Moderní elektrická vozidla (EV) jsou mechatronické stroje, které kombinují elektrický pohon, elektronické ovládání, mechanické akční členy a rozsáhlé balíčky senzorů, aby vytvořily vozidlo, které je inteligentnější, efektivnější a bezpečnější než tradiční vozidla na fosilní paliva. A jak se vyvíjejí, pokládají základy skutečného autonomního provozu. Životní mízou těchto systémů je důvěryhodná komunikace dat mezi řidičem a vozidlem, vozidlem a jeho okolím a přenos dat mezi různými systémy samotného vozidla. Udržování této komunikace chráněné a zabezpečené je úlohou kybernetické bezpečnosti, což je praxe ochrany citlivých informací a kritických systémů před digitálními útoky. Kybernetická bezpečnost autonomních vozidel je dnes jedním z nejrychleji rostoucích a nejdůležitějších témat v automobilové sféře a stojí za podrobné prozkoumání.

New call-to-action

Proč je bezpečnost v autonomních vozidlech důležitá?

Ekosystémy autonomních elektrických vozidel fungují podobně jako organismus, přičemž různé systémy spolupracují podle pravidel a podmínek, které se postupem času vyvíjely a zdokonalovaly. Jde o efektivní systém, který je postaven na důvěryhodnosti dat, která v něm proudí. Ale stejně jako přírodní organismus jsou tyto systémy zranitelné vůči slabosti a vykořisťování. Tato rizika mohou mít mnoho podob, některá náhodná a náhodná a jiná zcela cílená a záměrná.

Aby byly ekosystémy vozidel zdravé a životaschopné, musí být chráněny. K jejich ochraně je třeba nejprve identifikovat rizika. Jako přirozený organismus, který si po nemoci vytváří protilátky a sílí, musí být mechatronické systémy autonomního EV napadeny, aby se naučily slabiny a vyvinuly účinné korekce a protiopatření. V ideálním případě tyto útoky plánují a provádějí etičtí hackeři, kteří pracují na izolovaných virtuálních duplikátech systému, kde mohou experimentovat a pokusit se prolomit systém, aniž by to negativně ovlivnilo cokoli v reálném světě, a poté sdílet to, co se naučili, aby problémy mohly být opraven. Ale příliš často jsou systémy narušeny špatnými herci, kteří se prostě nestarají o škody, které způsobí, když rozbijí věci, nebo se snaží úmyslně ublížit. A občas jsou systémy zranitelné vůči neúmyslným rizikům, jako jsou přírodní katastrofy, výpadky proudu a přerušení služeb. Bez ohledu na příčinu se jedná o všechna rizika, která má kybernetická bezpečnost zmírnit.

Autonomní vozidlo může být mnohem bezpečnější než tradiční auto, pokud systém funguje tak, jak má. Ale protože se velká část řidičského břemene přesouvá z lidí na vozidlo, existuje velké riziko poškození, pokud je systém kompromitován. Jedna slabina odhalená přírodní katastrofou nebo záměrně zneužitá může dát špatnému herci sílu proměnit jinak bezpečná autonomní auta v ozbrojené stroje teroru, nebo je jednoduše učinit nefunkčními, což způsobí velké finanční škody. To se nesmí připustit. Autonomní vozidla musí být funkčně bezpečná, aby se zabránilo jejich náhodnému nebo úmyslnému poškození. Dosáhnout toho nebude snadné, ale lze to udělat. Robustní a konzistentní postupy kybernetické bezpečnosti aplikované správně a pečlivě poskytují rámec pro identifikaci a řízení rizik krok za krokem. Minimalizujte rizika a je možné dosáhnout funkční bezpečnosti.

New call-to-action

Jaká jsou klíčová bezpečnostní hlediska pro samořídící auta?

Autonomní a propojená vozidla jsou produktem komplexního ekosystému s mnoha prvky. Při podrobném zkoumání je prvků téměř příliš mnoho, než aby je bylo možné spočítat. Každý z nich představuje potenciální slabinu a útok a každý s sebou přináší jedinečné výzvy a požadavky.

