اینترنتی مشتریان اطمینان حاصل کنند.

روتم بار (Rotem Bar)، متخصص امنیت سایبری سابق در شرکت اسرائیلی «CyMotive» اعلام کرد که تأمین‌کنندگان کوچک خودرو با سود اندک اغلب ضعیف‌ترین حلقه برای هکرها محسوب می‌شوند. با این حال، خودروسازان معمولاً آزمایش و اطمینان از امنیت سیستم‌های داده را به پیمانکاران فرعی خود واگذار می‌کنند.

دنیس کنگو اوکا (Dennis Kengo Oka)، معمار ارشد راه‌حل در شرکت «Synopsys»، محقق امنیت سایبری خودرو اظهار داشت:

اکنون بار مسئولیت روی شانه تأمین‌کنندگان است، زیرا خودروساز توانایی آزمایش و تأیید هر چیزی در امتداد زنجیره تأمین را ندارد.

بیش از 70 درصد قطعات موجود در خودروهای شرکت بی‌ام‌دبلیو به‌وسیله تأمین کنندگان تولید می‌شود. به گفته یکی از خودروسازان، شرکا باید مسئولیت اجرای امنیت سایبری در تحویل‌های خود را برعهده بگیرند.

ایمی چو (Amy Chu)، مدیر ارشد امنیت تولید خودرو در هارمان اظهار داشت:

ما باید در ارتباط با خرید خودروسازان به فروشندگان خود آموزش دهیم و اجازه ندهیم این کار بدون بررسی امنیت سایبری انجام شود.

آسف آتزمان (Asaf Atzmon)، مدیر کل امنیت سایبری خودرو در اسرائیل معتقد است که از زمان پیوستن هارمان در ماه مارس 2016 به «TowerSec» موفق بوده است. در آن زمان هارمان فقط چند معمار امنیتی داشت، اما بعدها با تغییر ساختار سازمانی خود، متخصصانی مانند : وود و چو را جذب کرد. این تغییر باعث لحاظ شدن امنیت سایبری در تمام بخش‌ها و ایجاد چک‌لیستی شامل بررسی باگ‌های نرم‌افزاری، افزایش دفاع امنیت سایبری شرکت و ایجاد تجزیه و تحلیل ریسک آسیب‌‎پذیری‌های احتمالی در هر قطعه شد.

به گفته چو، یک چالش خاص، امنیت وسایل نقلیه است؛ متخصصان امنیت سایبری برای پچ‌های نرم‌افزاری استفاده می‌شوند اما مهندسان خودرو در مورد دریافت به‌روزرسانی‌های هوایی تنها در بخشی از وسایل نقلیه هشدار دادند. در هک شدن جیپ، یادآوری برای رفع نواقص نرم‌افزاری 1.4 میلیون خودرو صادر شد.

خودروسازان در سال 2015 – کمی پس از هک جیپ – گروهی برای اشتراک تهدیدات و آسیب‌پذیری‌ها تشکیل دادند و شرکت‌ها در حال حاضر تلاش می‌کنند تا استانداردهای امنیت سایبری را تعیین کنند. البته انتظار نمی‌رود این استانداردها تا سال آینده منتشر شوند. ویکتور موری (Victor Murray)، رئیس گروه تحقیقاتی در مؤسسه «Southwest» - که آزمایش آسیب‌پذیری‌های امنیت سایبری در خودروها و قطعات را برعهده دارد – در این خصوص گفت که برخی از این استانداردها برای محافظت از تأمین کنندگان کوچک‌تر و اطمینان از منابع لازم کاهش می‌یابند.