An toàn thông tin mạng: mối quan tâm hàng đầu của ngành công nghiệp ô tô

Mối quan tâm hàng đầu của các công ty ô tô trước nay là an toàn của phương tiện, giờ đang chuyển sang an ninh mạng. Đó là bởi những chiếc ô tô đang chạy trên phần mềm. Nói cách khác, những chiếc ô tô trở thành các trung tâm dữ liệu được kết nối có thể di chuyển nhanh, vừa giống như máy tính lớn vừa giống một thiết bị di động, được lắp đặt vô số thiết bị Internet of Things (IoT). Chúng là các nút di động hiệu quả hoạt động ở rìa của cơ sở hạ tầng đám mây khổng lồ, đang ngày càng trở thành mục tiêu cho các cuộc tấn công mạng.

Trong thập kỷ qua, các nhà sản xuất ô tô đã dần chuyển hướng sang xe điện, trong khi thị trường chứng kiến nhiều sáng kiến mới, như chia sẻ chuyến đi, chia sẻ phương tiện và thay đổi các mô hình sở hữu truyền thống. Các cập nhật công nghệ không dây cho hệ thống máy tính cung cấp các tính năng mới, cải thiện trải nghiệm lái xe hoặc khắc phục các sự cố mà không cần thu hồi phương tiện. Và các thiết bị IoT được lắp đặt trong xe sẽ thu thập, truyền và nhận thông tin. Các phương tiện tự hành, xe taxi (Uber, Lyft, Waymo) và hoạt động vận tải đường bộ đang được triển khai ở nhiều nơi.

Tất cả những điều này làm gia tăng sự quan trọng của an ninh mạng đối với phương tiện. Vào tháng 6/2020, Liên hợp quốc ban hành tiêu chuẩn số 155 (UNR 155) quy định các yêu cầu về an ninh mạng áp dụng cho các thành viên của Diễn đàn về Hài hoà tiêu chuẩn xe cơ giới (WP.29), bao gồm EU, Anh, Nhật Bản và Hàn Quốc. Trong khi Hoa Kỳ, Canada và Trung Quốc không phải là thành viên của WP.29, việc tuân thủ UNR 155 là bắt buộc để tiếp cận các thị trường đó.

Kết hợp với các yêu cầu an ninh mạng khác như ISO/SAE 21434 - và các mối đe dọa không nhỏ của các cuộc tấn công mạng - vấn đề này sẽ vượt qua chức năng an toàn truyền thống trong số các ưu tiên của các nhà sản xuất ô tô - hoặc ít nhất là đạt được vị thế ngang bằng với nó. Các nhà sản xuất ô tô cần lưu ý một vài yếu tố quan trọng.

Xác định các mối đe dọa

Chiến tranh thông tin, được đánh giá rất tốn kém cho các đối tượng bị nhắm đến, cũng ngày càng trở nên nguy hiểm. Có thể kể đến các cuộc tấn công vào lĩnh vực năng lượng: vô cùng nguy hiểm đến tính mạng con người nếu các bệnh viện, viện dưỡng lão hoặc các cơ sở chăm sóc khác bị cắt điện. Vào tháng 5/2021, cuộc tấn công Colonial Pipeline không hoàn toàn thành công nhưng phần nào chứng minh mức độ ảnh hưởng của một cuộc tấn công nếu kẻ xấu đạt được mục đích bằng cách xâm nhập một mật khẩu duy nhất.

Những rủi ro càng tăng lên đối với ngành công nghiệp ô tô do bản chất của việc lái xe ở tốc độ cao trên những con đường đông đúc. Việc tấn công phương tiện giao thông tiềm tàng nguy cơ trở nên phổ biến hơn nhiều người nghĩ, với khả năng xảy ra các sự cố đe dọa tính mạng con người trên quy mô lớn.

Tác động kinh tế của vụ việc tấn công như vậy sẽ là không nhỏ, khiến cho các công ty ô tô phải tập trung vào việc đảm bảo an ninh mạng. Tạo dựng niềm tin là điều tối quan trọng trong ngành vận tải. Các vấn đề liên tục xảy đến với Boeing, như vchiếc máy bay 737 Max bị ngừng hoạt động trong 20 tháng vào năm 2019 và 2020 sau hai vụ tai nạn được cho là do lỗi phần mềm, minh họa rõ ràng cho quan điểm này. Các nỗ lực an ninh mạng trong ngành công nghiệp ô tô nên tập trung vào năm lĩnh vực chính.

