تجزیه و تحلیل Frost & Sullivan نشان میدهد که خودروهای متصل تقریباً 86٪ از بازار جهانی خودرو را تا سال 2025 تشکیل میدهند و در نتیجه نقاط تهدید آسیبپذیر بسیاری را برای هکرها ایجاد خواهند کرد. همچنین افزایش اتصال چندین خودرو به یکدیگر و همچنین اتصال آنها به زیرساختهای شهری باعث اختلال گسترده در صنعت خودرو میشود. چرا که حملات سایبری خطرات شدیدی را برای صنعت خودرو ایجاد میکنند.
این موضوع زمانی اهمیت بیشتری پیدا میکند که متوجه شویم این امور مستقیماً بر ایمنی راننده، حفظ حریم خصوصی و انتقال دادهها و تداوم خدمات تأثیر میگذارد. از اینرو، دستورالعملهای مناسب و دستورات نظارتی لازم برای تضمین ایمنی و امنیت صاحبان ناوگان خودرویی در کوتاهمدت تا درازمدت بسیار مهم خواهد بود.
تاکنون، یکی از چالشهای کلیدی، فقدان استانداردهای واضح و قابل اجرا برای اکوسیستم خودروهای متصل بوده است. با این حال، ما مطمئن هستیم که این چالش با ظهور دو استاندارد WP.29 کمیسیون اقتصادی سازمان ملل متحد برای اروپا و استاندارد ISO/SAE 21434، در حال حل شدن است.
در این متن از وبلاگ دلفین در نظر داریم روش حل شدن چالش امنیت در خودروهای متصل را بررسی کنیم، اگر به این موضوع علاقه دارید، با ما همراه باشید.
۱. شرکتکنندگان در اکوسیستم خودروهای متصل
در چند سال گذشته، آژانسهایی مانند اداره ملی ایمنی ترافیک بزرگراهها، آژانس اتحادیه اروپا برای امنیت شبکه و اطلاعات، انجمن خودروسازان اروپا، انجمن مهندسین خودرو، و Auto-ISAC، استانداردهای امنیت سایبری خود را منتشر کردهاند. این موسسات به دنبال گسترش آگاهی، درک و کمک به شرکتکنندگان در اکوسیستم، برای ساخت وسایل نقلیه و اجزای وسیلهی نقلیهی ایمن هستند.
با این حال، تا به امروز، هیچ استاندارد امنیتی اجباری رسمی برای صنعت خودرو به عنوان یک اصل، وجود نداشته است. فقدان یک چارچوب امنیتی استاندارد برای اکوسیستم خودروهای متصل، آنها را عمیقاً در برابر حملات سایبری آسیبپذیر کرده است. انتظار میرود این وضعیت از سال 2021 به لطف دو استاندارد WP.29 UNECE و ISO/SAE 21434 که موجهای مثبتی در صنعت خودرو ایجاد میکنند، تغییر کند.
در حالی که استاندارد ISO/SAE هنوز در مرحلهی تدوین است، WP.29 توسط مجمع جهانی UNECE برای هماهنگسازی مقررات خودرو در ژوئن 2020 تصویب و در ژانویه 2021 لازمالاجرا شد. ISO/SAE و WP.29 مکمل یکدیگر هستند. هر دو استاندارد، صنعت خودروسازی را برای تامین امنیت نسل جدیدی از خودروهای متصل، آماده میکنند.
مطالب مرتبط:
خودروهای متصل، آیندهی صنعت حملونقل
2. ISO/SAE 21434، تاکید بر امنیت با طراحی
استاندارد ISO/SAE ایجاد یک زمینهی مشترک برای امنیت در بین OEMها و تامینکنندگان خودرو را پیشنهاد میکند. این استاندارد همچنین اتخاذ یک چارچوب امنیت سایبری موثر را در تمام مراحل چرخهی عمر یک وسیله نقلیه از طراحی، توسعه و تولید گرفته تا از کار انداختن، الزامی میکند. این استاندارد فرآیندهای تحلیل تهدید، ارزیابی و مدیریت ریسکهای سایبری را در هر مرحله به وضوح تعریف میکند.
