Поскольку пандемия вируса COVID-19 продолжает уносить жизни людей и наносить ущерб экономике во всем мире, нет никаких сомнений в том, что она оказала серьезное воздействие и на авиационную промышленность. Северин Дроголь (Séverin Drogoul), эксперт с более чем 35-летним опытом работы в отрасли, рассматривает стоящие перед отраслью проблемы и объясняет, как авиационный сектор может использовать возможности для устойчивого восстановления.
Ведущая роль кибербезопасности
По мере того, как мир становится все более взаимосвязанным, наши машины также включаются в глобальную сеть. Но большая взаимосвязанность означает большее количество передаваемых данных, которые могут попасть не в те руки. Кибербезопасность в автомобилестроении – это отрасль, которая развивается с первой космической скоростью, но битва еще не выиграна.
Кибербезопасность - это большой бизнес, особенно когда речь идет о транспортных средствах.
Благодаря Интернет-технологиям наши автомобили не только могут совершать звонки, но и сообщать, на правильной ли полосе мы движемся, информировать нас о загруженности дорог в реальном времени или оповещать, где находится ближайшая заправка. Перемещение нас из пункта А в пункт Б уже практически вторично. Однако вся эта функциональность также увеличивает и риски, которые варьируются от “простой” кражи вашей личной информации до полного контроля над вашей машиной, что может в прямом смысле убрать вас с дороги.
В различных экспериментах по проверке надежности систем кибербезопасности транспортных средств "белые хакеры" - т.е. специалисты по компьютерной безопасности, которые сознательно взламывают системы для проверки и оценки их безопасности - показали, что дистанционно управлять автомобилями вполне возможно. Например, еще в 2015 году такие хакеры продемонстрировали, что могут взять под контроль системы торможения и ускорения джипа, его приборную панель и многое другое. Одна мысль о подобном внушает ужас.
В другом эксперименте на автомобиле Тесла специалистам по компьютерной безопасности удалось обмануть программу автопилота и заставить автомобиль свернуть на полосу встречного движения. "Другие инциденты, например, те, которые не связаны с белыми хакерами, также необходимо будет рассматривать с должной степенью осторожности и вниманием", - говорит д-р Гидо Шарфенбергер-Фабиан (Dr Gido Scharfenberger-Fabian), руководитель проекта в экспертной рабочей группе ИСО РГ 11, которая занимается вопросами кибербезопасности электрических и электронных компонентов дорожных транспортных средств[1]
Поэтому кибербезопасность - это большой бизнес, особенно когда речь идет о транспортных средствах. По различным оценкам, стоимость мирового рынка автомобильной кибербезопасности вырастет с 2,4 млрд. долларов США в 2019 году до примерно 6 млрд. долларов США к 2025 году. Но, несмотря процветание этого сектора, война со взломщиками только начинается.
- РГ 11 является частью технического комитета ИСО/ТК 22 Дорожные транспортные средства, подкомитета ПК 32 Электрические и электронные компоненты и общие системные аспекты.
Длинная история данных
Данные собирались с наших автомобилей еще с начала 1990-х годов, говорит Джек Покрзива (Jack Pokrzywa), директор по глобальным стандартам наземных транспортных средств SAE International, глобальной ассоциации "мобильных" инженерных профессий и ключевого партнера ИСО. Такие устройства, как разнообразные регистраторы или "черный ящик" автомобиля, предоставляют нам информацию о работе систем нашей машины, например, до и после аварии.
Теперь, конечно, технологии продвинулись в разы дальше. Их возможности включают сбор внешней информации, такой как местоположение, погода и дорожные условия, а датчики внутри транспортного средства могут собирать данные о водителях и пассажирах для предоставления значимой информации в случае аварии. "Давайте не забывать о сборе биометрической информации, для чего также могут отслеживаться, например, движения глаз, чтобы определить, насколько водитель внимателен в данный момент времени и не заснул ли он за рулем", - добавляет он. "В настоящее время существует очень много приложений, которые подключаются к операционной системе автомобиля, позволяя, например, записывать информацию о ваших звонках, сделанных через аудиосистему автомобиля. У подобных функций есть преимущества, связанные с безопасностью водителя и пассажиров, но также их использование вызывает вопросы касательно конфиденциальности передаваемых данных".
В некоторых юрисдикциях, таких как Европа, идентификационный номер транспортного средства (VIN) приравнивается к персональной идентифицирующей информации (PII), предупреждает д-р Маркус Тшерсих (Dr Markus Tschersich), еще один руководитель проекта в рабочей группе экспертов ИСО. "Таким образом, все данные, генерируемые системами транспортных средств и связанные с VIN, могут интерпретироваться как PII. Это информация, которая как сама по себе, так и в сочетании с другими данными, может быть использована для идентификации человека, определения его местонахождения или установления с ним контакта. Например, данные, собранные с помощью систем торможения, рулевого управления и других компонентов автомобиля, могут быть использованы для получения информации о навыках и поведении водителя". И до тех пор, пока существует связь между автомобилем и внешними источниками, существует и возможность их взлома.
