My Volkswagen’in muhteşem ama sonuçta zararsız hacklenmesi uygulama Hintli bir siber araştırmacının geçtiğimiz yıl yaptığı bir araştırma, milyonlarca bağlantılı aracın siber güvenliğine ilişkin ciddi soruları gündeme getirmeye devam ederek, daha sıkı tasarım gereği güvenlik yaklaşımlarına yönelik talepleri tetikliyor.
My Volkswagen uygulamasındaki ciddi kusurlar, araştırmacı Vishal Bhaskar’ın büyük miktarda kişisel ve araç verilerine erişmesini çok kolaylaştırdı.
Device Authority’nin Baş Teknoloji Sorumlusu.
Dört rakamın doğru kombinasyonunu bulmayı başardı. otomasyon. Daha sonra üçüncü taraf ödeme işlemcilerinin dahili kullanıcı adlarını, şifrelerini, belirteçlerini ve kimlik bilgilerini ortaya çıkardı.
Başkasından uç noktamüşterilerin kişisel bilgilerine erişmek için araç şasi numarasını (VIN) kullandı ve tüm araçların servis geçmişlerini, müşteri şikayetlerini ve memnuniyet anketlerini ortaya çıkardı.
Güvenlik açıklarının Mayıs 2025’te giderildiği bildirildi, ancak şu soru hala devam ediyor: Bağlantılı araç güvenliğinde daha ne kadar boşluk olması muhtemel?
Ve eğer dünyanın en büyük otomotiv OEM’lerinden biri (orijinal ekipman üreticileri) göz kamaştıran bir açığı tespit etmekte başarısız olursa, diğerlerinin durumu nasıl olacak?
Bağlantılı araç güvenliğine yönelik artan tehditler
Bilgisayar korsanlığının potansiyeli on yıldan fazla bir süre önce The Car Hacker’s Handbook’un yayınlanmasıyla ortaya çıktı. Ancak o zamandan beri üreticiler araçlarına giderek daha dikkat çekici otomatik veri bağlantılı hizmetler kurdular ve şimdi de yapay zeka.
Statista, 2030 yılına kadar dünyadaki tüm yeni arabaların yüzde 96’sının yerleşik bağlantıya sahip olmasını bekliyor. Örneğin geçen yıl Hyundai ile ortaklığa girdi. SAMSUNG Bu, diğer şeylerin yanı sıra sürücülerin Galaxy’yi kullanmasını sağlayacak akıllı telefonlar akü menzili ve konumu dahil olmak üzere araçlarıyla ilgili bilgilere erişmek için.
Daha fazla entegrasyona yönelik çaba, Samsung’un IoT platformu ile yeni Hyundai bilgi-eğlence sistemi arasında bağlantı kurulmasına yol açabilir.
Ancak araçlarda dijital işlevsellik geliştikçe yüksek profilli güvenlik Olaylar daha sık hale geliyor ve bu durum, suçlular onları bulmadan önce güvenlik açıklarının acilen giderilmesi gerektiğinin altını çiziyor. Örneğin bu yılın Ocak ayında, Subaru’nun web portalındaki bir hatanın, bir bilgisayar korsanının bir aracı çalıştırıp konumunu takip etmesine olanak tanıdığı bildirildi.
Araçlardan ve araçlara çok fazla veri akışı olduğunda, zayıf güvenlik uygulamaları, bilgisayar korsanlarının herhangi bir müdahalesine gerek kalmadan kolayca veri ihlallerine neden olabilir ve bu da düzenleyici cezalarla sonuçlanabilir.
Ancak suçlular, yüz binlerce araca bağlantı sağlayan sistemleri kilitlemeden önce herhangi bir uç noktayı veya güvenlik açığını kullanarak arka uç sistemleri fidye yazılımıyla hedef alacak.
Daha fazla güvenliğe giden öncelikli yol
OEM’lerin bu tehditlere karşı inisiyatif alması gerekiyor. Artık, 1. Kademe tedarikçileriyle birlikte fabrikadan kırıcıya kadar tasarım gereği güvenli bir yaklaşım benimsemeleri ve tehditler geliştikçe araçların güvende kalmasını sağlamak için cihaz güvenliği alanında yenilikçilerle işbirliği yapmaları gerekiyor.
Tasarım gereği güvenli duruşun bir kısmı, OEM’e ait bir anahtar yönetim sisteminin (KMS) çalıştırılmasıdır. Elektronik kontrol birimleri (ECU’lar), telematik kontrol birimleri (TCU’lar) ve tedarikçi cihazları genelinde kriptografik anahtarların ve politikaların merkezi kontrolü, parçalanmayı azaltır, iptal hızını artırır ve düzenleyicilerin beklediği kanıt takibini üretir.
OEM tarafından çalıştırılan bir KMS, her araç radyosunun ve hizmetinin bağlı olduğu sertifikaları yöneterek politikayı uygulamaya dönüştürür.
Bilgi-eğlence sistemlerinden navigasyon ve hırsızlık önleme sistemlerine kadar araçlar, kablosuz bağlantıya güveniyor; OEM’ler, makine kimliklerini büyük ölçekte yönetmek için bir tür KMS ve/veya otomasyon kullanmadığı sürece, her verici cihaz potansiyel bir zayıflık noktasıdır.
Güvenlik, başarılı entegrasyon yoluyla bağlantılı aracın tüm ekosistemini kapsamalıdır. siber güvenlik çözümler. Araç güvenliğinin tüm yönlerini kapsayan 70’e kadar farklı tedarikçinin mevcut olduğu durumlarda, uçtan uca güvenlik için konsolidasyon önemlidir.
