Pinoprotektahan Ang Kotseng De-kuryente At Tinukoy ng Software

“Si Putin ay ad***head. Luwalhati sa Ukraine."

Iyan ang nabasa ng mga na-hack na electric vehicle charger bukod sa iba pang mga bagay sa mga disabled charging station malapit sa Moscow kamakailan. At hangga't nagdudulot ito ng ngiti sa mukha ng marami sa buong mundo, itinatampok nito ang isang puntong ginawa ng ilang mananaliksik at developer na nagtipon noong nakaraang linggo sa escar 2022 (isang kumperensya na nakatuon sa malalim, teknikal na mga pag-unlad sa automotive cybersecurity bawat taon): dumarami ang mga automotive hack. Sa katunayan, per Ulat ng Upstream Automotive, ang dalas ng cyberattacks ay tumaas ng napakalaking 225% mula 2018 hanggang 2021 na may 85% na isinagawa nang malayuan at 54.1% ng mga hack noong 2021 ay mga "Black Hat" (aka malisyosong) umaatake.

Sa gitna ng pakikinig sa iba't ibang, totoong-mundo na mga ulat sa kumperensyang ito, ilang bagay ang naging maliwanag: mayroong parehong mabuting balita at masamang balita batay sa palaging kinakailangang pagtuon sa kritikal na lugar na ito.

Ang Masamang Balita

Sa pinakasimpleng termino nito, ang masamang balita ay ang mga pagsulong sa teknolohiya ay ginagawa lamang ang posibilidad ng mga kaganapan sa Unang Araw na mas malamang. "Ang mga de-koryenteng sasakyan ay lumilikha ng mas maraming teknolohiya, na nangangahulugang mayroong higit pang mga banta at pagbabanta," sabi ni Jay Johnson, isang Principal Research mula sa Sandia National Laboratories. “Mayroon nang 46,500 charger na available noong 2021, at pagsapit ng 2030, iminumungkahi ng market demand na magkakaroon ng humigit-kumulang 600,000.” Ipinagpatuloy ni Johnson na ilarawan ang apat na pangunahing interface ng interes at isang paunang subset ng mga natukoy na kahinaan kasama ng mga rekomendasyon, ngunit malinaw ang mensahe: kailangang mayroong patuloy na "tawag sa pakikipag-ugnayan." Iyon, iminumungkahi niya, ang tanging paraan upang maiwasan ang mga bagay tulad ng pag-atake ng Denial of Service (DoS) sa Moscow. "Patuloy na tinutukoy ng mga mananaliksik ang mga bagong kahinaan," sabi ni Johnson, "at talagang kailangan namin ng komprehensibong diskarte sa pagbabahagi ng impormasyon tungkol sa mga anomalya, kahinaan at mga diskarte sa pagtugon upang maiwasan ang magkakaugnay, malawakang pag-atake sa imprastraktura."

Ang mga de-koryenteng sasakyan at ang kanilang mga nauugnay na istasyon ng pagsingil ay hindi lamang ang mga bagong teknolohiya at banta. Ang "sasakyang tinukoy ng software" ay isang semi-bagong platform ng arkitektura (*maaaring may trabaho 15+ taon na ang nakalipas ng General MotorsGM
at OnStar) na ang ilang mga tagagawa ay patungo upang labanan ang bilyun-bilyong dolyar ang nasasayang sa patuloy na muling pagpapaunlad ng bawat sasakyan. Ang pangunahing istraktura ay nagsasangkot ng pagho-host ng karamihan sa mga utak ng sasakyan sa labas ng barko, na nagbibigay-daan para sa muling paggamit at kakayahang umangkop sa loob ng software ngunit nagpapakita rin ng mga bagong banta. Ayon sa parehong ulat sa Upstream, 40% ng mga pag-atake sa nakalipas na ilang taon ay nag-target ng mga back-end na server. “Huwag nating lokohin ang ating sarili,” babala ni Juan Webb, isang Managing Director mula sa Kugler Maag Cie, “maraming lugar sa buong chain ng automotive kung saan maaaring mangyari ang mga pag-atake mula sa pagmamanupaktura hanggang sa mga dealership hanggang sa mga offboard na server. Saanman umiiral ang pinakamahina na link na iyon ang pinakamurang mapasok na may pinakamalaking implikasyon sa pananalapi, doon ay aatake ang mga hacker."

Doon, bahagi ng tinalakay sa escar ay ang bad-news-good-news (depende sa iyong pananaw) ng regulasyon ng UNECE magkakabisa ngayong linggo para sa lahat ng bagong uri ng sasakyan: dapat magpakita ang mga manufacturer ng matatag na Cybersecurity Management System (CSMS) at Software Update Management System (SUMS) para sa mga sasakyang ma-certify para sa pagbebenta sa Europe, Japan at kalaunan sa Korea. "Ang paghahanda para sa mga sertipikasyong ito ay hindi maliit na pagsisikap," sabi ni Thomas Liedtke, isang dalubhasa sa cybersecurity mula rin sa Kugler Maag Cie.

Ang Mabuting Balita

Una at pangunahin, ang pinakamagandang balita ay narinig ng mga kumpanya ang sigaw ng rally at nagsimula nang magtanim ng kinakailangang hirap upang labanan ang mga nabanggit na Black Hat na kalaban. “Noong 2020-2022, nakita natin ang pagdami ng mga korporasyong gustong magsagawa ng Threat Analysis and Risk Assessment o TARAR
A," sabi ni Liedtke. "Bilang bahagi ng mga pag-aaral na iyon, ang rekomendasyon ay mag-focus sa mga uri ng pag-atake na kinokontrol nang malayuan dahil humahantong ito sa mas mataas na mga halaga ng panganib."

At ang lahat ng pagsusuri at higpit na ito sa simula ay tila may epekto. Alinsunod sa isang ulat na ibinigay ni Samantha (“Sam”) Isabelle Beaumont ng IOActive, 12% lang ng mga vulnerabilities na natagpuan sa kanilang 2022 penetration testing ang itinuring na “Critical Impact” kumpara sa 25% noong 2016, at 1% lang ang “Critical Likelihood” versus 7% noong 2016. "Nakikita namin ang kasalukuyang mga diskarte sa remediation sa panganib na nagsisimula nang magbunga," sabi ni Beaumont. "Ang industriya ay nagiging mas mahusay sa pagbuo ng mas mahusay."

Ibig sabihin tapos na ang industriya? Tiyak na hindi. "Ang lahat ng ito ay isang tuluy-tuloy na proseso ng pagpapatigas ng mga disenyo laban sa umuusbong na cyberattacks," iminumungkahi ni Johnson.

Samantala, ipagdiriwang ko ang huling piraso ng magandang balita na aking nakuha: ang mga hacker ng Russia ay abala sa pag-hack ng mga asset ng Russia kaysa sa aking feed sa social media.