U poslednjoj deceniji, automobili su postali više od prevoznog sredstva za vozače i putnike od tačke A do tačke B. Današnji modeli su sve češće sastavni deo mobilnog sveta koji spaja svakodnevni i digitalni život. Automobili nam danas pomažu tokom vožnje, pružajući razne usluge i aplikacije koji nam olakšavaju i ulepšavaju putovanje.
Imajući u vidu sve veći broj električna vozila, postoji širok spektar opcija u EV osmišljenih da vozaču pomognu prilikom plaćanja parkinga preko interneta ili prilikom punjenja baterija. Da bi mogli da obavljaju sve ove funkcije, EV moraju da prikupljaju i čuvaju ogromnu količinu informacija korisnika, poput lokacije, ličnih i bankovnih podataka. Stoga, upotreba interneta je neophodna za ove procese, te postoje i rizici po sajber bezbednost korisnika.
Posledice malver napada mogu biti krađe ličnih ili finansijskih podataka, nepredvidivog ponašanja vozila na autoputu (preuzimanje kontrole nad vozilom), zaključavanja vlasnika ili čak krađe automobila. Svaki uspešan sajber napad mogao bi biti opasan ne samo za vozače, već i za druge učesnike u saobraćaju. Pored toga, sajber napadi mogu uticati na operatere voznih parkova, proizvođače automobila, dobavljače, distributere, osiguravajuća društva i finansijske institucije.
Pitanja sajber bezbednosti u automobilskoj industriji postala su toliko značajna da se međunarodne organizacije aktivno uključuju u diskusiju o ovom problemu. Na primer, Uredbu Ujedinjenih nacija br. 155 o sajber-bezbednosti u automobilskoj industriji usvojila je UN Ekonomska komisija za Evropu (UNECE) 2021. godine. UNECE je takođe usvojila Uredbu UN br. 156, koja navodi bezbednosne procese ažuriranja softvera i aplikacija instaliranih u automobilskim sistemima. Pored toga, međunarodni standardi ISO/SAE 21434 i ISO 24089 navode specifične mere koje organizacije mogu primeniti u skladu sa UN uredbama.
Od jula 2024. regulativa UN postaće obavezna za sva nova električna vozila. Drugim rečima, da bi svoje proizvode prodavali na tržištima zemalja članica koje učestvuju u Sporazumu iz 1958. godine, koji dozvoljava recipročno priznavanje regulacije i komponente vozila, proizvođači automobila moraju da obezbede usklađenost sa zahtevima i prođu usklađenu sertifikaciju. To neće biti lak proces, jer nacionalna regulatorna tela još uvek nisu objavila sveobuhvatne preporuke i tehničke propise u vezi sa usaglašenošću sa uredbama UNR155 i UNR156.
Da bi ovi dokumenti bili funkcionalni i praktični, kompanija Kaspersky preporučuje sledeće korake:
#1 Osigurajte sajber sigurnost vaše ICT infrastrukture
Uverite se da je infrastruktura informacione i komunikacione tehnologije (ICT) kompanije zaštićena od sajber napada. To je centralna tačka bezbednosti za zaštitu kancelarijske internet mreže i end point – krajnjih tačaka. Zato je važno izgraditi i održavati jaku ICT infrastrukturu kako bi bila otporna na napade.
#2 Kreirajte i kontrolišite čitavim sistemom sajber bezbednosti u celoj kompaniji
Neophodno je koristiti racionalan pristup pri uspostavljanju sistema kontrole sajber bezbednosti prilokom razvoja vozila, proizvodnju i postprodukcijske aktivnosti. Treba postaviti jasna pravila organizacije i definisati ciljeve na nivou kompanije, uzimajući u obzir potencijalne pretnje za razvojni i proizvodni proces električnih automobila.
Kompanija ne samo da treba da se zaštiti, već i da implementira i održava procese koji se koriste za identifikaciju, procenu, kategorizaciju i tretman rizika sajber bezbednosti. Nadgledanje procedura za reagovanje na incidente treba da uzmu u obzir različite oblike sajber napada. Pored toga, proizvođači automobila treba da uspostave procedure za testiranje sajber bezbednosti vozila i njihove komponente.
Takođe, neophodno je i da zaposleni budu obučeni o sajber bezbednosti i da kompanija radi na podizanju svesti o uobičajenim pretnjama i napadima na proizvođače automobila i vozila.
Ukoliko su sve gore navedene operacije usklađene, kontrola sajber bezbednosti sistema je kompletna.
#3 Razvijte plan sajber bezbednosti za razvojni projekat
Plan sajber bezbednosti je dokument koji opisuje planiranje i izvođenje aktivnosti sajber bezbednosti u okviru projekta razvoja automobila. Ovde se navode aktivnosti sajber bezbednosti, definiše odgovorno osoblje, potrebni resursi, troškovi, vremenski okviri i željeni rezultati. Plan povezuje aktivnosti sajber bezbednosti sa procesom razvoja i pruža odličan alat za praćenje implementacije tokom zacrtanog vremenskog perioda.
#4 Važna je bezbednost prateće infrastrukture i eksternih usluga
Kada radite na razvoju sajber bezbednosti vozila, važno je voditi računa ne samo o bezbednosti automobila, već i ostalim pratećim komponentama za optimalno funkcionisanje – poput stanica za punjenje, eksterne usluge i infrastrukture provajdera usluga, kao i cloud podataka. Ukoliko provajder eksternih usluga ne može da obezbedi potrebnu bezbednost – a ne postoji način da se usluge ne koriste – neophodno je sprovesti dodatne mere bezbednosti.
#5 Uverite se da čitav projekat ispunjava relevantne preduslove sajber bezbednost
Od začetka i razvoja do reciklaže vozila i ponovne upotrebe određenih komponenti – svaka faza projekta ili „životnog ciklusa“ vozila treba da ispunjava preduslove sajber bezbednosti. S jedne strane, ne treba preopteretiti proces sa previše zahteva. S druge strane, važno je uzeti u obzir sve značajne rizike, uključujući i one koji se odnose na dobavljače, prateću infrastrukturu i eksterne usluge.
Problem sa kojim se možete suočiti u ovoj fazi je nedostatak takvih ljudi na tržištu rada, što je sistemski problem. U ovom slučaju, jedino rešenje je dovođenje eksternih organizacija za proveru kvaliteta koda, traženje ranjivosti u razvijenim proizvodima i sprovođenje različitih testiranja. Nedavni izveštaj kompanije Kaspersky pod nazivom „Ljudski faktor”, otkrio je da dve od pet auto kompanija planiraju da angažuju eksterne stručnjake za sajber bezbednost u narednih 12-18 meseci.
Treće strane mogu da procene stanje sajber bezbednosti kompanije i predlože mapu puta koja će pomoći da se sistem upravljanja uskladi. Oni mogu pomoći u obuci zaposlenih o sigurnosnim praksama. Za automobilske kompanije je najvažnije da ne zanemare svakodnevne nove sajber pretnje. Stoga tim za sajber bezbednost treba redovno da se bavi otkrivanjem ranjivosti i promena.
Put do optimalne sajber bezbednosti u dizajnu, razvoju i proizvodnji, posebno u automobilskoj industriji, može biti veoma izazovan. To je dug i mukotrpan put, koji se konstantno iznova redefiniše. Pobednička strategija je uravnotežen pristup planiranju i sistematski napredak od jednostavnog ka složenom.
Više informacija o tome šta propisi UNECE zahtevaju od auto industrije možete pronaći u analizi Kaspersky tima.