Bu ekosistemin korunması buluta kadar uzanmalı ve araç güvenlik operasyon merkezini (VSOC) ve araçtan buluta (V2C) iletişimleri içermelidir.
Otomotiv siber güvenliğine yönelik gelişen küresel standartlar
OEM’lerin öncelikli olarak yeni araç türlerine ilişkin AB’nin UNECE WP.29 düzenlemelerine uyum sağlamak için çok çalışması gerekiyor. Bu, bir aracın tasarım ve geliştirmeden post prodüksiyon ve güncellemelerin yayınlanmasına kadar yaşam döngüsü boyunca siber güvenliğin temelini attı.
OEM’lerin ayrıca araçların elektrik ve elektronik sistemleri için siber güvenlik korumasına odaklanan ve tehdit analizi, risk yönetimi ve dayanıklılığı artırmaya yönelik önlemler gerektiren en iyi uygulama standardı ISO21434’ü benimsemeleri gerekiyor.
Avrupa dışındaki pazarlarda OEM’ler aynı zamanda Hindistan’da AIS 189 ve Çin’in GB/T standartlarına uygunluğu da sağlamalıdır. AIS 189, AB’nin WP.29’unun bir çeşidi olup, Kademe 1 ve Kademe 2 tedarikçilerin yanı sıra OEM’leri de kapsar.
Hintli düzenleyicilerin ISO21434’e uyum sağlanması için baskı yapmasıyla birlikte, gidişatın yönü açık: Siber güvenlik, siber güvenlik yönetim sistemleri (CSMS’ler) ve yazılım güncelleme yönetim sistemleri (SUMS’ler) aracılığıyla kanıtlanabilir olmalıdır.
Çin GB/T düzenlemeleri katı veriler içeriyor mahremiyet ve tehdit modelleme ve pazar sonrası izlemeye vurgu yapan ikamet kuralları.
PKI (genel anahtar altyapısı) otomasyonu, cihazların ağda kimliğini doğrulayan dijital sertifikaların yaşam döngüsü yönetimi ve sıfır güven mimarilerinin tümü Çin yaklaşımının önemli özellikleridir.
Otomasyon aracılığıyla araç makine kimliklerinin güvenliğinin sağlanması
Makineyle ilgili bu önemli soruya gelişmiş, otomatikleştirilmiş bir yaklaşım kimlik Araçlar, otomatik ödeme sistemleri, Wi-Fi bağlantı noktaları, yol kenarı altyapısı ve diğer araçları içeren birçok harici ağla iletişim kurduğundan artık güvenlik gerekli.
Her yerleşik cihazın PKI sertifikasını yönetmek, bağlı sistemlerin cihazın güvenli olduğunu bilmesi ve ilettiği verilerin şifrelendiğinden emin olması açısından son derece önemlidir.
OEM’ler, güvenlik yazılımının güncellendiğinden ve cihazların sürekli olarak doğrulandığından emin olmak için yeni nesil IoT teknolojisi platformlarını kullanarak, araç sahipliği değişiklikleri boyunca bu kimlikleri yönetmelidir.
Bir aracın 15-25 yıllık yaşam döngüsü boyunca görevin ölçeği, sertifika sağlama, yenileme ve iptal işlemlerini üstlenecek gelişmiş otomasyon gerektirir. Bu özellikle telematik kontrol ünitelerinin korunmasında etkilidir ve güvenilir bir güven dayanağı sağlar.
Gelişmiş PKI yönetiminin entegrasyonu gerçek faydalar sağlayacaktır
Milyonlarca bağlantılı aracın güvenliğini sağlamak ve PKI güvenliğine yönelik mevcut yaklaşımlarının değerini en üst düzeye çıkarmak istiyorlarsa OEM’lerin bu daha gelişmiş, entegre yaklaşımlara ihtiyacı olacak. Genel giderleri azaltırken korumayı artırarak güvenlik yönetimini basitleştirebilmelidirler.
Tasarım gereği güvenliği içeren bir platform yaklaşımı, yeni araçlar veya araçlar için daha hızlı pazara çıkış süresi elde etme gibi belirgin bir avantaja sahiptir. uygulamalar. OEM’lerin, sertifika anahtarı rotasyonunun sıklığı gibi güvenliğin hayati yönlerine ilişkin politika belirlemesine olanak tanır. Daha sonra verilerine güvenerek hizmetleri daha büyük bir güvenle geliştirebilirler.
OEM’ler hızla gelişen bu alandaki fırsatlarını en üst düzeye çıkarmak istiyorlarsa, otomotiv güvenliğine yönelik IoT tehditlerini ele almaları gerekiyor. Yapay zekanın Nesnelerin İnterneti ile entegrasyonu otomotiv dünyasını yeniden şekillendiriyor ancak koruma ve uyumluluktan ödün vermeden performansı mümkün kılan, mümkün olan en etkili güvenliği talep ediyor.
En iyi şifreleme yazılımını sunduk.
Bu makale, günümüz teknoloji endüstrisindeki en iyi ve en parlak beyinleri öne çıkardığımız TechRadarPro’nun Expert Insights kanalının bir parçası olarak üretildi. Burada ifade edilen görüşler yazara aittir ve mutlaka TechRadarPro veya Future plc’ye ait değildir. Katkıda bulunmak istiyorsanız buradan daha fazla bilgi edinin: https://www.techradar.com/news/submit-your-story-to-techradar-pro