Co by mělo být pro automobilový průmysl prioritou v moderní kybernetické bezpečnosti?
Od července 2024 budou pro všechna vozidla vyrobená v signatářských zemích platit předpisy Evropské hospodářské komise OSN (EHK OSN) WP.29 o kybernetické bezpečnosti – předpis OSN č. 155 (R155). I v případě nesignatářských zemí, jako jsou USA, se očekává, že normy jako ISO/SAE 21434 budou mít vliv na průběžné zavádění kybernetické bezpečnosti.
V kombinaci s nárůstem počtu technologicky stále dokonalejších vozidel jsou nové předpisy příčinou neudržitelnosti starších přístupů ke kybernetické obraně. Namísto omezování svého uvažování na konkrétní produkty nebo procesy až do místa prodeje musí výrobci OEM a dodavatelé brát v úvahu provozní životnost vozidla a širší ekosystém, který jej podporuje.
Jaké priority v odvětví tedy mohou pomoci zajistit shodu s předpisy, zvýšit bezpečnost a potenciálně uvolnit nové obchodní příležitosti?
Zohlednění nových zranitelností
Paul Wooderson, hlavní inženýr a vedoucí týmu pro kybernetickou bezpečnost v inženýrské poradenské společnosti Horiba Mira, upozorňuje, že se stále častěji objevují aktualizace prostřednictvím OTA (over-the-air). Díky tomu, že softwarově definovaná vozidla budou mít vždy nejnovější obranné funkce, by se OTA mohla ukázat jako zásadní pro to, aby výrobky byly na trhu životaschopné delší dobu. “Kybernetická bezpečnost není jen prioritou, ale nutností pro zajištění dlouhodobé bezpečnosti,” říká.
Počet vektorů útoku však rychle roste. Připojená, autonomní a elektrická vozidla jsou vybavena množstvím digitálních technologií, včetně umělé inteligence, internetu věcí, mobilního připojení ke cloudu a Bluetooth. S jejich dalším inovativním nasazením budou vyžadovat nová řešení pro ochranu, detekci, pochopení a reakci na vznikající hrozby. “Právě tyto body připojení musí výrobci automobilů a poskytovatelé softwaru považovat za prioritu automobilového průmyslu v příštích pěti letech,” dodává Teza Mukkavilli, ředitel pro informace ve společnosti ChargePoint, která se zabývá infrastrukturou pro elektromobily.
“Klíčovým úkolem je zajistit, aby nové inženýrské a provozní činnosti přinášely přidanou hodnotu a zmírňovaly rizika, aniž by se kybernetická bezpečnost změnila na pouhé dodržování předpisů,” říká Wooderson. Vzhledem k tomu, že jsou každoročně hlášeny “desítky tisíc nových zranitelností”, nebude snadné udržet o nich povědomí a pochopit jejich význam pro produkty. K překonání těchto výzev navrhuje, aby odvětví zaujalo mnohostranný přístup, který by kombinoval technologický pokrok s kulturními změnami, aby se kybernetická bezpečnost stala prioritou v celé rané fázi vývoje vozidla.
Zajištění současných a budoucích obchodů
Wooderson se domnívá, že dopady nepromyšlení dopředu jsou již patrné: “Bez splnění předpisů OSN nyní někteří výrobci vozidel nemohou prodávat nová vozidla do regionů, které tyto požadavky přijmou.” V prosinci 2023 společnost Porsche oznámila, že od 1. čtvrtletí 2024 ukončí prodej modelu Macan v EU, protože uvedení vozidla do souladu s R155 by bylo neúměrně nákladné. Další příklady by se mohly brzy objevit celosvětově: “V jiných regionech, například v Číně, se nyní také objevují podobné předpisy.”
Dennis Kengo Oka, Senior Principal Automotive Security Strategist ve skupině Synopsys Software Integrity Group, souhlasí s Woodersonovým primárním hodnocením. Dodává však, že kybernetická bezpečnost má vliv na budoucí i současné podnikání. “Je to faktor umožňující nové zdroje příjmů. Zatímco prodej vozidel bude přirozeně pokračovat, automobilový průmysl musí najít nové způsoby, jak pokračovat v růstu.”