ČTĚTE VÍCE
Je Lexus LX úsporný?

Stanovení priorit a shodnosti

Některé aspekty oblasti kybernetické bezpečnosti zaznamenaly nedávné průlomy, inovace a další vítězství. Určitě jsme svědky většího důrazu na kybernetickou bezpečnost obecně. A jsme svědky toho, jak kybernetická bezpečnost dozrává do formální iniciativy v rámci organizací, které jsou nyní řízeny shora dolů, což tlačí kulturu kybernetické bezpečnosti tvrději. Před deseti lety se ani ti lepší vývojáři nestarali o kybernetickou bezpečnost. Teď nás to všechny zajímá, protože vidíme výsledky ne starat se o to.

Kromě toho mají nyní organizace k dispozici standardy, na které se mohou spolehnout a které dosáhly vyšší úrovně vyspělosti a širokého přijetí. Tyto normy mají globální rozsah a pocházejí z mnoha prověřených zdrojů, včetně Mezinárodní organizace pro normalizaci a Světového fóra EHK OSN pro harmonizaci předpisů o vozidlech (WP.29):

  • ISO/SAE 21434, „Silniční vozidla – inženýrství kybernetické bezpečnosti“ specifikuje technické požadavky na řízení rizik kybernetické bezpečnosti týkající se koncepce, vývoje produktů, výroby, provozu, údržby a vyřazování z provozu elektrických a elektronických (E/E) systémů v silničních vozidlech, včetně jejich součástí a rozhraní.
  • Předpisy OSN obsahují ustanovení pro vozidla, jejich systémy, části a vybavení související s bezpečnostními a environmentálními aspekty. Zahrnují požadavky na výkonnostně orientované testy a také administrativní postupy. konkrétně UN R155 a UN R156 jsou souborem předpisů, které se zabývají kybernetickou bezpečností vozidel. UN R155 se zabývá obecnými požadavky na kybernetickou bezpečnost vozidel, zatímco UN R156 se zabývá specifickými požadavky na těžká vozidla.
  • Globální technické předpisy OSN (GTR) obsahovat globálně harmonizované požadavky související s výkonem a zkušební postupy. Poskytují předvídatelný regulační rámec pro globální automobilový průmysl, spotřebitele a jejich sdružení.
  • Pravidla OSN se týkají pravidelných technických prohlídek vozidel v provozu. Smluvní strany recipročně uznávají (za určitých podmínek) mezinárodní inspekční certifikáty udělené podle pravidel OSN.

Bezpečnější internet věcí (IoT)

Mimo automobilovou sféru se IoT produkty a gadgety rozrostly v obrovský trh. Mnozí si vysloužili špatnou pověst, protože až donedávna neupřednostňovali kybernetickou bezpečnost a jejich produkty byly vystaveny jako zranitelné i na těch nejzákladnějších úrovních. Nyní však výrobci internetu věcí berou kybernetickou bezpečnost vážněji a tito výrobci začínají tomuto problému věnovat více času a peněz a snaží se najít ty správné lidi, kteří jim pomohou. Mnoho z těchto organizací nemá na výplatní listině lidi s aktuálními znalostmi kybernetické bezpečnosti, které potřebují. Takže oslovují společnosti jako LHP a pak se ptají: „Hej, mám tento zabudovaný gadget. Co pro mě znamená kybernetická bezpečnost?» Těch rozhovorů vidíme mnohem více. A začínáme být svědky toho, že výrobci přidělují správné množství času a zdrojů, aby zvýšili bezpečnost svých produktů a aby jejich společnost zůstala konkurenceschopná.