В современном автомобилестроении каждый этап цепочки поставок управляется, контролируется и анализируется с помощью высокотехнологичного программного обеспечения.
Угнаться за хакерами
Автомобили сегодня уже нафаршированы сложным программным обеспечением, и ожидается, что в недалеком будущем датчиков и регистраторов в них будет еще больше. По данным консалтинговой компании McKinsey & Company, сегодня в операционных системах наших автомобилей около ста миллионов строк кода, но ожидается, что к 2030 году их будет в три раза больше. В отличие от, скажем, пассажирского самолета, в операционной системе которого около 15 миллионов строк кода и вашей стандартной операционной системы на ПК, у которой всего лишь до 40 миллионов строк кода. Чем сложнее устроена машина, тем больше возможностей для кибератак по всей цепочке создания её ценности.
По мере того, как технологии все глубже внедряются в автомобили в целом, перед автомобильной промышленностью встает задача всего нашего поколения. То есть, защитить глобальную автомобильную инфраструктуру от тех киберпреступников, которые хотят украсть данные и взять под контроль автоматизированные системы для использования их во вредоносных целях. "Меры кибербезопасности должны быть скорректированы и улучшены не только от поколения к поколению, но и в уже использующихся системах посредством установки обновлений", - говорит д-р Шарфенбергер-Фабиан. "Этот вызов бесконечен".
Покрзива обращает особое внимание на то, что любое устройство, имеющее программное обеспечение, может быть взломано. Борьба с такими проблемами требует высокого уровня обмена знаниями в отрасли, и особенно, между производителями автомобилей и их сетями поставок. Одной из организаций, которая занимается этим в США, по его словам, является Центр обмена и анализа автомобильной информации (Auto-ISAC). Члены отрасли обмениваются данными и анализируют информацию о любых возможных рисках для транспортных средств, тем самым внося свой вклад в укрепление технологий кибербезопасности. Однако необходим и глобальный целостный подход.
Всемирный призыв
Согласование процессов и методов по всей длине цепочки поставок в качестве основы для рассмотрения кибербезопасности надлежащим образом при проектировании автомобильных систем является ключевым моментом, говорит д-р Шарфенбергер-Фабиан. "Существует множество установленных международных стандартов для ИТ-безопасности (например, серия ISO/IEC 27xxx) или отраслевых стандартов безопасности (серия IEC 62443 для промышленных систем управления), - говорит он, - но в них не учитываются специфические потребности автомобильной промышленности".
В 2015 году Общество автомобильных инженеров (SAE International) создало Инженерный комитет по системам кибербезопасности транспортных средств для устранения угроз и уязвимостей, связанных с защитой персональных данных, на американском автомобильном рынке. Годом позже комитет опубликовал SAE J3061, Руководство по кибербезопасности для киберофизических автомобильных систем, в котором определены полные рамки процесса жизненного цикла, которые могут быть адаптированы и использованы в рамках процессов развития каждой организации для включения кибербезопасности в системы киберофизических транспортных средств, начиная с этапа разработки концепции, через все производство, эксплуатацию, обслуживание и вывод из эксплуатации.
Новый Международный стандарт будет основан на руководстве SAE и создаст комплексный инструмент кибербезопасности, который будет отвечать всем потребностям и вызовам отрасли на глобальном уровне. В настоящее время разрабатывается стандарт ISO/SAE 21434 Дорожные транспортные средства - техника кибербезопасности, который должен быть опубликован в 2021 году и направлен на решение проблемы кибербезопасности при проектировании электрических и электронных (Э/Э) систем для дорожных транспортных средств. Таким образом, использование данного стандарта призвано помочь производителям учитывать изменяющиеся технологии и новые методы возможных кибератак.
В проекте участвуют доктор Шарфенбергер-Фабиан и доктор Тшерсих, которые объясняют, что стандарт предназначен для замены методов, рекомендованных SAE J3061. Он позволит организациям определять свои политику и процессы кибербезопасности, управлять рисками кибербезопасности и формировать ее культуру. Он также может быть использован для внедрения системы управления кибербезопасностью, включая надлежащее управление рисками для кибербезопасности дорожного транспорта.
На автомобильных заводах используется программное обеспечение для системы мониторинга в реальном времени.
Пока существует связь между автомобилем и внешними источниками, существует и возможность их взлома.
