Pe măsură ce segmentul automobilelor electrice crește iar liniile dintre industria auto și industria tehnologică în general sunt din ce în ce mai estompate odată cu trecerea către IoT, riscurile de securitate cibernetică vor continua să fie în fruntea preocupărilor industriei auto, se arată în analiza ”Cybersecurity In Autos: A Growing Risk In The Evolution Of The Automotive Industry”,  publicată de FitchSolutions.

O luptă continuă

Industria auto se luptă să mențină un nivel ridicat de pregătire pentru securitate cibernetică, pe măsură ce evoluția și trecerea sa la vehiculele de generație următoare se accelerează.

În timp ce investițiile industriei auto în securitate cibernetică sunt ușor în urmă față de investițiile medii făcute din alte industrii, cum ar fi infrastructura, puterea și dispozitivele medicale, aceasta este completată de investiții de la companii de tehnologie mai mari, cum ar fi Nvidia, Amazon și Microsoft, ceea ce reduce securitatea cibernetică. riscurile cu care se confruntă autovehiculele.

Reglementările privind securitatea cibernetică vin, dar au nevoie de mai multă presiune din partea guvernelor și a producătorilor de automobile pentru a implementa reglementările actuale și viitoare.

Pe măsură ce liniile dintre industria auto și industria tehnologică în general sunt din ce în ce mai estompate odată cu trecerea către Internetul obiectelor (IoT), riscurile de securitate cibernetică vor continua să fie în prim-planul preocupărilor industriei auto. Acest lucru se datorează faptului că producătorii de automobile încorporează din ce în ce mai mult un nivel mai ridicat de conectivitate în vehiculele noi, pentru a facilita un grad mai mare de autonomie în vehiculele înseși și pentru a permite actualizările over-the-air (OTA).

În plus, de la începutul pandemiei de Covid-19, producătorii de automobile din întreaga lume au început rapid să-și schimbe operațiunile de vânzare cu amănuntul online (comerț electronic) pentru a continua să funcționeze în timpul blocajelor sau restricțiilor legate de Covid.

Pe partea de producție, producătorii de automobile au fost în fruntea lansării rețelelor locale 5G în fabrici pentru a crește nivelul de conectivitate pentru a facilita un grad mai mare de flexibilitate și automatizare.

În cele din urmă, producători de automobile precum Renault și General Motors Company (GM) încep, de asemenea, să ofere software de gestionare a flotei ca serviciu (SaaS). Aceasta înseamnă că industria auto în ansamblu va continua să vadă creșterea riscului din cauza atacurilor cibernetice, vizând atât proprietarii sau utilizatorii de vehicule, cât și fabricile.

A scăzut încrederea

Industria auto se luptă să mențină un nivel ridicat de pregătire pentru securitate cibernetică, pe măsură ce evoluția industriei și trecerea la vehiculele de generație următoare se accelerează. În timp ce în 2018, ca parte a „Megatrends Survey 2020”, 41,7% dintre respondenții din sectorul auto au considerat că industria era „bine pregătită” pentru a face față problemelor de securitate cibernetică, aceasta a scăzut la 31,9% în 2020, cu o majoritate de 56,4% simțindu-se mai puțin încrezători și exprimând că erau doar „oarecum pregătiți” să se ocupe de aceleași probleme.

De asemenea, observăm că ponderea respondenților care au spus că „nu sunt pregătiți” a crescut de la 8,3% în 2018 la 11,7% în 2020. Acest lucru se datorează probabil producătorilor de automobile care își dau seama că devin din ce în ce mai vulnerabili la atacurile cibernetice, odată cu nivelul de conectivitate în general. industria continuă să crească.

Acest punct a fost susținut și mai mult de pandemia de Covid-19, care a forțat companiile să-și schimbe rapid operațiunile de vânzare cu amănuntul online și a determinat lucrătorii să înceapă să lucreze de la distanță, toate acestea prezentând riscuri suplimentare de securitate cibernetică pentru producătorii de automobile.

Sectorul auto este expus unui risc ridicat de atacuri cibernetice, iar acest risc va crește doar pe măsură ce conectivitatea în sectorul transporturilor crește. Acestea includ afaceri axate pe consumatori, cum ar fi vehiculele autonome (AV), vehiculele conectate, aplicațiile pentru vehicule, dealerii auto, SaaS și comerțul electronic, precum și partea de producție a industriei, care include lanțul de aprovizionare mai larg.

O mulțime de evenimente recente au arătat cât de vulnerabilă este industria. Exemplele includ piratarea operațiunilor globale ale Honda Motors în iunie 2020, încălcarea datelor privind consumatorii a Grupului Volkswagen în iunie 2021 și atacul ransomware împotriva Kia Motors America în februarie 2021.

În plus, rețeaua de dealeri de automobile este, de asemenea, o vulnerabilitate pentru întreaga lume. industrie evidențiată de spargerea dealerilor Toyota și Lexus din America de Nord, precum și Australia, în martie 2019.