OEMها و سایر شرکتکنندگان در زنجیرهی تامین، باید از این استاندارد پیروی کنند تا اطمینان حاصل شود که همهی وسایل نقلیه، قطعات سختافزاری و نرمافزاری، شبکهها، کانالهای ارتباطی و پلتفرمهای اتصال، ایمن هستند. این استاندارد امنیت سایبری را به عنوان بخشی جداییناپذیر از کل اکوسیستم خودروهای متصل تعریف میکند، بنابراین نقاط آسیبپذیر در زنجیرهی تامین را محدود میکند.
3. WP.29، ایمن کردن سرتاسری چرخهی عمر وسیله نقلیه
برخلاف ISO/SAE، مقررات WP.29 مسئولیت مدیریت خطرات سایبری در کل زنجیرهی تامین را بر عهدهی OEMها میگذارد. این موضوع بر نیاز OEMها به اتخاذ یک رویکرد امنیتی کلی متمرکز بر چهار اصل متمایز زیر تأکید میکند:
- پیادهسازی امنیت با طراحی در طول توسعهی خودرو
- ایجاد تشخیص نفوذ و حفاظت برای کل ناوگان خودرویی
- مدیریت خطرات سایبری خودرو، در طول چرخهی حیات
- ایجاد کانالهای ارتباطی امن برای بهروزرسانیها
این اصل را میتوان از دو روش به دست آورد:
- تایید سیستمهای مدیریت امنیت سایبری CSMS
- تایید نوع وسیله نقلیه
مطالب مرتبط:
آنچه در سال ۲۰۲۱ بر بازار مدیریت هوشمند ناوگان خودرویی گذشت
4. تایید سیستمهای مدیریت امنیت سایبری CSMS
این الزام، OEMها را موظف میکند تا یک چارچوب برای ارزیابی و کاهش تهدید در سازمان خود بسازند. OEMها وظیفه دارند ثابت کنند که سیستمهای مدیریت امنیت سایبری آنها به طور مناسب شناسایی و طبقهبندی شده است و اصلاح تهدید را در طول توسعه خودرو و همچنین در طول چرخه مالکیت انجام میدهد.
بیش از 30 تهدید از جمله جعل پیام، نقض دادهها، دستکاری غیرمجاز کد/داده خودرو، حملات انکار سرویس، دسترسی غیرمجاز کاربر و انتقال محتوای مخرب، در سند مقررات، گردآوری شده است. برای دریافت گواهی انطباق، OEMها باید اطمینان حاصل کنند که CSMS آنها، فهرست جامع تهدیدات را شناسایی کرده و اقدامات مربوطه را برای هر یک از تهدیدات ذکر شده در مقررات ارائه میکند.
۵. تایید نوع وسیلهی نقلیه
بخش دوم این مقررات مراحل مختلفی را که یک OEM باید برای دریافت تأییدیههای نوع خودرو جدید رعایت کند، شرح میدهد. مقامات باید نظارت کنند که آیا معماری خودرو و رویههای ارزیابی ریسک مطابق با آنچه در مقررات مقرر شده است، اجرا میشود؟
این مقررات همچنین OEMها را ملزم میکنند تا امنیت اجزای مورد استفاده در خودروهای خود را تایید کنند. خودروسازان میتوانند از دستورالعملهای ISO/SAE 21434 مربوط به ساخت فرآیندهای امنیت سایبری ساختاریافته در طول توسعه خودرو استفاده کنند.
اگرچه هم استاندارد ISO/SAE و هم WP.29 رویههای کارآمدی را برای مدیریت امنیت سایبری دیکته میکنند، اما عمداً مشخصات فنی را ارائه نمیکنند و به OEMها اجازه میدهند تا خلاقانه در مورد KPIهای فناوری امنیت سایبری که شرایط را برآورده میکنند، تصمیم بگیرند. این یک رویکرد هوشمندانه است، زیرا اقدامات فنی سفت و سخت میتواند در دنیای پویای در حال تغییر امنیت سایبری، نتیجهی معکوس داشته باشد.
۶. آیا خودروسازان، برای مقابله با این تغییرات آماده هستند؟
همانطور که گفته شد هنوز صنعت خودروسازی به امور سنتی خود پایبند است و نتواسته آنطور که باید خود را با تکنولوژیهای نوین همگام سازد. به همین دلیل باید دستورالعملهایی به آنها داده شود که بداند در مسیر ایجاد شهرها و خودروهای هوشمند چه اصولی را باید رعایت کنند. هر چند باز هم برخورد با اجرای این قوانین به 2 شکل کلی یعنی برونسپاری و یا درونسازمانی صورت خواهد گرفت.
