Cục Quản lý An toàn Giao thông Đường cao tốc Quốc gia Mỹ (NHTSA) định nghĩa an ninh mạng ô tô là “bảo vệ hệ thống điện tử ô tô, mạng liên lạc, thuật toán điều khiển, phần mềm, người dùng và dữ liệu cơ bản khỏi các cuộc tấn công độc hại, thiệt hại, truy cập trái phép hoặc thao túng”. Hành vi thao túng này có thể bao gồm hành vi ác ý, chẳng hạn như tin tặc vô hiệu hóa hệ thống liên lạc của phương tiện, làm gián đoạn điều hướng hoặc can thiệp vào hệ thống điều khiển hệ thống truyền động.
Thật không may, các nhà sản xuất đã làm rất ít để thực hiện các biện pháp bảo vệ an ninh mạng. Chưa có tiêu chuẩn liên quan nào tồn tại trong ngành ô tô. Tiêu chuẩn ISO 26262, Tiêu chuẩn quốc tế an toàn chức năng ô tô, chỉ quy định rằng nhà sản xuất chịu trách nhiệm đảm bảo rằng chiếc xe được an toàn. Sự thiếu chú ý tổng thể này có thể dẫn đến nhiều rủi ro hơn đối với các hệ thống quan trọng về an toàn và trách nhiệm pháp lý ngày càng tăng cần được giải quyết.
Phần mềm cồng kềnh và lỗ hỏng
Nếu một phần mã phần mềm lớn và phức tạp thì có khả năng cao là nó sẽ chứa nhiều lỗi hơn so với phần mềm tương đối đơn giản. Điều này đặc biệt đáng lo ngại khi xem xét số lượng phần mềm khổng lồ được cài đặt trên ô tô hiện đại.
Tại sao lại có sự khác biệt lớn như vậy? Nó khá đơn giản vì mỗi dòng mã có một trách nhiệm pháp lý khác nhau vì nó có khả năng là một điểm khiếm khuyết. Các nhà sản xuất máy bay tập trung mạnh vào trách nhiệm pháp lý tiềm ẩn này. Do đó, các nhà sản xuất giảm thiểu số lượng mã xuống chỉ những gì thực sự cần thiết. Mỗi dòng được xem xét và kiểm tra nhiều lần. Điều này dẫn đến phần mềm có ít lỗi hơn và dễ bảo trì hơn nhiều. Ngành công nghiệp ô tô thực tế không dễ đạt được mức độ tin cậy và chất lượng phần mềm này.
Chuỗi cung ứng tạo ra lỗ hổng
Ngành công nghiệp ô tô có một trong những chuỗi cung ứng lớn nhất và phức tạp nhất ở Mỹ và nhiều quốc gia khác. Điều này bao gồm việc tích hợp thường xuyên phần mềm, thành phần, ứng dụng và giao thức truyền thông của bên thứ ba, đưa ra một loạt các điểm yếu an ninh mạng lớn cùng các vấn đề kiểm soát chất lượng.
Các biện pháp bảo vệ an ninh mạng rất khó khăn khi có nhiều bên tham gia, mỗi bên đưa ra các thông số kỹ thuật vá lỗi của riêng mình và tuân thủ các tiêu chuẩn khác nhau. Một bộ thiết bị điều khiển có thể được cung cấp bởi hơn 20 nhà cung cấp khác nhau. Các thành phần được cung cấp bởi nhiều nhà cung cấp riêng biệt làm tăng mức độ rủi ro. Hơn nữa, sức mạnh của một thành phần riêng lẻ có thể bị mất trong quá trình tích hợp được thực hiện kém, dẫn đến mạng dễ bị tổn thương gồm các phần tử được kết nối với nhau.
Việc áp dụng chữ ký số vào phần mềm cũng chưa thống nhất. Để duy trì niềm tin vào phần mềm, nó phải được ký khi nó được xây dựng lần đầu tiên ở điểm xa nhất trong chuỗi cung ứng. Ngoài ra, các yêu cầu phải được đưa ra để cho phép xác nhận hoàn chỉnh phần mềm nhằm đảm bảo tính toàn vẹn của phần mềm ở mỗi cấp độ trong chuỗi cung ứng.
Các nhà cung cấp không phải lúc nào cũng nhận thức được các mối đe dọa tiềm tàng từ những người khác trong chuỗi. Nhà cung cấp Cấp 1 có thể triển khai một phần của giải pháp và chuyển một hoặc nhiều lỗ hổng an ninh mạng xuống chuỗi cung ứng cho nhà cung cấp Cấp 2 và Cấp 3. Các nhà cung cấp này thêm phần cứng và phần mềm và thực hiện kiểm tra an toàn, bảo mật, chức năng và hồi quy. Tất nhiên, những nhà cung cấp cấp thấp hơn này có thể thêm các lỗi và tính năng không an toàn làm tăng khả năng tiếp xúc với các mối đe dọa an ninh mạng. Kẻ xấu thường bắt đầu với quy mô nhỏ ở các cấp độ thấp hơn và sau đó kiên nhẫn ẩn nấp trong một hoặc nhiều hệ thống trong nhiều năm trước khi quyết định tấn công.