Načasování je zásadní pro efektivní implementaci kybernetické bezpečnosti

Úvahy o kybernetické bezpečnosti musí být vetkány do procesu vývoje produktu od začátku. Pokud tomu tak není, může to způsobit skutečné problémy. Pokud se například společnost obrátí na LHP s otázkami týkajícími se kybernetické bezpečnosti a my zjistíme, že existuje několik bezpečnostních požadavků, které musí začít implementovat do svého firmwaru, a již předtím, než s námi mluvila, stanovila svůj plán vývoje firmwaru, je to problém. Víme, že data bude muset být posunuta, kroužit zpět a dělat správnou práci v oblasti kybernetické bezpečnosti, která měla být provedena od začátku.

ČTĚTE VÍCE
Je Opel Crossland úsporný?

Abychom to napravili, začínáme nyní vidět tyto konverzace mnohem dříve ve vývojovém cyklu místo na konci. Velcí OEM nyní budují své schopnosti kybernetické bezpečnosti. Najímají kybernetické lidi jako blázen, kteří se snaží vybudovat své týmy a zabudovat tyto postupy do vyspělého procesu. Podobně jako se oblast funkční bezpečnosti musela vyvíjet a dozrávat, začínáme tedy chápat, že kybernetická bezpečnost je součástí jakéhokoli podnikání, které vyrábí nebo poskytuje služby propojené produkty.

New call-to-action

Kybernetická bezpečnost přichází do věku

Vývoj kybernetické bezpečnosti směrem k vyspělosti je velký problém. Přesouváme se ze světa, kde během vývoje produktu musí lidé z kybernetické bezpečnosti dokázat produktovým designérům, že je kybernetická bezpečnost potřebná, k převrácení stolu a přimět produktové designéry, aby dokázali lidem z kybernetické bezpečnosti, že ano. ne potřeboval. Vzhledem k tomu, že tyto znalosti a porozumění procházejí celou automobilovou sférou, jsou projektoví manažeři mnohem lépe informováni a není tak pravděpodobné, že automaticky odmítnou požadavek na zabezpečení.

To je výrazná změna k lepšímu. Ještě před několika lety, kdyby se projektový manažer nestaral o bezpečnost, jednoduše by odmítl všechny bezpečnostní požadavky. Projektový manažer by lidem z kybernetické bezpečnosti řekl, že musí velkým objemem dodatečné práce prokázat, že společnost musí všechny tyto práce v oblasti kybernetické bezpečnosti provést. Protože většina projektových manažerů nevěděla, jak to vývojáři dělají, a protože to neplánovali, neplánovali to.

Dnes jsme svědky většího přijímání důležitosti kybernetické bezpečnosti. Je integrován do celého procesu vývoje. To je vzrušující změna pro průmysl, protože v minulosti taková úroveň porozumění neexistovala. Tento posun je nedávný. V posledních zhruba 5–10 letech jsme byli svědky většího propojení s bezpečnostními pracovníky, více učení, většího porozumění, a tedy i větší spolupráce a podpory.

Přestože došlo k velkému pokroku, stále existují někteří projektoví manažeři, kteří se s vámi rádi hádají. Ale to je přijatelné. My jako bezpečnostní inženýři bychom měli poskytnout důkazy, které prokážou, že kybernetická bezpečnost je potřebná. Nechceme předepisovat hromady bezpečnostních požadavků, které nepřinášejí hodnotu společnosti nebo majetku, který se snažíte chránit. Když bezpečnostní technik někomu řekne, že je potřeba nějaký požadavek, musíme firmě poskytnout důkazy, které prokáží, že je potřeba.

Rozhovory se zlepšují. Nyní se nesnaží prosadit zabezpečení v organizaci jen bezpečnostní lidé, ale i jednotliví vývojáři. Když je informujeme o bezpečnostním požadavku, který je nezbytně nutný, dost často nyní souhlasí a přiznávají, že podobné rozhovory vedli ve svých vlastních kruzích. Vědí, že organizace musí přijít na to, jak to udělat, aby to fungovalo, ale nedokázali najít řešení. Takže o tom přemýšlí, ale netlačí na to.