در حالی که امروزه بسیاری از شرکتهای امنیت سایبری وجود دارند که به OEMها کمک میکنند تا وسایل نقلیهی خود را در مرحلهی طراحی و یا توسعه ایمن کنند، نیاز به ایجاد یک CSMS قوی و نظارت بر خطرات امنیتی در کل چرخهی عمر خودرو، حیاتی شده است. تخصص فنی محدود OEMها و هزینههای هنگفت اولیه در اجرای فرآیندهای جدید، ایجاد امنیت سایبری در صنعت خودروسازی را به چالش کشیده است.
اطمینان از برآورده شدن الزامات امنیتی در سراسر زنجیرهی ارزش، پیچیده است و نیاز به تلاشهای مشترک مستمر با تامینکنندگان دارد. Frost & Sullivan معتقد است که OEMها با آغاز مشارکت با شرکتهای شخص ثالث مثل فروشندگان فناوری، شرکای امنیتی، شرکتهای مشاوره و کارشناسان بین صنعت، برای امنیت سایبری، به دنبال دستیابی به انطباق با مقررات WP.29 هستند. آنچه OEMها را به شرکتهای ارائه دهندهی راهکارها، وابسته کرده، مدیریت ریسکهای زنجیرهی تامین، انجام بررسیهای ممیزی، صدور گواهینامه.
ضربالاجلهای سختگیرانه، بررسیهای گسترده در حجم خودروهای بزرگ و بودجههای حسابرسی محدود، است. البته برخی از OEMها سعی میکنند این فرآیند را کاملا درونسپاری کنند و شاخصهای امنیتی را به بیرون از سازمان نسپارند.
۷. آنچه در آینده باید انتظار داشت
ما معتقدیم که مقررات، فرصتهای جدیدی را در صنعت ایجاد میکنند. استارتآپهای جدید با تکنیکهای پیشرفتهی تشخیص نفوذ و خدمات مدیریت شده امنیت سایبری، وارد اکوسیستم خواهند شد و در نتیجه پویایی رقابت فعلی را به چالش خواهند کشید.
بهعنوان مثال شرکتهای اراده دهندهی خدمات مربوط به خودروهای هوشمند و یا اپرتورهای مختلف میتواند در این دسته قرار گیرند. شرکتهای امنیتی، خودروی موجود که در زمینه حفاظت از امنیت داخلی تخصص دارند، راهحلهای خود را برای گنجاندن CSMS خودرو ارتقاء میدهند تا بتوانند در بازار بمانند. در واقع همین توسعه، آنها را در مسیر بهبود تکنولوژی قرار میدهد.
شرکتهای ارائهدهندهی خدمات IT، سرویسهای خود را به بازار امنیت سایبری ناوگان خودرویی گسترش خواهند داد و حیطهی خدمات آنها گستردهتر خواهد شد. تامینکنندگان خودرو، فرآیندهای سازمانی را بر اساس قوانین پایهریزی میکنند. اینجاست که اصل بودن و تقلبی نبودن قطعات به یک اصل کلی تبدیل میشود و این تامینکنندگان هستند که ایمنی این بخش را برعهده میگیرند.
در نهایت اینکه
مسیر انتخابی، برای OEMها راهی هیجانانگیز و پرچالش خواهد بود؛ زیرا آنها باید بتوانند شکافهای امنیتی را شناسایی کنند، تصمیمگیری کنند که با چه کسی شریک شوند، ابزار و فنآوریهای مورد استفاده را انتخاب کنند و همچنین نحوهی راهاندازی فرآیندهای جدید مطابق با قوانین را تعیین کنند. دستیابی به مدیریت امنیت سایبری در سراسر چرخهی عمر و زنجیرهی ارزش خودرو، هدف نهایی OEMها است.
اگرچه همکاریهای پیچیده، اما موفق با شرکای اکوسیستم، این هدف را به واقعیت تبدیل میکند. صنعت خودروسازی قرار است امنیت را بهعنوان یک ستون حیاتی در سفر تحول دیجیتال خود بپذیرد و آن را از یک عنصر مهم در معماری خودرو، به ایفای نقش محوری در اکوسیستم خودروهای متصل انتقال دهد.