Kibernetska varnost v avtomobilski industriji

Avtonomna vožnja, električni in povezani avtomobili v zadnjih letih dominirajo v segmentu razvoja avtomobilske industrije. Gre za inovacije, ki so nastale kot produkt digitalizacije obstoječih avtomobilskih sistemov. Veliko število različnih senzorjev, modulov in dodatna programska oprema skupaj tvorijo moderen informacijski sistem. Kompleksnost in hitrost sprememb je iz dneva v dan večja ter se bo v prihodnosti le še stopnjevala. Vsekakor živimo v trenutku, v katerem digitalizacija na krilih IoT, oblačnih storitev, mobilnih tehnologij, umetne inteligence, robotike in množice podatkov omogoča za zadovoljitev pričakovanj strank potrebno fleksibilnost in agilnost ter s tem diktira smer industrije in nenazadnje človeštva. Digitilizacija v avtomobilski industriji spreminja kontekst ustaljenih poslovnih tirnic in zagotavlja boljšo uporabniško izkušnjo končnim uporabnikom.

Pospešena digitalizacija pa ni nujno pokazatelj enako učinkovitega upravljanja informacijske varnosti, prej nasprotno. Proizvajalci se soočajo s povečanim številom povezanih naprav in digitalnih storitev tako znotraj kot zunaj „varnega“ okolja organizacije. Slednje pomeni, da se je površina kibernetskih groženj posledično povečala in razpršila. Navedeno predstavlja nove izzive, s katerimi se organizacije soočajo pri upravljanju strategije kibernetske varnosti.

Naslovnice časopisov zadnja leta polnijo varnostni strokovnjaki, ki uspešno vdirajo v prej omenjene avtomobilske sisteme. Posledično je UNECE (United Nations Economic Commission for Europe), ki je zadolžen tudi za harmonizacijo zakonodaje v avtomobilski industriji, definiral zahteve na področju kibernetske varnosti in nadgradnje programske opreme. Sprejeto regulativo UNECE WP.29 vsekakor pozdravljamo, saj določa ukrepe, ki morajo biti sprejeti na naslednjih področjih:

• upravljanje kibernetskih tveganj v avtomobilu,
• upravljanje in zmanjšanje tveganj v celotni verigi,
• zaznavanje in odzivanje na varnostne incidente ter
• zagotavljanje varnega mehanizma nalaganja popravkov.

S sprejetjem regulative se od proizvajalcev novih avtomobilov zahteva, da dokažejo zadovoljiv nivo upravljanja kibernetskih tveganj v vseh fazah tako razvoja kot proizvodnje in po-proizvodnih možnosti za odpravo odkritih varnostnih pomanjkljivosti. V prihodnosti se pričakuje, da bo kibernetska varnost avtomobila enako pomembna, kot je danes poraba goriva, kvaliteta izdelave ali udobje.

S tem namenom je bil vzpostavljen mednarodni standard IEC 62443, ki vključuje vse potrebne varnostne mehanizme v procesu razvoja in implementacije izdelkov. Standard določa varnostne zahteve, ki so tako tehnične (varnostni mehanizmi) kot organizacijske narave (človeški postopki). Rezultati testiranj v okviru certifikacije morajo jasno podati konkretne dokaze o obstoju varnostnih zmogljivosti, kot jih zahteva standard IEC 62443, ter dejansko implementacijo teh zmogljivosti.

Pri ogromnem številu dobaviteljev informacijske tehnologije ter zelo hitrem odkrivanju novih ranljivosti v programski in strojni opremi proizvajalci le stežka sami sledijo zgoraj omenjenim zahtevam. Zato je smiselno, da tovrstne naloge prepustijo strokovnjakom.

V SIQ Ljubljana imamo vzpostavljen laboratorij za preverjanje informacijskih tehnologij, ki s svojo ekipo izkušenih strokovnjakov izvaja celoten nabor najzahtevnejših varnostnih testov, vključno s pregledom po IEC 62443. V celotnem procesu doseganja skladnosti so lahko v pomoč naši strokovnjaki s potrebnimi tehničnimi znanji in znanji s področja revizij informacijskih sistemov. Strokovnost ekipe potrjujejo tudi številne reference iz gospodarstva ter ugledni mednarodni certifikati s področja informacijske varnosti.

Branko Miličević, SIQ Ljubljana