Nové aplikace a funkce konektivity mají vytvořit ekosystémy služeb, z nichž budou mít prospěch různé zúčastněné strany. Jejich implementace bude vyžadovat bezpečné spouštění a aktualizace softwaru, řádné řízení přístupu, ověřování, autorizaci, bezpečnou komunikaci a bezpečné ukládání a zpracování dat. “Kybernetická bezpečnost musí být nyní považována za obchodní prioritu, ale změna procesů a zavedení nových zásad a pracovních postupů pro zajištění shody ve velkých organizacích obecně vyžaduje čas a investice a podporu nejvyššího vedení,” uvádí Oka.
Vzhledem k nákladům na splnění požadavků normy R155 přestane Porsche od 1. čtvrtletí 2024 v EU vyrábět Macan se spalovacím motorem
Hráči v moderním odvětví však nemají jinou možnost než se přizpůsobit. “Automobilové organizace, které si nevytvoří nové zdroje příjmů umožněné kybernetickou bezpečností, budou mít pravděpodobně méně příležitostí k růstu, protože trh se stává ještě více konkurenčním.” Vzhledem k tomu, že neustálý tlak na dodržování termínů při omezených nákladech často snižuje odhodlání společností věnovat se bezpečnostním snahám, zdůrazňuje, že pečlivý výběr a efektivní využívání bezpečnostních řešení je nezbytností.
Kultura proaktivní obrany
Důsledkem toho, že kybernetická bezpečnost není začleněna do výzkumu a vývoje nebo do testování výrobků, jsou platformy vozidel, které jsou po uvedení do provozu zranitelné vůči útokům, pokračuje Oka. Kybernetičtí zločinci je pak mohou zneužít ke způsobení nehody, při níž může dojít ke zranění řidiče nebo cestujících, vyřazení vozidla z provozu nebo získání citlivých či soukromých údajů. “Tyto typy incidentů by mohly způsobit negativní publicitu pro výrobce a ovlivnit budoucí podnikání.”
Joachim Fox, ředitel oddělení funkční bezpečnosti a kybernetické bezpečnosti výrobků ve společnosti ZF, proto tvrdí, že je nezbytné zavést proaktivní obranu proti vektorům útoku. “Útočný povrch připojených automobilů se neustále zvětšuje,” říká pro Automotive World. “Silné schopnosti předvídání, detekce a reakce jsou klíčem k tomu, aby uživatelé silnic měli k dispozici systémy, kterým mohou důvěřovat, že jsou bezpečné.”
Kybernetická bezpečnost se dnes stala kulturní záležitostí, která přesahuje místo prodeje – vyžaduje organizační zvážení od výroby až po celou dobu životnosti vozidla. “Výrobky musí být aktivně monitorovány a případně opravovány, nejlépe OTA,” říká Fox. Tato úroveň dohledu však podle něj bude vyžadovat nový obchodní model, například smlouvy o údržbě nebo modely předplatného, ale nedostatečná standardizace v odvětví znamená, že je obtížné zajistit dostatečné pokrytí.
“Ochota platit za kybernetickou bezpečnost musí být stanovena na širším základě, jinak by mohla v dlouhodobém horizontu utrpět.” Fox zaznamenal v odvětví “mnoho dobrých iniciativ a spolupráce”, které mají připravit půdu pro bezpečnější mobilitu v budoucnosti. Dosažení tohoto cíle však bude vyžadovat otevřenou komunikaci ve složitém ekosystému výrobců a dodavatelů.
Mukkavilli ze společnosti CharePoint poznamenává, že stejný princip kooperativní výměny informací platí i pro oblast nabíjení elektromobilů, pro kterou dosud neexistuje minimální standard kybernetické bezpečnosti srovnatelný s automobilovou technikou. Podpora revidované průmyslové kultury, která podporuje organizace k otevřenější identifikaci a sdílení společných hrozeb, by pomohla zabezpečit komunitu nabíječů do doby, než bude konečně zavedena.
“Kybernetická bezpečnost je týmový sport, ve kterém je sdílení informací naprosto zásadní. Problémy v oblasti elektromobilů a nabíjení je třeba řešit co nejdříve, aby se zabránilo tomu, že se problémy začnou nabalovat a přerostou v obrovské množství.” Mukkavilli dochází k závěru, že bez položení základů bezpečnosti dnes bude odvětví sklízet následky dříve, než se očekávalo. “Až budeme mít desetkrát nebo dvacetkrát více nabíjecích míst pro elektromobily než dnes, bude řešení bezpečnostních problémů v masovém měřítku velkou výzvou.”
Zdroj: automotiveworld.com