V tuto chvíli je naším úkolem přijít a říct: “To se musí udělat.” A nakonec jsme je dokázali přimět, aby to vyřešili. Šlo jen o to, dát dohromady všechny správné lidi a popovídat si, abychom se ujistili, že můžeme tento požadavek vyřešit.

ČTĚTE VÍCE
Jaký druh freonu bere Cadillac XTS 2013?

Kybernetická bezpečnost je příliš důležitá na to, abychom ji nechali chřadnout. Pohyb musí být vždy vpřed. A produktivní spolupráce umožňuje pokrok. Pro obchod to dává smysl a to je vše, na co se ptáme.

Bezpečnost je u samořídících vozů zásadním problémem. Přečtěte si, jak lze nasadit strojové učení k ochraně autonomních aut před kybernetickými útoky a malwarem.

Bezpečnost je u samořídících vozů zásadním problémem. Přečtěte si, jak lze nasadit strojové učení k ochraně autonomních aut před kybernetickými útoky a malwarem.

Dino Causevic

Autor: Dino Causevic

Dino je softwarový vývojář a odborník na strojové učení. Má rozsáhlé znalosti z matematiky, neuronových sítí a hlubokého učení a pracoval jako bezpečnostní inženýr ve společnosti Atia Consulting a jako inženýr strojového učení ve společnosti Philips Domestic Appliances.

Dříve At

Autonomní vozidla využívají kombinaci špičkových senzorů a inovativních algoritmů k detekci a reakci na své okolí, včetně radaru, laserového světla/LIDAR, GPS, odometrie, řídicích systémů drive-by-wire a počítačového vidění. Jinými slovy, samořídící auto je ve své podstatě směsí síťově propojených komponentů, z nichž některé existují uvnitř vozu a jiné mimo něj. Tyto složité systémy poskytují samořiditelným vozům data a výpočetní výkon k přijímání autonomních rozhodnutí – ale také vytvářejí útočné vektory pro hackery, kteří se snaží využít tuto vznikající technologii.

Není podceněním tvrdit, že kybernetická bezpečnost vozidel je zásadní složkou pro zajištění úspěšného pronikání samořiditelných automobilů mezi spotřebitele. Dokonce i neautonomní vozidla se skládají ze 100 milionů nebo více řádků kódu, rozmístěných ve stovkách elektrických komponent, které komunikují prostřednictvím vnitřní sítě.

V tomto článku představujeme široký přehled toho, jak mohou výrobci automobilů využívat novou třídu algoritmických technik k zabezpečení samořídících vozů: strojové učení. Tyto systémy již začaly hrát roli v kybernetické bezpečnosti a byly vyvinuty algoritmy pro detekci síťových anomálií, včetně systémů detekce narušení, ochrany proti malwaru a analýzy chování. Systémy strojového učení hrají základní roli v tom, aby se autonomní řízení stalo realitou, ale hrají také roli při ochraně automobilů a jejich řidičů.

Proč jsou samořídící auta zranitelná

Aby autonomní vozy naplnily svůj potenciál, spoléhají na konektivitu a komplexní sadu senzorů poháněných sofistikovanými čipy a navrženými tak, aby zaručovaly povědomí o životním prostředí a situaci. Tato složitost přichází se zranitelnostmi. V klíčové studii z roku 2017 bezpečnostní výzkumníci Charlie Miller a Chris Valasek ukázali, jak lze Jeep Cherokee hacknout na dálku prostřednictvím jeho internetového připojení. Duo dokázalo ochromit auto na dálnici. V sérii experimentů prokázali, že hacker s kabelovým nebo internetovým přístupem k vozidlu – včetně oblíbených modelů jako Toyota Prius, Ford Escape a Jeep Cherokee – může deaktivovat nebo aktivovat cílené brzdy vozidla, otočit volantem, nebo v některých případech způsobit zrychlení.

Ve stejném roce se systém Bluelink společnosti Hyundai ukázal jako zranitelný vůči výzkumníkům, kteří se nabourali do uživatelských dat a byli schopni startovat auta na dálku. Nedávno Ford i VW odhalily zranitelnosti systému hackery, kteří obhajovali spotřebitele, kteří byli schopni vyřadit systémy kontroly trakce.