1. Khai thác Zero-Day

Số lượng cổng giao tiếp trên xe chiếc ô tô khiến chúng dễ bị tấn công. Ngoài việc bảo vệ chống lại các lỗ hổng bảo mật đã biết, chuyên gia an ninh mạng nên biết về những phát triển mới và các vectơ tấn công, có thể bằng cách hợp tác với sáng kiến Zero Day Initiative.

2. Các cuộc tấn công chuỗi cung ứng

Các công ty ô tô cần tránh tạo ra các lỗ hổng bảo mật thông qua các bản cập nhật OTA bằng cách đảm bảo tuân thủ các quy trình thuộc Vòng đời phát triển phần mềm (SDLC) và việc truyền tải các bản cập nhật.

3. Chia sẻ chuyến đi

Sự gia tăng của các ứng dụng chia sẻ chuyến đi và phương tiện, cùng với các phương thức truyền thống được mở rộng như cho thuê và xe chở hàng của công ty, tạo ra các câu hỏi về danh tính người dùng và đặc quyền truy cập cần được giải quyết.

4. Kết nối

Bảo mật các kênh liên lạc yêu cầu khả năng hiển thị trong môi trường đám mây, mã hóa đường truyền và dữ liệu, giám sát liên tục và áp dụng các công nghệ như trí tuệ nhân tạo để tránh theo dõi và giả mạo.

5. Quyền riêng tư

Các quy trình cần thiết để bảo mật phương tiện nhất thiết phải đặt ra các vấn đề về quyền riêng tư, do đó cần thiết phải lưu trữ dữ liệu được mã hóa, an toàn.

Đặt an ninh ở hàng đầu

Khi các phương tiện ngày càng được kết nối - và các tính năng tự hành ngày càng phổ biến - an ninh mạng có thể sẽ trở thành yếu tố quan trọng nhất đối với sự an toàn của phương tiện, một lĩnh vực phải được quản lý chặt chẽ.

Quy định của Liên hợp quốc (UNR 155) và ISO/SAE 21434 tạo ra cơ chế để kết hợp Hệ thống quản lý an ninh mạng (CSMS) cho vòng đời của một chiếc xe, bao gồm cả thiết kế và phát triển của nó, nhưng các công ty ô tô sẽ phải thực hiện các biện pháp an ninh hiệu quả nhất có thể theo các yêu cầu đó. Và cũng như đối với an ninh mạng trong bất kỳ lĩnh vực nào khác, quản lý rủi ro là chìa khóa quan trọng.

Trong số các lĩnh vực trọng tâm quan trọng, các công ty ô tô nên xây dựng các mô hình tiếp cận vào thiết kế của một chiếc xe ngay từ ban đầu. Các công ty cần khả năng quản lý mô hình chia sẻ chuyến đi, truy cập từ xa, truy cập bảo trì, v.v. bằng cách xác định các vai trò khác nhau tương tác với phương tiện.

Họ cũng phải triển khai kho lưu trữ có thể mở rộng để chứa tất cả thông tin nhận dạng liên quan đến một chiếc xe, cùng với lịch sử của các phương tiện liên quan và qua trình sử dụng. Điều này là cần thiết cho cả mục đích bảo mật và tuân thủ quy định.

Song song đó, họ sẽ cần cân bằng giữa việc chia sẻ thông tin với các biện pháp bảo vệ quyền riêng tư. Sẽ có những hệ sinh thái mà các công ty ô tô tương tác cùng - chẳng hạn như công ty cho thuê ô tô, nhà cung cấp bảo hiểm, chuỗi cung ứng hoặc công ty công nghệ - xem xét dữ liệu của một chiếc xe. Chúng ta cần xác định ngay những thông tin nào có thể được chia sẻ và nhận được sự đồng ý cần thiết từ các cá nhân để tuân thủ các quy định như GDPR và CCPA/CPRA. Sự phụ thuộc của ngành công nghiệp ô tô vào phần mềm và kết nối sẽ ngày càng trở rõ rệt hơn trong những năm tới. Xây dựng nền bảo mật hiệu quả cho tất cả các khía cạnh của phương tiện và hệ thống mới là điều cần thiết để đảm bảo sự thành công trong tương lai của ngành công nghiệp ô tô./.