Тренды информационной безопасности современного автомобиля

Современные автомобили трансформируются в полноценные цифровые устройства, которые предлагают множество функций — от сервисов для жизни, ставших привычными в смартфонах, до сложных интеллектуальных систем и сервисов, обеспечивающих безопасность участников дорожного движения. Однако эта цифровизация, направленная на повышение комфорта и безопасности, одновременно увеличивает поверхность атаки автомобиля.

Упрощенно современный автомобиль представляет собой набор компьютеров, объединенных в единую сеть передачи данных. И злоумышленник, получив удаленное управление машиной, может не только похитить пользовательские данные, но и создать аварийную ситуацию на дороге. Преднамеренные действия, нацеленные на функциональную безопасность автомобиля, пока еще не стали нашей реальностью, но это не означает, что так будет всегда, и ситуация не изменится в обозримом будущем.

Цифровая эволюция автомобиля

В своем современном виде автомобиль появился относительно недавно. Цифровые системы вроде блока управления двигателем и бортового компьютера начали устанавливать в 1970-х годах, но только в 1990-х эти компоненты стали использовать в стандартных комплектациях. Технологическое усовершенствование автомобилей привело к появлению множества узкоспециализированных электронных устройств, выполняющих конкретные задачи: замер скорости вращения колеса, управление режимом работы фар, контроль открытия дверей салона. Со временем датчиков и контроллеров становилось все больше, и для их синхронизации и координации начали использовать автомобильные локальные сети на базе шин LIN и CAN. Сегодня, спустя около 35 лет, автомобиль стал сложным техническим устройством с широкими возможностями для удаленного взаимодействия, включая 5G, V2I, V2V, Wi-Fi, Bluetooth, GPS и RDS.

Компоненты вроде головного устройства и телекоммуникационного модуля являются штатными точками входа во внутреннюю инфраструктуру автомобиля, что делает их частыми объектами исследований безопасности.

C точки зрения функциональности и внутренней архитектуры мы можем разделить автомобили на три категории. Четкой границы между этими категориями нет, поскольку существует много переходных вариантов, которые по разным признакам можно отнести сразу к двум категориям.

Совсем устаревшие автомобили не обладают возможностью удаленного взаимодействия с внешними информационными системами по цифровым каналам связи (кроме подключения диагностического оборудования) и имеют простейшую внутреннюю архитектуру. Такие автомобили часто дооснащаются современными головными устройствами, но эти компоненты обычно остаются в замкнутой информационной среде, поскольку они встраиваются в устаревшую архитектуру. Это означает, что даже при успешной атаке на них злоумышленник не сможет развить ее на другие компоненты автомобиля.

Устаревшие автомобили — это своего рода переходное звено. В отличие от простых машин из прошлого, они оснащены телематическим блоком, который используется в основном для сбора данных, а не для удаленного управления (хотя техническая возможность двунаправленной связи не исключается), а также головным устройством с более широкой функциональностью, позволяющей менять настройки и управлять системами. Внутренняя архитектура таких автомобилей преимущественно цифровая, с интеллектуальными системами помощи при вождении. Многочисленные электронные блоки объединены в «плоскую» или ограниченно разделенную на домены безопасности информационную сеть. Штатное головное устройство в таких машинах часто заменяют на стороннее, современное по функциональности. С точки зрения кибербезопасности устаревшие автомобили представляют собой самую сложную проблему: для них легко достижимы серьезные физические последствия кибератак, вплоть до угрозы жизни. Это стало понятно 10 лет назад, после того как Чарли Миллер и Крис Валасек провели свое нашумевшее исследование с дистанционным взломом Jeep Cherokee.

Современные автомобили отличаются кардинально иной архитектурой. В данном случае информационная сеть электронных блоков управления разделена на домены безопасности при помощи брандмауэра, обычно реализованного внутри центрального шлюза. С появлением штатных двунаправленных каналов взаимодействия с облачной инфраструктурой производителя, а также с увеличением связности системы принципиально изменилась поверхность атаки. Однако многие автопроизводители сделали выводы после исследования Jeep Cherokee: они доработали архитектуру информационной сети, сегментировали ее при помощи центрального шлюза, настроили фильтрацию проходящего трафика и изолировали таким образом критически важные системы от наиболее доступных для атак блоков, таких как головное устройство и телекоммуникационный модуль. Это существенно усложнило задачу нарушения функциональной безопасности через кибератаку.

