Эксперт Мишуков: безопасность автомобилей должна начинаться на этапе проектирования, иначе риски будут только расти

Андрей Мишуков, генеральный директор iTPROTECT, прокомментировал для CISOCLUB рост числа атак на автомобили, зафиксированных в отчёте АО «Глонасс» и компании «Технологии безопасности транспорта». По его мнению, приведённые цифры вполне ожидаемы и отражают типичный тренд — технологии развиваются быстрее, чем подходы к их защите.

«Приведённая статистика — это ожидаемый тренд: технологическое развитие опережает внедрение мер безопасности. Умные автомобили — это компьютеры на колёсах, а любая сложная система рано или поздно становится целью для атак. Текущая волна взломов ради платных опций — только разминка. Следующим шагом могут стать направленные атаки на корпоративные автопарки или частных владельцев», — отметил Мишуков.

Он подчеркнул, что основная проблема — системный подход производителей, которые ставят вопросы защиты на второстепенное место.

«Ключевая проблема — бизнес часто относится к безопасности как к второстепенной функции. Если не закладывать защиту на этапе архитектуры (security by design), а пытаться „докрутить“ её постфактум, компания получит крайне уязвимые системы», — пояснил эксперт.

Особое внимание он уделил уязвимостям, связанным с устаревшими компонентами автомобилей, вроде CAN-шины.

«Яркий пример — уже существующая проблема с устаревшими автомобильными мультимедийными системами. Многие современные машины до сих пор используют шины данных (например, CAN), разработанные в 90-х, когда о кибератаках на машину никто не думал. Теперь эти системы — мишень для злоумышленников, так как обновить их на уже выпущенных автомобилях практически невозможно. Это и есть то самое legacy, которого нужно избежать на новом витке технологий — в SDV и автономном вождении», — указал Мишуков.

Он также подчеркнул, что сами владельцы машин нередко создают дополнительный спрос на взлом — это касается как платных функций, так и кастомизации.

«Многие автовладельцы сами обращаются к хакерам, чтобы разблокировать платные функции или получить поддержку дополнительных языков. Это создаёт спрос на такую специализацию у взломщиков. А ещё у современных машин с автопилотом стоит довольно мощное аппаратное обеспечение, на котором можно добывать криптовалюту — это тоже вызывает интерес у злоумышленников», — добавил он.

В качестве решений эксперт предложил четыре практических шага:

• внедрение архитектуры Zero Trust — аппаратная и программная изоляция критичных систем от мультимедийных и внешних сетей;
• создание центров мониторинга — наблюдение за поведением автомобилей и быстрый отклик на инциденты;
• управление уязвимостями и обновлениями — не допускать длительных задержек в устранении угроз;
• регулярные пентесты и аудит всей цепочки поставок — от собственных разработок до сторонних вендоров.

«Появление уязвимости — это не провал. Провал — это неспособность быстро выпустить и безопасно установить патч на весь парк автомобилей», — подчеркнул Андрей Мишуков.