Новини » Автоновини

Защита на данните в автомобила - продължение



Admin18.03.2024г 

Защита на данните в автомобила - продължение

Вашите данни са все по-важна част от живота и има причина защитата им да бъде приоритетна както за клиентите, така и за компаниите и институциите. Производителите на автомобили обичат да говорят колко безопасни са колите им, за всички нови въздушни възглавници и системи за избягване на катастрофи.

Време е те да започнат да говорят открито и за киберсигурността.

Как се защитават данните по въздуха?

Свързаната кола е точно като всяко друго устройство – прави го директно най-често се случва с вграден модем в автомобила. Повече от 91% от всички нови автомобили съдържат интегрирани модеми, 4G LTE и все повече 5G, което означава, че могат да качват и изтеглят директно към и от интернет с висока скорост. Тази свързаност обикновено се управлява чрез компонент, наречен телематичен контролен блок или TCU. Например, ако колата има 5G модул данните идват отвън, ролята на TCU е да декриптира и дешифрира.

Тези протоколи за криптиране са подобни на това, което се използва за всяка друга защитена онлайн транзакция, включително използването на криптиране с частен ключ или оторизирани токени. Всеки, който се опитва да научи тези данни, докато преминават през интернет, няма да види нищо друго освен безсмислени цифри. Може да заключим, че колата остава защитена, ако приемем, че системите в колата и сървърите, получаващи данните, остават некомпрометирани защото е много трудно, ако не и невъзможно трета страна да дешифрира тези цифри. Как обаче тези сървъри, разположени физически в самия автомобил остават защитени? Отново е сложно.

Как се защитават данните на сървърите на производителите?

След като данните бъдат върнати от облака и към сървърите на производителите на автомобили (които сами по себе си може всъщност да са „в облака“), вие навлизате в царството на сигурността на корпоративната мрежа. Тази индустрия за 25 милиарда долара, която има пръст във всяка глобална компания с всякакъв вид онлайн присъствие.

Има множество методологии, които се различават значително в зависимост от мрежовата инфраструктура, но три общи концепции се прилагат за почти всяко приложение за сигурност:

Поверителност: Това е общата идея, че данните трябва да се пазят защитени от неоторизирана употреба. Това се прилага според принципа на най-малката привилегия, където на всеки потребител се предоставя достъп само до данни, от които той абсолютно се нуждае. Така например система, която следи лизинговите плащания, не би трябвало да има достъп до GPS координатите на дадена кола – поне докато някой не е изостанал с плащанията си и дилърът не трябва да знае къде е колата.
Цялост: Това е концепцията за гарантиране, че даден набор от данни не е модифициран. Това може да означава например, предотвратяване на неоторизиран потребител от промяна на тези лизингови плащания до нула.
Наличност: Последната основна концепция на киберсигурността е просто идеята, че тези системи и потребители, които изискват достъп до данни, трябва да разполагат с тези данни. В крайна сметка системата за мрежова сигурност не е добра, ако предотвратява използването на мрежата.
Тези три обикновено се наричат „триадата на ЦРУ“*, но има друг термин, свързан с киберсигурността, който често се използва от компаниите, които се опитват да спечелят доверието на клиентите, и това е „анонимизирането“.

Какво означава „анонимизиране“ на данните?

Ще чуете, че „анонимизирането“ се използва като вид панацея за проблеми с поверителността на данните. Идеята е, че докато автомобилна компания или доставчик проследява много данни за вас, „вас“ всъщност е абстрактен термин, свързан с някакъв уникален идентификатор, който теоретично не може да бъде проследен обратно до действителния „вас“. В практиката обаче техниките за „анонимизиране“ често са грешни, позволявайки идентифицирането на реални потребители. „Триадата на ЦРУ“ е просто много отворена рамка за най-добри практики, но има някои строги насоки, когато става въпрос за налагане на начина, по който компаниите боравят с вашите данни. Особено в Европа.

През 2018 г. Европейският съюз въведе Общия регламент за защита на данните или GDPR. Това е широкообхватен набор от правила, които определят как компаниите трябва да защитават данните, как им е разрешено да ги използват и кога трябва да се разпореждат с тях. Благодарение на GDPR виждате тези досадни изскачащи прозорци с молба да приемете бисквитки сега. Всеки, който иска да прави бизнес в Европа, се нуждае от изрично разрешение да ви проследява, докато щракате през неговите страници. Много други държави по света също приеха GDPR, включително мощните автомобилни компании в Япония и Южна Корея. В Съединените щати подобно законодателство липсва, но американските компании, които правят бизнес в Европа естествено трябва да спазват същите мерки, за да защитят вашите данни. Така, че ако сте собственик на подобен автомобил – отново сте защитени.

Как обаче законодателната разлика от двете страни на Атлантика се отразява на редовния шофьор. Събраните данни, пребиваващи на американски сървъри, никога не трябва да бъдат изчиствани, а това излага потребители на риск. Причината е, че никога не може да има пълна защита и тя винаги може да бъде компрометирана. Що се отнася до защитата на цифровите системи на самите автомобили, все още няма нещо специално, но и това скоро ще се промени.

Ще има ли краш тестове за киберсигурност?

Кой проверява дали някоя от тези системи за сигурност наистина работи? Засега това до голяма степен е оставено на много изследователи по сигурността и хакери, като всички те преглеждат тези системи в търсене на недостатъци и слабости. Автомобилните хакове са все по-популярен аспект на големи конференции за киберсигурност по света.

Скоро обаче мерките за сигурност на производителите ще трябва да спазват официален стандарт. Това е предложено от Организацията на обединените нации в регулация 155. Наред с други неща се налага създаването на така наречената система за управление на киберсигурността или CSMS, която ще бъде одитирана от властите – конкретно транспортния орган на дадена държава. В България това е Министерството на транспорта, чрез Изпълнителна агенция „Автомобилна администрация“, но разбира се може да бъде и съвместно с Министерството на електронното управление.

Но по по-важното е, че глобалните стандарти за киберсигурност, приложими за всички нови автомобили, идват и то скоро – от юли 2024 г. Така, че производителите ще трябва да докажат, че тези мерки работят. За сравнение точно така както даден производител не може просто да постави пет въздушни възглавници в колата и да получи оценка пет звезди за безопасност на краш тестовете, така и тук трябва да бъде сигурно, че стандартите се спазват. Така ще се отговори на нуждите в автомобилната киберсигурност. Както имаме различни международни, сертифицирани краш тестове скоро ще имаме същото и при киберсигурността в колите.

Какво е бъдещето?

На този етап, въпреки че всеки голям автомобилен производител има определени ресурси, посветени на защитата на целостта на данните, събрани от техните автомобили, те рядко коментират темата. Обикновено информацията, която се дава е, че безопасността и поверителността на клиентите са приоритет, защитата се базира на стратегия за киберсигурност, а инвестициите в тази област не стихват, за да се предложи най-доброто на потребителите. Много други компании в автомобилния сектор също са лаконични по темата като обясняват, че събират малък обем данни, които не представляват лична информация, която допълнително се „анонимизира“.
 

Източник: СБА




Коментари

Добави коментар

Реклама