Возможное развитие ситуации

Архитектура современных автомобилей затрудняет реализацию наиболее опасных для участников движения атак, например с удаленной активацией подушки безопасности на высокой скорости. А вот заблокировать запуск двигателя или двери либо получить доступ к конфиденциальным данным часто оказывается проще, так как эти функции доступны через облачную инфраструктуру вендора. Эти и другие проблемы кибербезопасности автомобилей побуждают автопроизводителей обращаться к специализированным командам для проведения реалистичной «атаки». Результаты подобных исследований безопасности, публикуемые в открытом доступе в больших количествах, демонстрируют формирующийся тренд.

Тем не менее хакерские атаки на современные автомобили пока не стали обыденностью. Это обусловлено отсутствием вредоносного ПО, разработанного специально для этой цели, а также схем монетизации. Как следствие, порог вхождения для потенциальных злоумышленников высок. При этом масштабируемость атак — плохая, а следовательно, гарантированная доходность — низкая. Вместе с тем риски быть пойманным очень высоки.

Однако ситуация медленно, но меняется. Превращение автомобиля в гаджет, реализованный на базе распространенных технологий (операционных систем Linux, Android, а также приложений с использованием открытого исходного кода и общих компонентов от сторонних производителей), делает его уязвимым для традиционных атак. Внедрение средств беспроводной коммуникации повышает риск несанкционированного удаленного управления. Специализированный инструментарий вроде программно-определяемых радиосистем (SDR) и инструкции по взлому беспроводных сетей (Wi-Fi, GSM, LTE, Bluetooth) становятся общедоступными. Эти факторы, наряду с потенциальным снижением привлекательности традиционных целей (допустим, жертвы перестанут платить выкуп), могут переориентировать злоумышленников на автомобили.

Какие автомобили в зоне риска

Станут ли атаки на автомобили логическим развитием атак на классические IT-системы? Технически более реалистичными кажутся атаки на удаленно доступные головное устройство и телекоммуникационный модуль, а также на облачные сервисы или мобильные приложения — ради вымогательства или кражи конфиденциальных данных. Однако такие сценарии требуют значительных вложений, разработки инструментария и минимизации рисков. Успех не гарантирует выкуп, поэтому частные автомобили пока остаются малопривлекательными для злоумышленников.

Но есть автомобили такси, каршеринговых сервисов, логистических компаний и государственных организаций. Они, как правило, оснащены телеметрическими системами и другим нештатным однотипным оборудованием, по уровню безопасности уступающим штатному и часто интегрированным в инфраструктуру автомобиля не самым безопасным способом. Поэтому атака на такие системы может иметь значительный масштаб и представлять собой серьезные финансовые и репутационные угрозы для владельцев крупных автопарков.

Отдельно стоит отметить грузовики, спецтехнику и пассажирский транспорт, также оборудованные нештатными системами сбора телеметрии. Архитектурно они схожи с легковыми автомобилями, а значит, имеют аналогичные проблемы безопасности. При этом ущерб от атаки на такие машины может быть очень серьезным (сутки простоя карьерного самосвала могут обернуться убытком в сотни тысяч долларов).

Инвестиции в безопасное будущее

Изменение текущей ситуации к лучшему возможно лишь путем инвестирования в кибербезопасность автомобилей на всех уровнях — от частного пользователя до государственного регулятора. Движущие силы: забота потребителя о собственной безопасности и забота государства о безопасности своей и своих граждан.

Вопросом обеспечения кибербезопасности автомобилей уже озаботились исследователи, поставщики услуг кибербезопасности, государственные регуляторы, а также крупные автопроизводители. Многие автоконцерны создали свою собственную команду продуктовой кибербезопасности (Product Security или Product CERT), наладили процесс реагирования на информацию о новых уязвимостях, сделали тесты на проникновение обязательной частью разработки, начали использовать Cyber Threat Intelligence и внедрять методы безопасной разработки и подходы конструктивной безопасности. Это новый тренд, и ожидается, что через 10 лет такой подход станет естественным для большинства автопроизводителей.

Параллельно создаются профильные центры мониторинга событий безопасности (SOC) для автомобилей. В основе лежит концепция удаленного сбора данных с автомобилей для последующего их анализа до наступления событий информационной безопасности. На основе этих данных теоретически можно выявлять кибератаки на информационные системы автомобиля, создавать базы с информацией об угрозах. Индустрия движется к разворачиванию таких центров.

Больше о трендах в сфере безопасности автомобилей читайте в нашей статье на сайте Kaspersky ICS CERT.