Если не принять меры, автомобили начнут угонять по Интернету
Автомобили обрастают все новыми цифровыми возможностями, и, если производители не обеспечат эффективное управление этими новшествами, может возникнуть целый ряд весьма серьезных угроз безопасности, полагает Дейв Миллер, директор по безопасности компании Covisint, являющейся оператором облачной платформы.
Проблема идентификации водителей будет приобретать все большую актуальность по мере того, как машины станут более тесно интегрированными с глобальными сетями, считают эксперты |
Автомобили обрастают все новыми цифровыми возможностями, и, если производители не обеспечат эффективное управление этими новшествами, может возникнуть целый ряд весьма серьезных угроз безопасности, полагает Дейв Миллер, директор по безопасности компании Covisint, являющейся оператором облачной платформы.
Миллер считает, что для мира «умных» автомобилей будут характерны пять основных проблем идентификации и безопасности, о которых следует знать. По его мнению, защититься от угроз помогут облачные сервисы. Учитывая, что Миллер говорит от лица своей компании, было бы заманчиво просто отмахнуться от его заявлений. Однако убежденность эксперта представляется небезосновательной, посудите сами.
Пять проблем автомобильной информационной безопасности
Одна из сложностей состоит в том, чтобы надежно определить владельца транспортного средства. «Технологии, базирующиеся на использовании паролей или других способах аутентификации, привяжут нас к нашим будущим автомобилям, чтобы только владелец мог управлять машиной и обслуживать ее», — полагает Миллер.
Для запуска машины может понадобиться двухфакторная аутентификация, например наличие при владельце его мобильного телефона, считает Миллер. Но если процесс аутентификации имеет изъяны, к автомобилю могут получить доступ преступники. Чтобы предотвратить это, по мнению Миллера, нужен строгий, стандартизованный и независимый (выполняемый вне самого автомобиля) процесс аттестации.
Вторая проблема — это смена владения. Например, когда владелец продает автомобиль, нужно, чтобы он больше не мог его удаленно запустить. «Если права на доступ не отняты у прежнего владельца, он по-прежнему может управлять работой машины», — уточняет Миллер.
Отсюда и заголовок статьи: всевозможные функции вроде дистанционного запуска автомобиля, «умной» парковки, систем предотвращения столкновений и т. п., появляющиеся в современных автомобилях, наводят на мысль о сценариях, в которых угонщик дистанционно перемещает вашу машину, даже не проникнув в нее физически.
Когда автомобиль продан и переданы права владения, то контроль над всеми операциями с машиной и точки доступа к ней должны немедленно и в полном объеме перейти от старого владельца к новому, подчеркивает Миллер.
Техническим решением проблемы, по его мнению, будет «единая, независимая посредническая система, которая проследит, чтобы у прежнего владельца были отняты привилегии управления и выданы новому». «Эту независимую систему необходимо подключить к государственным реестрам автовладельцев, чтобы при смене владения автоматически менялись и обладатели соответствующих цифровых активов», — продолжает он.
Еще одна проблема — нехватка сервисов двухфакторной аутентификации. Для доступа к авто не стоит применять только пароли, так как они ненадежны и подвержены взлому, полагает Миллер: «Пароли легко угадать, а компьютеры можно украсть или взломать».
Эту угрозу можно устранить с помощью расширенной двухфакторной аутентификации, считает он: «Двухфакторная аутентификация требует дополнительной подтверждающей информации».
Четвертая проблема — чрезмерное количество учетных записей. «Проблема множества идентификаторов начинает становиться угрожающей, — полагает Миллер. — Для всевозможных применений приходится заводить слишком много паролей. Поскольку люди обычно выбирают простые пароли или пользуются одними и теми же для хорошо и плохо защищенных сайтов, опасность взлома экспоненциально возрастает».
В такой ситуации предлагается пользоваться везде одним и тем же паролем, угадать который было бы практически невозможно. «Для этого понадобится облачный посреднический сервис идентификации, благодаря которому можно будет иметь всего один набор верительных данных, но при этом он будет надежно идентифицировать пользователя и позволит ему не беспокоиться о запоминании множества паролей», — полагает Миллер.
Наконец, пятая угроза исходит от того, что на сам автомобиль возлагается слишком много задач, связанных с его безопасностью.
«Если автомобилю доверить слишком большой объем принятия решений, то и бортовое программное обеспечение, и оборудование придется регулярно обновлять, чего люди делать не любят, — полагает Миллер. — Если же они не будут принимать необходимые меры, безопасность пострадает». И снова предлагаемое им решение — переместить функции безопасности и аутентификации в облако.
Реальность или фантазия?
По мнению Тило Кословски, аналитика Gartner, опасения Миллера вполне могут иметь под собой основания. Проблема идентификации водителей будет приобретать все большую актуальность по мере того, как машины станут более тесно интегрированными с глобальными сетями, считает эксперт.
«Потребители хотят, чтобы ‘цифровой стиль жизни’ распространялся и на автомобиль: им нужны информационно-развлекательные технологии и системы обеспечения безопасности езды, — полагает он. — Сегодня машины еще не настолько ‘подключены’, поэтому строгие меры безопасности не обязательны, но вскоре ситуация изменится».
Кословски предсказывает, что в 2016 году большинство потребителей в США и Западной Европе будут рассчитывать, что в новых автомобилях им предоставят доступ к онлайн-информации.
«С распространением систем связи между автомобилями и между автомобилями и инфраструктурой, а также с появлением автомашин-роботов станет более насущной потребность в защите данных, — продолжает аналитик. — Средства управления контентом и данными выводятся за пределы автомобиля, и главным элементом механизмов обеспечения безопасности и идентификации пользователей становятся облачные сервисы».