Một số lượng lớn các tác giả phần mềm kết hợp với nhau trong một chuỗi cung ứng phức tạp khiến việc duy trì phần mềm chạy trên xe trở nên đặc biệt khó khăn đối với một nhà sản xuất ô tô.
Những người tham gia chuỗi cung ứng được kết nối chặt chẽ với nhau. Chúng ta đang sống trong một thế giới của quan hệ đối tác người mua-người bán kỹ thuật số, tự động hóa quy trình robot hóa và Internet vạn vật (IoT). Mặc dù những sắp xếp này mang lại mức độ hiệu quả và tiện lợi cao, nhưng hệ thống này cũng tiềm ẩn nhiều rủi ro về bảo mật. Tội phạm mạng nhận thức khá rõ về các điểm truy cập tiềm năng này và đang khai thác chúng để xâm nhập vào các mạng nội bộ đã được bảo vệ cẩn thận trước đó.
Mặc dù khả năng bị thiệt hại trên mạng đang gia tăng theo cấp số nhân, nhưng các tổ chức hợp tác thường không thể kiểm soát hoặc xem xét kỹ lưỡng các biện pháp bảo mật ở những nơi khác trong chuỗi cung ứng. Điều này dẫn đến việc không thể quản lý bảo mật ở mức độ cao.
Giải pháp an ninh mạng không sẵn sàng dịch chuyển sang ô tô
Các tiêu chuẩn an ninh mạng đã xuất hiện trong vài thập kỷ (ví dụ: ISO/IEC 27001 và 27002, NIST, NERC/CIP). Xem xét những điểm tương đồng – cả công nghệ thông tin và ô tô đều chứa các mạng thiết yếu gồm các thiết bị được kết nối – tại sao không chỉ đơn giản là ánh xạ các giải pháp an ninh mạng từ thế giới công nghệ thông tim sang ô tô? Mặc dù tương tự ở cấp độ khái niệm cơ bản, nhưng thực tế có những khác biệt đáng kể và những thách thức tương ứng.
OEM và nhà cung cấp
Hầu hết các hệ thống công nghệ thông tin đều xoay quanh một bộ xử lý duy nhất và một số tinh chỉnh của nhà sản xuất thiết bị gốc (OEM). Thật dễ dàng để OEM đưa vào một hệ điều hành tiêu chuẩn và sau đó hoạt động như một công ty tích hợp. Trong ngành ô tô, các nhà cung cấp ECU Cấp 1 phát triển hầu hết các chức năng. Điều này bao gồm quản lý năng lượng, mật mã, quản lý bộ nhớ, trình điều khiển và giao thức truyền thông. Các nhà sản xuất bộ xử lý là nhà cung cấp Cấp 2, vì vậy họ có ít tác động hơn đến sản phẩm cuối cùng trong khi thường có tác động bất lợi đến độ phức tạp của hệ thống.
Ngoài ra, do hầu hết các OEM phương tiện tập trung vào cơ khí, các nhà cung cấp Cấp 1 thường đưa ra tất cả các quyết định về thiết kế điện tử. Các OEM phát triển các yêu cầu chức năng, thêm một số khuyến nghị chung và đưa vào tất cả các quy định của ngành ô tô. Lợi thế chính của nhà cung cấp Cấp 1 là gần như chịu hoàn toàn trách nhiệm đối với một bộ phận mà không có bất kỳ sự đổ lỗi nào cho bất kỳ công ty nào khác về bất kỳ khiếm khuyết hoặc vấn đề nào. Nhược điểm chính là không có khả năng duy trì một cái nhìn toàn cảnh về hệ thống. Không nhà cung cấp Cấp 1 nào có cái nhìn toàn cảnh về chiếc xe và không nhà sản xuất OEM nào hiểu rõ về các bộ phận bên trong ECU. Kết quả chỉ là sự tích hợp của các bộ phận độc lập, chứ không phải là một kiến trúc thống nhất.
Nền tảng phương tiện bao gồm nhiều loại thành phần bao gồm cảm biến, mạch logic đơn giản, máy tính tích hợp phức tạp, hệ điều hành nhúng và chipset độc quyền. Thật khó để kết hợp các máy ảo Windows, macOS, Linux và Java thành một cấu hình gắn kết duy nhất.
Hậu quả của sự cố
Lỗi phần mềm trong điện thoại thông minh không gây hậu quả giống như trong một chiếc xe ô tô.
