Testy penetracyjne w branży motoryzacyjnej
Branża motoryzacyjna jest przyzwyczajona do poddawania sprzętu wyczerpującym testom, aby upewnić się, że jest on w stanie wytrzymać trudne warunki i przypadki użycia. Na przykład w Aptiv używamy specjalistycznych pieców, aby sprawdzić, jak komponenty tolerują wysokie temperatury. Przeprowadzamy również testy wytrzymałościowe na zginanie, aby sprawdzić, jak kable do ładowania wytrzymują intensywne użytkowanie. Dokładnie to samo podejście stosujemy w cyberbezpieczeństwie i przeprowadzamy testy penetracyjne do szukania luk w naszych systemach.
Testowanie bezpieczeństwa w pojazdach wiąże się z pewnymi wyzwaniami, ponieważ są one mobilne i działają w oparciu o różne technologie bezprzewodowe, aby łączyć się z otaczającym je światem. Do przeprowadzania testów korzystamy z tzw. white-hat hacking, które jest powszechne w cyberbezpieczeństwie.
Na przykład możemy chcieć sprawdzić, jak dany pojazd reaguje na sfałszowany sygnał GPS. Moglibyśmy użyć w tym celu zwykłego generatora sygnału, ale bez odpowiednich środków ostrożności groziłoby to zakłóceniem działania jakichkolwiek urządzeń korzystających z GPS, które znajdowałyby się w pobliżu testowanego obiektu. Wyobraźmy sobie, że ciężarówki zostałyby przekierowane do niewłaściwych destynacji, telefony w przejeżdżających samochodach nagle poinformowałyby swoich właścicieli, że znajdują się na innym kontynencie lub systemy w przelatujących samolotach zostałyby chwilowo wprowadzone w błąd.
Aby przeprowadzić testy pojazdów bez wpływu na środowisko wokół naszego zakładu, firma Aptiv zainstalowała jedną z największych komercyjnych klatek Faradaya w Ameryce Północnej. Klatka Faradaya to pojemnik wykonany z metalowej siatki, który skutecznie blokuje promieniowanie elektromagnetyczne przed przedostaniem się do jej wnętrza lub wydostaniem się na zewnątrz. Całe nasze laboratorium do testowania cyberbezpieczeństwa o powierzchni 760 metrów kwadratowych w Troy w stanie Michigan jest umieszczone w takiej klatce. Do krawędzi drzwi laboratorium przymocowano metalowe pręty, które po zamknięciu skrzydła stykają się z ościeżnicami, na otworach wentylacyjnych zamontowano metalowe osłony przypominające strukturą plastry miodu, pod wykładzinami rozłożono arkusze metalu, a metalowa siatka tworzy namiot nad sufitem.
W takich warunkach możemy wjechać pojazdem do laboratorium przez drzwi garażowe i wysyłać do niego wszelkiego rodzaju sygnały – GPS, komórkowe i Wi-Fi, jak również te używane w aplikacjach V2X (vehicle-to-everything) – bez obawy, że wydostaną się z obiektu.
Nowe granice
Testowanie komunikacji bezprzewodowej to tylko jedno z zadań laboratorium. Mieści ono również szereg innych narzędzi, które pomagają nam poprawić cyberbezpieczeństwo naszych produktów. Jednym z nich jest aparat rentgenowski, który pozwala nam zajrzeć do mikroukładu i zidentyfikować fizyczne luki w zabezpieczeniach obejmujące np. narzędzia programistyczne, takie jak porty do debugowania, które nie powinny znajdować się w gotowych płytkach. Dysponujemy również laboratorium śledczym, w którym możemy badać sprzęt i oprogramowanie, jeśli coś pójdzie nie tak, aby ustalić przyczyny problemów. Tworząc oprogramowanie przyjmujemy postawę „spodziewaj się niespodziewanego”, dlatego mamy narzędzia, za pomocą których możemy wdrażać dodatkowe zabezpieczenia na różnych poziomach układu.
Aby w pełni wykorzystać potencjał tych narzędzi, zatrudniliśmy grupę ekspertów o bardzo szerokich kompetencjach. Specjalizacja w zakresie cyberbezpieczeństwa w branży motoryzacyjnej to dopiero rodzący się zawód, więc zatrudniliśmy specjalistów doświadczonych nie tylko w cyberbezpieczeństwie IT. Nasz zespół zasilają eksperci w rozwiązywaniu spraw karnych, aby pomóc w kryminalistyce oraz fizycy znający się na inżynierii wstecznej sprzętu. Zatrudniamy też specjalistów ds. analizy zagrożeń w celu monitorowania zagrożeń, które mogą mieć wpływ na nasz sprzęt, a także korzystamy z usług specjalistów ds. cyberbezpieczeństwa z branży finansowej, aby czerpać wiedzę z ich doświadczeń.
Cyberbezpieczeństwo w branży motoryzacyjnej znacznie różni się od cyberbezpieczeństwa IT i wymaga innego podejścia. W przypadku technologii motoryzacyjnej nie ma możliwości zaprzestania wsparcia np. po trzech latach. Producenci samochodów muszą myśleć w kategoriach wspierania systemów wbudowanych przez 10, a nawet 20 lat po zakończeniu produkcji, aby zapewnić ich ciągłe bezpieczeństwo. Mając to na uwadze, nasz zespół przez kolejne dziesięciolecia będzie kontynuował ścisłą współpracę z producentami OEM za pośrednictwem laboratoriów, takich jak nasz zakład w Troy.