ČTĚTE VÍCE
Proč selhal Volkswagen Phaeton?

Útoky Millera a Valáska a dalších výzkumníků se spoléhaly na využívání základních automatických funkcí postižených vozidel. Miller a Valašek například použili systém pro předcházení kolizím od Toyoty, aby na Priusu zabrzdili, přiměli tempomat Jeepu ke zrychlení a přiměli automatický parkovací systém Jeepu, aby otočil volantem tím, že oklamal auto, aby si myslelo, že parkuje samo. i když to jelo 80 mil za hodinu.

Jinými slovy, rozsah těchto hacků byl omezen na několik funkcí řízených palubními počítači standardních vozů. Teoreticky by s autonomním autem bylo možné hacknout každý aspekt funkčnosti vozu, protože všechny řídicí systémy jsou spravovány počítačem.

Bezpečnostní firma Upstream ve své nejnovější výroční zprávě o automobilové počítačové kriminalitě uvedla, že počet útoků se za posledních 380 měsíců zvýšil o 12 %.

Potenciální útočné vektory

Jak by se hackeři zaměřili na autonomní vozidla? Škodlivé příkazy mohou pocházet z mnoha různých zdrojů. Příslušenství je hlavním zdrojem rizika: Port ODB-II, který je součástí všech moderních vozidel, používali bezpečnostní výzkumníci z Kalifornské univerzity v San Diegu k připojení zařízení připojeného k internetu, které umožňovalo vzdálenému útočníkovi přístup. ukazují na nejcitlivější systémy vozidla.

Toto riziko dnes roste. Zatímco k portům ODB-II mají spotřebitelé přístup jen zřídka, moderní vozidla se stále častěji dodávají s porty USB a technologiemi, jako je Bluetooth, které mají autům usnadnit komunikaci s příslušenstvím. To zvyšuje riziko, že by se malware mohl neúmyslně dostat do vozidla.

Samořídící auta mohla být také hacknuta z externích vektorů. Komunikace mezi vozidly je vyvíjející se paradigma, které výrobci automobilů začínají zavádět do dnešních vozidel a umožňují vozu komunikovat s ostatními na silnici a sdílet data o dopravním proudu, nehodách nebo špatném počasí. Tyto komunikační kanály jsou neocenitelným zdrojem dat pro naváděcí a řídicí systémy autonomních vozidel, ale učinily by je mnohem náchylnějšími k napadení nebo sledování.

Jak může strojové učení chránit samořídící auta

Stejně jako u všech aplikací strojového učení je prvním krokem k nasazení umělé inteligence pro boj s bezpečnostními riziky v autonomních vozidlech sběr a ukládání správných dat. Pokud je vnitřní síť automobilu monitorována pomocí platformy schopné ukládat a analyzovat protokoly, může samotné vozidlo detekovat škodlivou aktivitu a zabránit útokům – nebo přinejmenším upozornit řidiče a zmírnit jejich dopad.

Jedním z příkladů efektivní platformy schopné ukládat a analyzovat protokoly je Elasticsearch, analytický nástroj široce používaný v oblasti bezpečnosti. Jakmile je autonomní vozidlo nakonfigurováno pro shromažďování a ukládání uživatelských protokolů, do hry vstoupí strojové učení, které odhalí jakékoli anomálie. Strojové učení vytváří model detekce útoků schopný analyzovat signály a servisní data přijatá z vnějšího světa prostřednictvím internetového připojení nebo portů v autě. Tyto algoritmy lze použít k detekci malwarových aktivit, komunikačního chování nebo neobvyklých příkazů, jako je aktivace parkovacího režimu, když je vůz na dálnici.

