К сожалению, в 2023 году мы уже привыкли к новостям о новых кибератаках. Больницы, банки, розничные магазины, конкретные люди — уязвимы все.
Задача отрасли ИБ состоит в том, чтобы устранить проблему до её возникновения. Отличным примером этого может служить грядущее наступление электромобилей (EV), беспилотных автомобилей, зарядных станций EV и смежных облачных сервисов. Ясно, что за этим будущее. Но заранее понятно также то, что вся эта инфраструктура представляет собой жирную мишень для хакеров.
«В течение десятилетия во всём мире электромобили станут практически обязательным видом транспорта, — пишет Лила Ки (Lila Kee), генеральный директор по операциям GlobalSign в Северной и Южной Америке, а также директор по продуктам компании, в колонке журнала Forbes. — Если правительства стран мира не поменяют кардинально свою политику, то вскоре все мы будем ездить на EV».
Ожидается, что к 2030 году на американских дорогах будет более 26 млн электромобилей, а ведь Америка даже не самый большой рынок.
Для их питания построят десятки тысяч зарядных станций. В отчёте S&P Global Mobility за январь 2023 г. говорится, что к 2025 году в США необходимо увеличить зарядную инфраструктуру вчетверо, а к 2030 году — более чем в восемь раз.
У компании Tesla огромная сеть зарядных станций, но её недостаточно. Для удовлетворения спроса появятся новые предприятия. Но будут ли автомобили и зарядные станции безопасными? Этому вопросу сейчас уделяют всё больше внимания. По словам Сунила Чхая (Sunil Chhaya), старшего технического специалиста по транспорту из Electric Power Research Institute, «хакеры есть везде, а рост экосистемы EV увеличивают соблазн заработать деньги или получить иную выгоду». Атака 2022 года на российские зарядные станции и атака «белых шляп» на немецкие зарядные станции Tesla добавляют беспокойства по поводу безопасности этой инфраструктуры.
По мнению специалистов, для экосистемы зарядных станций следует увеличить безопасность транзакций между ключевыми компонентами, к которым относятся сами электромобили, EV-станции, электросети и сеть передачи данных. В данном случае следует применять технологии, удовлетворяющие следующим требованиям:
- Строгая аутентификация и шифрование между конечными точками. Для этого предназначены цифровые сертификаты как часть инфраструктуры открытых ключей (PKI). Развёртывание и управление сертификатами легко осуществить с помощью облачных PKI-решений, которые управляют всем циклом идентификации устройств от производства до их развёртывания в полевых условиях. Внедрение шифрования и надёжной идентификации является критически важным для защиты данных.
- Механизм авторизации для доступа только авторизованных пользователей и устройств. Существует целый ряд решений для идентификации, доступа и управления (IAM), которые гарантируют соблюдение политик в отношении прав доступа внутренних и внешних пользователей. Вероятно, системы IAM будут особенно полезны для зарядных станций, позволяя ограничить доступ к зарядной инфраструктуре только тем пользователям, которые имеют на это право.
- Ситуационная осведомлённость и защита периметра. Хакеры могут атаковать зарядные станции как виртуально, так и физически. Поэтому защита периметра — сочетание стратегий и устройств для создания непроницаемой системы — должна стать одним из приоритетов. Нужно ставить надёжные файрволы для защиты границы между частными сетями EV-заправок и сетью общего пользования, чтобы предотвратить проникновение вредоносных данных.
К счастью, резкого роста числа атак на существующие зарядные станции EV пока не наблюдается. Остаётся надеяться, что эта тенденция сохранится. Но специалистам-практикам очень важно отслеживать отраслевые рекомендации NIST NCCOE.
Атаки на беспилотники
Дополнительной мишенью для злоумышленников и вандалов стали беспилотные автомобили. В отсутствие живого водителя появились новые способы атак. Например, беспилотный автомобиль Waymo или Cruise можно вывести из строя, поставив дорожный конус ему на капот. Это выбивает лидар — и автомобиль не способен двигаться, поскольку машинное зрение не работает.
Возможно, «Яндекс» и другие беспилотные автомобили тоже подвержены этой уязвимости. Потерявшие управление машины могут блокировать трафик и создавать заторы на дорогах, создавая опасность для окружающих.
В социальных сетях некоторые активисты, называющие себя защитниками дорожного движения, призывают к установке конусов на беспилотные автомобили в знак протеста против коммерциализации транспорта. Так беспилотники «паркуют» в безопасных местах, где те «не угрожают другим участникам дорожного движения». Акты вандализма выдают за общественное благо.
Можно добавить, что генеративные модели AI в связи с хайпом 2023 года стали особой мишенью для хакеров. На крупнейшей хакерской конференции DEF CON этого года объявлен специальный конкурс Generative Red Team Challenge по поиску уязвимостей в существующих моделях (Hack The Future).
«Взлом будущего» — это способ наметить главные проблемы, от которых пострадает человечество в ближайшие десятилетия.
