Автомобили с выходом в интернет уязвимы перед кибератаками

Чтобы оценить риски кибербезопасности исследователи Trend Micro изучили уже осуществлённые попытки атак. За последние годы было опубликовано множество работ на эту тему, но основное внимание компания уделила проведённым удалённо атакам, в результате которых был взломан как минимум один электронный блок управления в автомобиле. В частности, компания использовала четыре хорошо изученных случая:

1. В 2015 году злоумышленники обнаружили лёгкий способ отправлять команды на автомобили Jeep американского производителя Chrysler при помощи технологии Telnet через незащищённый порт. Это привело к отзыву 1,4 миллиона машин.
2. В 2016 году стало известно о возможности вмешаться в работу компьютерной системы автомобиля Tesla Model S. Обнаружили это эксперты лаборатории Tencent Keen Security Lab, благодаря работе которых производитель исправил ошибки.
3. Спустя год, в 2017 году, ситуация повторилась уже с двумя моделями Tesla: Model S и Model X. Производитель вновь исправил ошибки, обнаруженные сотрудниками Tencent Keen Security Lab.
4. В 2018 году Tencent Keen Security Lab удалось успешно атаковать подключённые автомобили BMW. 

В докладе раскрывается масштаб изученных рисков кибербезопасности. Исследователи оценили 29 реальных сценариев атаки согласно модели угроз DREAD^[1], которая позволяет провести качественный анализ рисков. Такие атаки могут удалённо осуществляться против транспортных средств-жертв и/или из них. Вот несколько примеров: 

• DDoS-атаки на интеллектуальные транспортные системы (ИТС) могут нарушить связь с автомобилями, и риск этого очень высок;
• открытые и уязвимые подключённые автомобильные системы легко обнаружить, что повышает риск злоупотреблений;
• более 17% всех исследованных векторов атак относились к группе высокого риска: они требуют лишь ограниченного понимания технологии подключённых автомобилей и могут быть выполнены даже злоумышленником с низкой квалификацией. 

«Наше исследование показывает, что у злоумышленников есть широкие возможности для злоупотребления технологией подключённых автомобилей, — говорит Райнер Фосселер (Rainer Vosseler), менеджер по исследованию угроз компании Trend Micro. — К счастью, сейчас возможности для атак ограничены, а преступники не нашли надёжных способов их монетизировать. C недавним появлением новых регламентов ООН[2], предписывающих, чтобы все подключённые автомобили имели встроенные решения для кибербезопасности, а также с подготовкой нового стандарта ISO сегодня настало время для заинтересованных сторон в отрасли обеспечить лучшее выявление и устранение киберрисков, поскольку уже приближается будущее, в котором подключённые и автономные автомобили будут встречаться повсеместно». 

«К 2030 году количество подключённых автомобилей достигнет 700 миллионов, а количество автономных транспортных средств приблизится к 90 миллионам, — добавляет технический директор Trend Micro в РФ и СНГ Михаил Кондрашин. — Фактически уже сегодня новая автомашина оснащена технологиями для подключения к сети. Поэтому вопрос их защиты актуален прямо сейчас». 

По прогнозам, в период с 2018 по 2022 год по всему миру будет поставлено более 125 миллионов легковых автомобилей со встроенными возможностями для подключения к интернету, а также продолжит развиваться направление полностью автономных транспортных средств. Подобный прогресс приведёт к появлению сложной экосистемы, которая будет включать облачные решения, интернет вещей, 5G и другие ключевые технологии. Значительно увеличится и поверхность атаки, которая потенциально будет состоять из миллионов конечных точек и конечных пользователей. 

По мере развития отрасли появятся многочисленные возможности для монетизации и саботажа для киберпреступников, хактивистов, террористов, национальных государств, инсайдеров и даже недобросовестных операторов, предупреждает отчёт. Во всех 29 исследованных векторах атак общий риск успешности кибератак был оценен как средний. Однако по мере того, как приложения SaaS встраиваются в электрическую/электронную архитектуру транспортных средств, а киберпреступники создают новые стратегии монетизации, риски могут значительно возрасти. 

Чтобы снизить риски, описанные в исследовании, система безопасности подключённых автомобилей должна охватывать все критические области для защиты сквозной цепочки поставки данных. Компания Trend Micro предлагает такие общие рекомендации по защите подключённых автомобилей:

• оценивайте риски компрометации как весьма вероятные и используйте эффективные инструменты для оповещения, сдерживания и смягчения последствий;
• защитите сквозную цепочку передачи данных по электронной сети автомобиля, сетевой инфраструктуре, внутренним серверам и через центр управления безопасностью транспортных средств (Vehicle Security Operations Center — VSOC);
• делайте выводы из зафиксированных атак и используйте их для дальнейшего укрепления защиты и предотвращения повторных инцидентов;
• используйте технологии безопасности — брандмауэр, шифрование, управление устройствами, безопасность приложений, сканер уязвимостей, подпись кода, IDS для CAN, AV для головного устройства и другие. 

[1] Модель DREAD оценивает, насколько велик ущерб имуществу, насколько легко произвести и повторить атаку, насколько легко найти уязвимые места, которые можно будет использовать при атаке, а также то, сколько пользователей может быть затронуто.

[2] https://unece.org/press/un-regulations-cybersecurity-and-software-updates-pave-way-mass-roll-out-connected-vehicles