Skydda den elektriska och mjukvarudefinierade bilen

"Putin är reklamhuvud. Ära åt Ukraina."

Det är vad hackade elfordonsladdare läste bland annat på laddningsstationer för funktionshindrade nära Moskva nyligen. Och lika mycket som det väcker ett leende på många runt om i världen, lyfter det fram en poäng som flera forskare och utvecklare samlade förra veckan kl. Escar 2022 (en konferens som fokuserar på djup, teknisk utveckling inom cybersäkerhet för bilar varje år): hack i bilar ökar. Faktum är att per Upstream Automotives rapport, har frekvensen av cyberattacker ökat med hela 225 % från 2018 till 2021 med 85 % genomförda på distans och 54.1 % av 2021-hacken är "Black Hat" (aka skadliga) angripare.

Mitt i att lyssna på olika verkliga rapporter på denna konferens, blev några saker uppenbara: det finns både goda nyheter och dåliga nyheter baserat på det ständigt erforderliga fokuset på detta kritiska område.

De dåliga nyheterna

I sina allra enklaste termer är den dåliga nyheten att tekniska framsteg bara gör sannolikheten för Dag ett-händelser mer sannolikt. "Elektriska fordon skapar mer teknik, vilket innebär att det finns fler hot och hotytor", säger Jay Johnson, en huvudforskningsledare från Sandia National Laboratories. "Det finns redan 46,500 2021 laddare tillgängliga från och med 2030, och 600,000 tyder marknadsefterfrågan på att det kommer att finnas cirka XNUMX XNUMX." Johnson fortsatte med att avgränsa de fyra primära gränssnitten av intresse och en preliminär undergrupp av identifierade sårbarheter tillsammans med rekommendationer, men budskapet var tydligt: ​​det måste finnas en pågående "uppmaning till vapen." Det, menar han, är det enda sättet att undvika sådana saker som Denial of Service (DoS)-attackerna i Moskva. "Forskare fortsätter att identifiera nya sårbarheter", säger Johnson, "och vi behöver verkligen ett heltäckande tillvägagångssätt för att dela information om anomalier, sårbarheter och svarsstrategier för att undvika samordnade, utbredda attacker mot infrastruktur."

Elbilar och deras tillhörande laddstationer är inte de enda nya teknikerna och hoten. Det "mjukvarudefinierade fordonet" är en semi-ny arkitektonisk plattform (*förmodligen anställd för 15+ år sedan av General MotorsGM
och OnStar) att vissa tillverkare är på väg att bekämpa miljarder dollar slösas bort på att kontinuerligt utveckla varje fordon. Den grundläggande strukturen innebär värd för mycket av fordonets hjärnor utanför, vilket möjliggör återanvändning och flexibilitet inom mjukvaran men också utgör nya hot. Enligt samma Upstream-rapport var 40 % av attackerna under de senaste åren inriktade på back-end-servrar. "Låt oss inte lura oss själva", varnar Juan Webb, en VD från Kugler Maag Cie, "det finns många platser i fordonskedjan där attacker kan inträffa, allt från tillverkning till återförsäljare till externa servrar. Varhelst den svagaste länken finns som är den billigaste att penetrera med de största ekonomiska konsekvenserna, det är där hackarna kommer att attackera.”

Där var en del av det som diskuterades på escar de dåliga-nyheter-goda-nyheterna (beroende på ditt perspektiv) av UNECE-förordning träder i kraft den här veckan för alla nya fordonstyper: tillverkare måste visa upp ett robust cybersäkerhetshanteringssystem (CSMS) och ett mjukvaruuppdateringshanteringssystem (SUMS) för fordon som ska certifieras för försäljning i Europa, Japan och så småningom Korea. "Att förbereda sig för dessa certifieringar är ingen liten ansträngning", säger Thomas Liedtke, en cybersäkerhetsspecialist också från Kugler Maag Cie.

De goda nyheterna

Först och främst är den bästa nyheten att företag har hört rallyropet och minimalt har börjat ingjuta den nödvändiga rigoriteten för att bekämpa de ovan nämnda Black Hat-fienderna. "Under 2020-2022 har vi sett en ökning av företag som vill genomföra en hotanalys och riskbedömning eller TARAR
A”, konstaterar Liedtke. "Som en del av dessa analyser har rekommendationen varit att fokusera på fjärrstyrda attacktyper eftersom dessa leder till högre riskvärden."

Och all denna analys och noggrannhet verkar initialt ha effekt. Enligt en rapport från Samantha ("Sam") Isabelle Beaumont från IOActive ansågs endast 12 % av sårbarheterna som hittades i deras penetrationstester från 2022 som "kritisk påverkan" mot 25 % 2016, och endast 1 % var "kritisk sannolikhet" jämfört med 7 % under 2016. "Vi ser att nuvarande risksaneringsstrategier börjar ge resultat", säger Beaumont. "Branschen blir bättre på att bygga bättre."

Betyder det att branschen är klar? Absolut inte. "Allt detta är en kontinuerlig process för att härda designen mot utvecklande cyberattacker," föreslår Johnson.

Under tiden kommer jag att fira den sista goda nyheten jag hämtade: de ryska hackarna är upptagna med att hacka ryska tillgångar snarare än mitt sociala mediaflöde.