Melindungi Mobil Listrik Dan Perangkat Lunak

“Putin adalah kepala iklan. Kemuliaan bagi Ukraina.”

Itulah yang dibaca oleh pengisi daya kendaraan listrik yang diretas antara lain di stasiun pengisian daya yang dinonaktifkan di dekat Moskow baru-baru ini. Dan sebanyak itu membawa senyum ke wajah banyak orang di seluruh dunia, itu menyoroti poin yang dibuat oleh beberapa peneliti dan pengembang yang berkumpul minggu lalu di eskar 2022 (sebuah konferensi yang berfokus pada perkembangan teknis yang mendalam dalam keamanan siber otomotif setiap tahun): peretasan otomotif sedang meningkat. Sebenarnya, per Laporan Otomotif Hulu, frekuensi serangan siber telah meningkat sebesar 225% dari 2018 hingga 2021 dengan 85% dilakukan dari jarak jauh dan 54.1% dari peretasan tahun 2021 adalah penyerang "Black Hat" (alias berbahaya).

Di tengah mendengarkan berbagai laporan dunia nyata pada konferensi ini, beberapa hal menjadi jelas: ada kabar baik dan kabar buruk berdasarkan fokus yang selalu dibutuhkan di area kritis ini.

Berita Buruk

Dalam istilah yang paling sederhana, berita buruknya adalah bahwa kemajuan teknologi hanya membuat kemungkinan peristiwa Hari Pertama menjadi lebih mungkin. “Kendaraan listrik menciptakan lebih banyak teknologi, yang berarti ada lebih banyak ancaman dan ancaman di permukaan,” kata Jay Johnson, Principal Research dari Sandia National Laboratories. “Sudah ada 46,500 pengisi daya yang tersedia pada tahun 2021, dan pada tahun 2030 permintaan pasar menunjukkan akan ada sekitar 600,000.” Johnson melanjutkan untuk menggambarkan empat antarmuka utama yang menarik dan subset awal kerentanan yang diidentifikasi bersama dengan rekomendasi, tetapi pesannya jelas: perlu ada "panggilan senjata" yang berkelanjutan. Itu, sarannya, adalah satu-satunya cara untuk menghindari hal-hal seperti serangan Denial of Service (DoS) di Moskow. “Para peneliti terus mengidentifikasi kerentanan baru,” kata Johnson, “dan kami benar-benar membutuhkan pendekatan komprehensif untuk berbagi informasi tentang anomali, kerentanan, dan strategi respons untuk menghindari serangan terkoordinasi dan meluas terhadap infrastruktur.”

Mobil listrik dan stasiun pengisian terkaitnya bukan satu-satunya teknologi dan ancaman baru. "Kendaraan yang ditentukan perangkat lunak" adalah platform arsitektur semi-baru (*bisa dibilang digunakan 15+ tahun yang lalu oleh General MotorsGM
dan OnStar) bahwa beberapa produsen sedang menuju untuk memerangi miliaran dolar terbuang sia-sia terus mengembangkan kembali setiap kendaraan. Struktur dasar melibatkan hosting sebagian besar otak kendaraan offboard, yang memungkinkan untuk digunakan kembali dan fleksibilitas dalam perangkat lunak tetapi juga menghadirkan ancaman baru. Per laporan Upstream yang sama, 40% dari serangan selama beberapa tahun terakhir menargetkan server back-end. “Jangan membodohi diri sendiri,” Juan Webb memperingatkan, Managing Director dari Kugler Maag Cie, “ada banyak tempat di seluruh rantai otomotif di mana serangan dapat terjadi mulai dari manufaktur hingga dealer hingga server offboard. Di mana pun tautan terlemah ada, itulah yang termurah untuk ditembus dengan implikasi keuangan terbesar, di situlah para peretas akan menyerang.”

Di dalamnya, bagian dari apa yang dibahas di escar adalah kabar buruk-kabar baik (tergantung perspektif Anda) dari Regulasi UNECE mulai berlaku minggu ini untuk semua jenis kendaraan baru: produsen harus menunjukkan Sistem Manajemen Keamanan Siber (CSMS) dan Sistem Manajemen Pembaruan Perangkat Lunak (SUMS) yang kuat untuk kendaraan yang akan disertifikasi untuk dijual di Eropa, Jepang, dan akhirnya Korea. “Mempersiapkan sertifikasi ini bukanlah upaya kecil,” kata Thomas Liedtke, spesialis keamanan siber yang juga dari Kugler Maag Cie.

Kabar Baik

Pertama dan terpenting, berita terbaik adalah bahwa perusahaan telah mendengar seruan dan minimal mulai menanamkan ketelitian yang diperlukan untuk memerangi musuh Topi Hitam yang disebutkan di atas. “Pada 2020-2022, kami melihat peningkatan korporasi yang ingin melakukan Threat Analysis and Risk Assessment atau TARAR
A,” kata Liedtke. “Sebagai bagian dari analisis tersebut, rekomendasinya adalah untuk fokus pada jenis serangan yang dikendalikan dari jarak jauh karena ini mengarah pada nilai risiko yang lebih tinggi.”

Dan semua analisis dan ketelitian ini pada awalnya tampaknya memiliki efek. Menurut laporan yang diberikan oleh Samantha (“Sam”) Isabelle Beaumont dari IOActive, hanya 12% dari kerentanan yang ditemukan dalam pengujian penetrasi tahun 2022 mereka yang dianggap “Dampak Kritis” versus 25% pada tahun 2016, dan hanya 1% yang “Kemungkinan Kritis” versus 7% di 2016. “Kami melihat strategi remediasi risiko saat ini mulai membuahkan hasil,” kata Beaumont. “Industri semakin baik dalam membangun lebih baik.”

Apakah itu berarti industri sudah selesai? Tentu tidak. “Semua ini adalah proses berkelanjutan untuk memperkuat desain terhadap serangan siber yang terus berkembang,” saran Johnson.

Sementara itu, saya akan merayakan kabar baik terakhir yang saya peroleh: para peretas Rusia sibuk meretas aset Rusia daripada umpan media sosial saya.