Protože automobilová síť je proprietární systém, který dělá jednu věc, namísto standardní počítačové sítě, která přijímá rozmanité uživatelské vstupy, je digitální komunikace automobilu předvídatelnější než u typické počítačové sítě. Jako takové je možné využít taktiky, jako je strojové učení bez dozoru, při trénování algoritmu, aby bylo možné vhodným a přesným způsobem odlišit zlomyslné zneužití od běžného chování při řízení, což vozidlu umožní upozornit řidiče nebo zabránit útoku.

ČTĚTE VÍCE
Jaké jsou příznaky špatného vstřikovače paliva?

Případová studie: Strojové učení dokáže detekovat útoky a předcházet jim

Příkladem zařízení „učit se a předcházet“, které funguje v automobilovém kontextu, je řešení proti hackerům vyvinuté Millerem a Valáskem. Toto zařízení je systém detekce narušení pro vozidla s určitými automatickými funkcemi.

Zařízení je založeno na mikrokontroléru NXP pro všeobecné použití s ​​jednoduchou deskou, která se zapojuje do portu OBD-II. Funguje tak, že prvních pár minut jízdy funguje v režimu pozorování, což umožňuje zařízení zachytit typické vzory dat vozidla. Poté se přepne do detekčního režimu, aby sledoval, zda systém neobsahuje anomálie, jako je neobvyklý signál nebo příkaz. Pokud zaznamená „špatný“ signál, uvede vůz do „pomalého režimu“, v podstatě vypne jeho síť a deaktivuje některé funkce, jako je posilovač řízení a asistent jízdního pruhu, dokud se vozidlo nerestartuje.

Po zjištění anomálie mohou být spuštěny dvě různé akce: prevence a výstraha. Modul prevence se používá k tomu, aby řekl vozu, že má ignorovat nepoctivé příkazy, a lze jej také použít k blokování útočníků, kteří tyto příkazy odesílají. Výstražný modul se používá k odesílání (nebo zobrazování) upozornění v reálném čase, což umožňuje řidičům jednat nebo automaticky informovat úřady o útoku.

Obecně platí, že digitální komunikace automobilu je mnohem předvídatelnější než komunikace typické počítačové sítě, a to je štěstí, pokud jde o kybernetickou bezpečnost vozidel. Protože v automobilovém světě existuje menší rozptyl signálu, bývá zřejmé, když se děje něco neobvyklého.

Zabezpečení při autonomním řízení je životně důležité a strojové učení může pomoci

Hackování samořídících aut by mohlo mít mnohem závažnější následky než kompromitované e-maily nebo dokonce odcizená čísla kreditních karet. Autonomní auta zneužitá škodlivým kódem by mohla způsobit skutečnou fyzickou újmu a tyto zranitelnosti by teoreticky mohli zneužít nejen zloději aut, ale také nepoctivé národy a teroristé, kteří chtějí narušit infrastrukturu a způsobit chaos.

Prozkoumali jsme bezpečnostní výzvy, kterým dnes autonomní auta čelí, a nastínili jsme několik způsobů, jak by se s nimi průmysl mohl vypořádat. Jedním z dlouhodobých směrů, kterými se průmysl může vydat, aby zajistil maximální bezpečnost v autonomních vozidlech, je cloud computing. To by vyžadovalo ultra nízkou latenci, vysokou dostupnost a velkou šířku pásma, protože zpracování a analýza chování uvnitř i vně vozu je příliš mnoho na to, aby se přenechalo vestavěným počítačům.

Přechod na datové sítě 5G v kombinaci s flexibilitou cloudové orchestrace může poskytnout základ pro využití strojového učení k zabezpečení aut s vlastním řízením, které jim poskytne výpočetní výkon k detekci hrozeb a reakci během milisekund.

Není pochyb o tom, že se hackeři pokusí prolomit samořídící auta, ale současní odborníci na kybernetickou bezpečnost mají mnohem silnější taktiku, jak se proti nim bránit. Strojové učení se stalo základním nástrojem pro společnosti, které chtějí zabezpečit své zdroje. Totéž platí pro automobilový průmysl, nyní více než kdy jindy.