Ngành công nghiệp ô tô đang phải đối mặt với sự thay đổi mô hình triệt để: với tốc độ số hóa nhanh chóng, ngày càng nhiều hệ thống điều khiển điện tử, các thành phần thông minh, hệ thống nhúng và giao diện API đang tìm đường xâm nhập vào các phương tiện giao thông - khiến chúng trở nên mạnh mẽ hơn, an toàn hơn và thông minh hơn bao giờ hết . Tuy nhiên, sự phụ thuộc ngày càng nhiều vào điện tử cũng tiềm ẩn những nguy hiểm. Vì vậy, đã đến lúc cần xem xét kỹ hơn các tiêu chuẩn mới - cũng từ góc độ của đánh giá viên
Tại sao nên sử dụng an ninh mạng cho ô tô?
An ninh mạng ô tô là thách thức của thời điểm hiện tại đối với các nhà sản xuất ô tô. Mọi giao diện và thành phần giao tiếp bổ sung đều là một điểm tiềm ẩn của cuộc tấn công đối với tội phạm mạng. Khả năng gây thiệt hại của thao tác đang tăng lên nhanh chóng, ví dụ như đối với các phương tiện được điều khiển tự động hoặc các chức năng lái và phanh được điều khiển bằng điện tử.
Vì lý do này, Liên Hợp Quốc xác định khuôn khổ cơ bản cho an ninh mạng ô tô với hai quy định mới. Đó là UNECE Cyber Security (UN R 155), đề cập trực tiếp đến tiêu chuẩn ISO/SAE 21434 mới và Cập nhật phần mềm UNECE (UN R 156). Vào tháng 7 năm 2022, các quy định dành cho các loại phương tiện mới (ở Liên minh Châu Âu) có hiệu lực. Do đó, ngành công nghiệp ô tô đang đối mặt với những thách thức lớn - đặc biệt là khi nhiều nhà sản xuất thiết bị gốc (OEM) và nhà cung cấp chỉ trích các quy định mới là rất chung chung. Ở đây, có một mong muốn rộng rãi về các khuyến nghị cụ thể cho hành động như một khung bảo vệ ràng buộc.
An ninh mạng có nghĩa là gì trong ngành công nghiệp ô tô?
Trong khi tiêu chuẩn quốc tế ISO 27001 là phương pháp tiếp cận xuyên ngành đối với bảo mật thông tin, thì thuật ngữ an ninh mạng trên ô tô mô tả tính bảo mật của các hệ thống kỹ thuật số trong ngành ô tô. Các phương tiện cơ giới của chúng ta ngày càng phụ thuộc vào các hệ thống điện tử được nối mạng và các ứng dụng phần mềm. Do đó, việc bảo vệ và bảo mật các thành phần này ngày càng trở nên quan trọng - trong toàn bộ ngành. Điều này bắt đầu với nhà sản xuất phương tiện, tiếp tục với các nhà cung cấp và nhà cung cấp dịch vụ kỹ thuật, và mở rộng sang các nhà cung cấp dịch vụ phần mềm và cơ sở hạ tầng ICT. Hai quy định mới của Liên hợp quốc, nhắm vào các nhà sản xuất và nhà cung cấp của họ, được thiết kế để đảm bảo tính bảo mật của CNTT ô tô.
ISO 27001 - bản gốc bảo mật thông tin
ISO/IEC 27001 là tiêu chuẩn quốc tế hàng đầu cho việc giới thiệu một hệ thống quản lý toàn diện về bảo mật thông tin. Tiêu chuẩn ISO vừa được sửa đổi và công bố lại vào ngày 25 tháng 10 năm 2022.
Ví dụ thực tế: Ảnh hưởng của một cuộc tấn công
Năm 2015, hai chuyên gia CNTT người Mỹ đã chứng minh tác động tiềm tàng của một vụ hack đối với một chiếc xe Jeep Cherokee. Họ đã xâm phạm hệ thống Uconnect, hệ thống kết hợp nhiều chức năng điện tử của xe từ thông tin giải trí đến điều hướng. Nó cũng phục vụ như một giao diện cho các thiết bị di động và mở một điểm phát sóng WLAN theo yêu cầu - nói cách khác, nó có một địa chỉ IP. Để thể hiện kỹ năng của mình, hai hacker đã mời một nhà báo, người chỉ một thời gian ngắn sau đó đã phải bất lực nhìn anh ta mất kiểm soát chiếc xe.
Từ khoảng cách hơn 1000 km, nhóm tin tặc lần đầu tiên bật điều hòa và radio qua máy tính xách tay của chúng. Sau đó, họ phun nước cần gạt nước lên kính chắn gió và cuối cùng chỉ cần tắt động cơ - ở giữa đường cao tốc liên bang (tương đương đường cao tốc châu Âu). Sau bằng chứng đầu tiên về các lỗ hổng nghiêm trọng trong cơ sở hạ tầng CNTT của các phương tiện, họ thậm chí còn đi xa hơn một chút. Họ đã chứng minh trong một bãi đậu xe trống rằng họ thậm chí có thể ảnh hưởng đến việc đánh lái hoặc đè phanh. Hậu quả của việc này là thu hồi 1,4 triệu xe và phạt 105 triệu USD.
Bí quyết có giá trị: Hướng dẫn đánh giá DQS
Nguyên tắc đánh giá ISO 27001 của chúng tôi- Phụ lục được phát triển bởi các chuyên gia hàng đầu. Hướng dẫn được thiết kế như một công cụ thực hành để thực hiện và hoàn toàn phù hợp để nâng cao hiểu biết về các yêu cầu quy chuẩn. Hướng dẫn này dựa trên tiêu chuẩn ISO 27001:2017.
Các quy định có hiệu lực vào đầu năm 2021. Kể từ tháng 7 năm 2022, các loại phương tiện mới bắt buộc phải tuân thủ. Các nhà sản xuất không đáp ứng các yêu cầu sau đó sẽ phải đối mặt với việc không đăng ký các loại phương tiện có liên quan. Cuối cùng, từ tháng 7 năm 2024, các quy định sẽ được áp dụng cho tất cả các loại xe mới được sản xuất.
Các quy định về cơ bản yêu cầu thực hiện các biện pháp trong bốn lĩnh vực:
Quản lý rủi ro mạng đối với phương tiện
Bảo vệ phương tiện theo phương pháp tiếp cận an ninh theo thiết kế để giảm thiểu rủi ro trong chuỗi giá trị
Phát hiện và phòng thủ trước các cuộc tấn công trên toàn bộ đội xe
Cung cấp các bản cập nhật phần mềm về bảo mật và giới thiệu cơ sở pháp lý cho các bản cập nhật qua mạng (O.T.A.) của phần mềm xe
Hệ thống quản lý an ninh mạng (CSMS) là gì?
Các tính năng chính của CSMS là:
Quản lý rủi ro: một tổ chức sử dụng các quy trình để xác định, đánh giá và giảm thiểu rủi ro từ các mối đe dọa mạng.
Quản lý rủi ro bao gồm toàn bộ vòng đời sản phẩm - từ giai đoạn phát triển đến giai đoạn vận hành ở khách hàng cuối cùng.
Giám sát các lỗ hổng mới và các cuộc tấn công đã biết để ứng phó với các bản cập nhật mới.
Cho phép đánh giá độc lập bởi một viện kiểm nghiệm được công nhận.
Điểm cộng quan trọng trong thực tế: hệ thống hóa an ninh mạng đi kèm với sự ra đời của CSMS khiến các công ty bắt buộc phải giải quyết vấn đề an toàn thông tin theo hướng rủi ro.