Вопрос охраны
Для отрасли, привыкшей разбивать сложные задачи и упорядочивать действия, кибербезопасность остается во всех смыслах крайне нестандартной аномалией. Так может ли какой-либо стандарт обещать настоящую кибербезопасность? "Увы, нет такой вещи, как "полностью безопасная технология", которую можно было бы стандартизировать, - говорит доктор Тшерсих, - так что соблюдение только стандарта ISO/SAE 21434 не сделает машины автоматически полностью защищенными от внешних угроз. Но описанные в нем процессы, безусловно, могут заложить основу для хорошей технологии кибербезопасности и помочь укрепить ее".
Эти процессы, по его словам, включают оценку рисков и подходов в области кибербезопасности для выявления и согласования решений в области кибербезопасности для систем в целом, а также для передачи этих данных по всей цепочке поставок. Это включает в себя разработку концепции, разработку самого продукта, производство, эксплуатацию, техническое обслуживание и вывод из эксплуатации электрических и электронных систем дорожных транспортных средств, включая их компоненты и интерфейсы.
Стандарт устанавливает рамки кибербезопасности для автомобильных компаний и содержит единую терминологию для общения и управления рисками, связанными с кибербезопасностью. "Несмотря на то, что ISO/SAE 21434 не касается непосредственно технологий, как таковых, и не содействует их внедрению, предоставленные рамки расширят сотрудничество в области кибербезопасности в отрасли и, таким образом, приведут к появлению технологий и решений, которые будут лучше отвечать проблемам кибербезопасности и в настоящем, и в будущем". Это поможет рассматривать проблемы кибербезопасности на каждом этапе процесса разработки и в полевых условиях, создавая контрольный список для инженеров, который включает в себя сканирование на наличие ошибок, увеличение числа собственных средств кибер-защиты и проведение анализа рисков потенциальных уязвимостей по каждому компоненту.
По его словам, ISO/SAE 21434 уже востребован для поддержки уже существующих правил. Например, он рассматривается в качестве справочного документа для внедрения системы управления кибербезопасностью (СУКБ), которая требуется в соответствии с недавно введенными правилами Организации Объединенных Наций (ООН), касающимися кибербезопасности транспортных средств. "Это обусловлено тесным сотрудничеством между совместной рабочей группой ИСО и SAE, и соответствующей целевой группой ООН на основе взаимного содействия", - поясняет он.
В целях дальнейшего улучшения взаимосвязи между регулированием и стандартизацией в Организации Объединенных Наций недавно началась работа над общедоступной спецификацией ISO/PAS 5112, в которой содержатся руководящие указания по организационным аудитам в отношении инженерных аспектов кибербезопасности. Она будет основана на стандарте ISO/SAE 21434 и предназначена для проведения аудита СУКБ, как это определено в постановлении ООН. Конечной целью является широкое внедрение данного стандарта в повседневную инженерную практику отрасли наряду с повышением осведомленности, достигаемой за счет включения вышеупомянутого стандарта в учебную программу подготовки инженеров.
"Если разработка продукта основывается на четких принципах, включенных в ISO/SAE 21434, безопасность автомобиля может быть усилена еще больше", - добавляет доктор Шарфенбергер-Фабиан. Будущий стандарт призван повысить кибербезопасность автомобилей и снизить риски по всей длине цепочки поставок - от разработки и проектирования автомобилей до их вывода из эксплуатации. Многие члены отрасли уже строят планы по обеспечению его интеграции.
И битва еще не окончена!
Несмотря на то, что угроза кибербезопасности в сфере автомобильных систем все еще является относительно новой, она будет продолжать вызывать обеспокоенность. Поэтому автопроизводители должны теперь рассматривать кибербезопасность как неотъемлемую часть своих основных функций и усилий в области развития отрасли. "Я не думаю, что мы когда-либо сможем полностью предотвратить попытки взлома систем, - говорит Джек Покрзива, - но, повысив барьеры безопасности, мы, безусловно, сможем снизить риск успешности этих попыток." Это также позволит держать затраты на разработку и обслуживание под контролем — беспроигрышный вариант для всех игроков отрасли.
В дополнение к ISO/SAE 21434 автомобильная промышленность продолжит разработку общих стандартов кибербезопасности для обеспечения управляемых комплексных решений по безопасности, включая предстоящий стандарт аудита инженерных систем кибербезопасности. Работа только начинается, но с учетом того, что существует целая отрасль, специализирующаяся на обеспечении безопасности автомобильных систем на каждом этапе процесса, шестеренки индустрии будут продолжать крутиться, делая автомобили, на которых мы ездим, все более безопасными и надежными.
В пути
В этом выпуске раскрываются текущие тенденции в транспортной отрасли, а также в общих чертах описываются предстоящие выигрышные стратегии, которые будут двигать всю транспортную сферу вперед в 2021 году. Вы можете ознакомиться с последними разработками здесь.