Кибербезопасность подключённых автомобилей выходит на первый план

Сегодня кибербезопасность не является неотъемлемой частью новых автомобилей. Однако всё это должно измениться, например, в Индии в 2027 году, когда примут закон, что все производители автомобилей должны включать кибербезопасность в качестве обязательной функции для всех подключённых автомобилей.

Подпитываемые энергетическими дифференциаторами, например предохранителями, программным сбросом нагрузки, сниженным потреблением тока, автоматической регулировкой усилия ремня безопасности, улучшенной подвеской на неровных дорогах и переходом на интеллектуальные кабины, традиционные модели разработки продуктов быстро меняются. Обычная цепочка поставок будет иметь продукт уровня 1, включающий электронику и оборудование, инструментальное ПО, базовое ПО и чистое ПО для производителя оригинального оборудования (OEM). Уровень 1, в свою очередь, будет зависеть от поставщиков уровня 2 либо для ПО, либо для промежуточного ПО (ОС + прошивка), которое будет соответствовать таким стандартам, как AUTomotive Open System ARchitecture (AUTOSAR). Поскольку программно-определяемые транспортные средства (SDV) становятся новой нормой, OEM-производители напрямую принимают архитектуру полного стека, которая интегрирует ИИ в архитектуру вычислительных чипов и позволяет им создавать функции, которые ранее были созданы поставщиками уровня 1.

Поскольку транспортные средства продолжают развиваться с ожидаемым сроком службы в 20 лет, который обеспечивается избыточностью оборудования и обновлениями по воздуху (OTA), автомобильная промышленность сталкивается с растущей проблемой кибербезопасности. Даже если клиенты признают, что новый автомобиль может быть не в лучшем виде, когда он покидает завод, и может потребоваться одно или два обновления, чтобы он заработал, они всё равно предпочтут устранить всю двусмысленность, когда дело касается безопасности автомобиля. Поскольку подключённые и электрические транспортные средства представляют новые парадигмы мобильности и расширяемости передвижения, ИИ обеспечивает новую парадигму для периферийного интеллекта и облачных вычислений, значительно улучшая функции обычной мобильности. Однако множественные конструкции и системы, а также растущая роль ПО делают транспортные средства уязвимыми для кибератак. Это увеличивает вероятность того, что хакеры будут использовать слабые места либо в коде, либо в увеличении интерфейсов между устройствами, тем самым оказывая большое негативное воздействие на отдельных пользователей мобильности и широкую общественность.

Такие европейские правила, как UNECE R155/R156 и AIS-189/190 в Индии, направлены на обеспечение рамок для внедрения кибербезопасности для предприятий, производящих интеллектуальные автомобили. Кроме того, стандарты ISO/SAE 21434 помогают контекстуализировать безопасность с точки зрения транспортного средства, цепочки поставок и концепции для проектирования и производства экосистем.

Система управления кибербезопасностью (CSMS) является центральной темой для активных требований кибербезопасности подключённых транспортных средств.

С июля 2024 года более 60 подписавших ЕЭК ООН стран должны будут внедрить CSMS для производства новых транспортных средств. OEM-производители (автомобилестроители) в конечном итоге несут ответственность за проверку соответствия своей цепочки поставок правилам и стандартам. Хотя большинство OEM-производителей согласны и имеют проект, зрелость системы низкая или средняя. Это препятствует её развёртыванию. Также отсутствует прозрачность в отношении внедрения системы в мировой автомобильной промышленности. Однако, похоже, существует консенсус в отношении того, что кибербезопасность является самой большой угрозой в автомобильной промышленности и что эффективная CSMS окажется конкурентным преимуществом.

В Индии, как и в других странах, соглашение OEM-поставщика о кибербезопасности остается неопределённым. Хотя можно было бы ожидать оценки риска отдельных компонентов, общей оценки риска на уровне транспортного средства, которая является ключом к одобрениям, омологации и, в конечном счёте, обеспечению защиты пассажиров от киберпреступности, пока не существует (в 2024 году).

Кроме того, отсутствует согласие между поставщиками, которые остаются ядром программы безопасности, о том, какие структуры и стандарты будут полезны для создания эффективной CSMS. Однако OEM-производители имеют иную точку зрения, чем поставщики.

Несмотря на то, что отрасль признаёт кибербезопасность серьёзной проблемой, системные проблемы, такие как нехватка квалифицированного персонала, отсутствие ноу-хау и сложность цепочки поставок, замедляют принятие и интеграцию CSMS. Чёткая бизнес-стратегия цифровой трансформации может способствовать подходу CSMS, а не простому соблюдению требований. ПО становится ключевым фактором, поскольку внедрение CSMS выходит на первый план. Модульность и масштабируемость программного обеспечения и вычислений становятся необходимыми для эффективного долгосрочного производства и эксплуатации программ транспортных средств. Таким образом, восприятие CSMS и дизайна различается для OEM-производителей по сравнению с поставщиками в зависимости от их ответственности за безопасность. Опыт показывает, что для принятия эффективной CSMS требуется в среднем 30-месячный цикл подготовки. С учётом того, что октябрь 2027 года установлен в качестве даты внедрения правил, связанных с утверждением AIS-189/190 для кибербезопасности, время пошло.

Подписывайтесь на журнал «Вестник ГЛОНАСС» и навигационный Telegram-канал

По материалам открытых источников