Am creat o matrice pentru a evidenția nivelul de risc de securitate cibernetică, punând cinci întrebări cheie:

Unde este sectorul în călătoria sa de transformare digitală?

Cât de expus este sectorul la vulnerabilități?

Cât de importante sunt datele pentru afacerile de zi cu zi?

Cât de mult investește sectorul în securitate cibernetică?

Există reglementări sectoriale?

 Transformarea digitală

Industria auto adaugă din ce în ce mai mult caracteristici de conectivitate la vehicule, iar această tendință s-a accelerat în ultimii ani. În plus, producătorii de automobile au crescut semnificativ conectivitatea sistemelor lor de infotainment (IVI) în vehicule, care permit un nivel mai mare de interconectivitate prin actualizări OTA, interacțiune cu telefonul mobil și, în unele cazuri, servicii tranzacționale în vehicul (cum ar fi plata combustibilului si efectuarea rezervarilor prin IVI).

Toate acestea înseamnă că industria auto crește continuu punctele potențiale de intrare pentru cibernetica atacuri, ceea ce înseamnă că nivelul de risc va continua să crească, în special odată cu creșterea ratei de adoptare a vehiculelor electrice (EV).

Acest lucru se datorează faptului că producătorii de automobile cresc nivelul de conectivitate oferit în vehiculele electrice pentru a motiva consumatorii de vehicule tradiționale cu motor cu combustie internă (ICE) să treacă la vehicule electrice.

În plus, fabricile de automobile folosesc tot mai mult rețele wireless precum WiFi sau rețele private 5G pentru a facilita un grad mai ridicat de automatizare, ceea ce deschid puncte suplimentare de vulnerabilitate pentru atacurile cibernetice. Prin urmare, mașinile sunt clasificate ca având un nivel „înalt” de risc pentru securitatea cibernetică, având în vedere ritmul rapid al transformării digitale din industrie.

Vulnerabilități: industria auto se confruntă cu vulnerabilități de atac cibernetic din mai multe puncte de acces, de la vehicule în sine, de la aplicațiile utilizate cu vehiculele și de infrastructura de sprijin sau care vizează direct fabricile de automobile. Prin urmare, am împărțit categoria de vulnerabilități în două grupuri, unul care se uită la vulnerabilitățile care vizează consumatorii și al doilea grup analizând riscurile cibernetice pentru fabrici.

Consumator:

Odată cu pătrunderea vehiculelor conectate, apar mai multe puncte de vulnerabilitate pentru consumatori și producătorii de echipamente originale (OEM). Estimăm că vor exista aproximativ 2,1 miliarde de vehicule pe drumuri la nivel global până la sfârșitul anului 2030 și estimăm că aproximativ o treime din toate vehiculele vor fi vehicule conectate până la sfârșitul perioadei noastre de prognoză, având în vedere ritmul în care are loc adoptarea vehiculelor electrice. (VE-urile sunt de obicei vehicule conectate) și introducerea de noi vehicule de pasageri și comerciale de înaltă tehnologie.

Aceasta înseamnă că până la sfârșitul anului 2030, aproximativ 700 de milioane de vehicule vor fi conectate, ceea ce evidențiază câte vulnerabilități potențiale la atacurile cibernetice vor exista. În plus, consumatorii care folosesc aplicații cu vehiculele lor sau comerțul electronic pentru a cumpăra vehicule se confruntă cu o vulnerabilitate suplimentară la atacurile cibernetice.

Infrastructura publică de încărcare a vehiculelor electrice este, de asemenea, din ce în ce mai expusă riscului de atacuri cibernetice care vizează vehicule, deoarece multe dintre punctele de încărcare utilizează un protocol de încărcare deschis învechit, care nu criptează datele sau comunicațiile. În plus, hackerii pot instala un virus în punctele de încărcare a vehiculelor electrice, care infectează mai multe vehicule atunci când sunt conectate pentru încărcare.

Credem că infrastructura de încărcare a vehiculelor electrice devine un risc mai mare nu doar pentru consumatori, ci și pentru rețelele naționale, deoarece mai multe țări caută să încorporeze vehiculele electrice în rețelele electrice.

Credem că numărul optim de încărcătoare EV per EV este de aproximativ 1 la 10, pe care multe țări vor căuta să-l vizeze. Pe baza prognozei noastre privind dimensiunea flotei globale de vehicule electrice care va ajunge la puțin sub 150 de milioane de unități până în 2030 (a se vedea graficul de mai jos), raportul optim de încărcare EV-EV se traduce într-o rețea de încărcare a vehiculelor electrice de aproximativ 15 milioane de puncte de încărcare și puncte suplimentare de vulnerabilitate, la nivel global până la sfârșitul anului 2030.

În cele din urmă, observăm că, pe măsură ce mai mulți OEM adoptă un sistem IVI standardizat, cum ar fi sistemul de operare Android Automotive de la Google, care a fost adoptat de Volvo, Ford Motor și Stellantis, printre alții, cu atât riscul de atacuri cibernetice va fi mai mare. . Acest lucru se datorează faptului că, cu cât sistemul IVI este mai comun, cu atât vor fi mai mulți dezvoltatori care au experiență care poate fi folosită în atacurile cibernetice.