Giả sử, trong một phương tiện, bạn có một hệ thống phát hiện xâm nhập quyết định rằng “tín hiệu phanh” đến bị hỏng. Kết quả có thể rất khủng khiếp nếu phát hiện này sai, tín hiệu bị bỏ qua và phương tiện lao xuống hồ. Điều gì sẽ xảy ra nếu tín hiệu bị đột nhập, không được phát hiện như vậy và phương tiện đột ngột dừng lại trong giờ cao điểm? Trách nhiệm, trong cả hai trường hợp, có thể xảy ra. Nhiều OEM có thể đơn giản quyết định rằng việc bỏ qua hệ thống con phát hiện xâm nhập sẽ đơn giản hơn.
Để sửa bất kỳ lỗi nào có thể được phát hiện, việc nâng cấp phần mềm là cần thiết. Đối với máy tính hoặc thiết bị điện tử tiêu dùng, việc thực hiện cập nhật qua mạng (OTA) cho hầu hết mọi bộ phận của xe đã trở nên khá dễ dàng. Tuy nhiên, nếu phát hiện lỗi hoặc thiếu sót trong ECU, nhà cung cấp cần tiến hành phân tích và tích hợp bản sửa lỗi vào linh kiện. Điều này phải được hỗ trợ bằng thử nghiệm và OEM phải tính đến tất cả các biến thể cấu trúc xe có thể có. Chắc chắn, một trong các thử nghiệm sẽ làm hỏng một bộ phận, hoặc có thể là toàn bộ chiếc xe, khiến việc cập nhật OTA là không thể. Điều này dẫn đến một số lượng lớn ô tô "bị lỗi" đang chạy xung quanh sẽ không nhận được bản nâng cấp cho đến sự kiện dịch vụ vật lý tiếp theo.
Thời gian đưa ra thị trường
Thời gian trung bình trôi qua từ ý tưởng đến sản xuất xe là bốn năm dài. Điều này có nghĩa là các quyết định quan trọng ảnh hưởng đến kiến trúc, khái niệm bảo mật và hệ điều hành xảy ra gần bốn năm trước khi phương tiện lăn bánh khỏi dây chuyền lắp ráp cuối cùng.
Mặc dù các nhà cung cấp nỗ lực duy trì phần mềm cho đến khi bắt đầu sản xuất, nhưng không ai trong số họ tự nguyện thay thế toàn bộ nhân hệ điều hành giữa chừng trong quá trình phát triển. Điều này có nghĩa là nhiều, nhiều tháng bổ sung các lỗi ẩn, bản sửa lỗi, lỗ hổng, phương pháp bảo mật và đường dẫn liên lạc sẽ không được xem xét kỹ lưỡng.
Nếu bất kỳ thành phần mới nào không thành công trong quá trình thử nghiệm hoặc có nguy cơ làm chậm quá trình sản xuất, OEM sẽ mặc định thay thế một ECU cũ thay vì mạo hiểm với cái mới.
Tiêu chuẩn hóaTiêu chuẩn an toàn chức năng hiện có cho phương tiện (ISO 26262) – áp dụng cho thiết kế, triển khai và sản xuất – yêu cầu phân tích các mối nguy hiểm và đánh giá rủi ro. An ninh mạng có thể được tăng cường bằng cách đảm bảo rằng các mối đe dọa phần mềm được bao gồm trong bài tập này. Thử nghiệm tiếp theo sau đó xác nhận rằng rủi ro đã được giảm xuống mức chấp nhận được.
Tiêu chuẩn ISO 21434, An ninh mạng ô tô, hiện đang được phát triển. Nó được xây dựng trên SAE J3061, Sách hướng dẫn an ninh mạng cho các hệ thống phương tiện vật lý trên mạng. Sự hỗ trợ của các tiêu chuẩn này sẽ mang lại sự đảm bảo mới cho các vấn đề bảo mật.
Cuối cùng, an ninh mạng có thể được tăng cường thông qua việc tiêu chuẩn hóa kiến trúc phần mềm cho các đơn vị điều khiển điện tử ô tô. Đây là mục tiêu của AUTOSAR (Kiến trúc hệ thống mở tự động). Được thành lập vào năm 2003, AUTOSAR là “quan hệ đối tác phát triển trên toàn thế giới của các nhà sản xuất phương tiện, nhà cung cấp, nhà cung cấp dịch vụ và các công ty từ ngành công nghiệp điện tử ô tô, chất bán dẫn và phần mềm”. Kiến trúc này được tiêu chuẩn hóa tạo cơ hội để tự động hóa kiểm thử phần mềm, điều này sẽ dẫn đến chất lượng và độ tin cậy của phần mềm được cải thiện.
Trong ngành công nghiệp ô tô toàn cầu, rõ ràng tất cả các nhà cung cấp đều rất cần áp dụng các biện pháp kiểm soát bảo mật thích hợp cho các sản phẩm và quy trình phát triển của họ. Các giải pháp có thể không phải lúc nào cũng dễ dàng. Tuy nhiên, cần phải nhận ra rằng hậu quả của việc trì hoãn hoặc trốn tránh có thể khó tưởng tượng được.