Acest lucru va duce, de asemenea, la ca mai mulți criminali cibernetici să poată testa atacurile cibernetice asupra IVI-ului comun și chiar să-l folosească pentru a viza vehicule de la alți OEM care folosesc același IVI.

Fabrici de producție:

Una dintre Megatendințele până în 2050 pe care ne așteptăm să fie accelerată ca urmare a pandemiei de Covid-19 este automatizarea fabricilor de producție. Acest lucru se datorează faptului că fabricile extrem de automatizate au experimentat mai puține întreruperi operaționale ca urmare a restricțiilor Covid-19, în comparație cu fabricile care folosesc mai multă forță de muncă.

În sondajul nostru asupra jucătorilor din industrie care au întrebat respondenții care Megatendințe au considerat că au „impact ridicat”, unele dintre cele mai mari răspunsuri în termeni procentuali au fost pentru „Automatizare și robotică”, atât în următorii cinci ani, cât și în următorii 30 de ani (vezi graficul de mai jos).

Acest lucru este evidențiat de mișcarea Hyundai Motors din iunie 2021 de a dobândi o participație de control în Boston Dynamics (un dezvoltator de top de robotică), cu intenția de a continua dezvoltarea în comun a roboticii pentru automobile și alte industrii. Mai mult, în Q420, Volkswagen (VW) a anunțat că a comandat peste 2.200 de roboți noi pentru liniile sale de producție de vehicule electrice din Emden, Hanovra și Chattanooga.

Credem că această tendință va continua cu alți OEM care investesc și în automatizarea fabricilor, în special pentru producția de vehicule electrice, având în vedere că vehiculele electrice folosesc semnificativ mai puține piese în comparație cu ICE, ceea ce face automatizarea procesului mai ușoară. Acest lucru, împreună cu adoptarea rețelelor private 5G, va duce la un grad mai mare de riscuri cibernetice pentru producătorii de automobile.

Date:

 Sectorul auto se bazează din ce în ce mai mult pe datele utilizatorilor pentru a dezvolta produse mai orientate spre consumator și pentru a accelera dezvoltarea vehiculelor autonome. Aceasta înseamnă că datele devin rapid integrante în industrie și asta t amploarea datelor colectate se extinde pentru a include date despre utilizatori, informații private ale clienților și date terță parte din infrastructura conectată și informații de la dispozitivele conectate la vehicule.

Acest depozit de informații strâns de industria auto va atrage apoi, la rândul său, interesul hackerilor și al altor entități care doresc să comită spionaj corporativ. Prin urmare, am clasificat „Date” drept o vulnerabilitate cu risc ridicat pentru atacuri cibernetice.

Vedem că spionajul corporativ continuă să crească, având în vedere ritmul accelerat în care industria trece la tehnologii relativ noi, cum ar fi vehiculele electrice, vehiculele cu celule de combustibil și caracteristicile autonome.

În plus, subliniem că, deoarece sectorul producției de automobile folosește și date din operațiunile de vânzare cu amănuntul, tulburările politice, sănătatea furnizorilor și rețelele logistice pentru a îmbunătăți eficiența fabricilor și pentru a-i permite să adapteze producția și operațiunile la variațiile locale și de aprovizionare. lanțurile de medii de operare ale locațiilor care au crescut și mai mult vulnerabilitatea atacurilor cibernetice.

În plus, producătorii de automobile precum Audi (și grupul mai larg VW) folosesc inteligența artificială (AI) pentru a dezvolta un sistem de avertizare timpurie a lanțului de aprovizionare în urma întreruperilor lanțului de aprovizionare cauzate de pandemia Covid-19 de la începutul anului 2020.

Potrivit producătorului de automobile , sistemul alimentat cu inteligență artificială analizează știrile furnizorilor din surse media online disponibile public și rețelele sociale, ca parte a unui proiect pilot derulat în aproximativ 150 de țări din întreaga lume și în peste 50 de limbi.

Sistemul AI acordă o importanță deosebită criteriilor de sustenabilitate, cum ar fi poluarea mediului și încălcările drepturilor omului și va notifica producătorul de automobile ori de câte ori AI detectează un potențial risc pentru sustenabilitate.

Audi a mai declarat că furnizorii săi direcți vor fi, de asemenea, obligați să se asigure că și furnizorii lor respectă aceste cerințe stabilite în „Codul său de conduită pentru partenerii de afaceri”. Aceasta înseamnă că industria se îndreaptă din ce în ce mai mult către date de înaltă frecvență pentru a îmbunătăți eficacitatea operațiunilor sale și va crește și mai mult vulnerabilitatea industriei auto la atacurile cibernetice.

Investiții:

În ultimii cinci ani, industria auto a început să-și crească semnificativ investițiile în securitate cibernetică, în special prin parteneriate, și credem că această tendință va crește doar pe măsură ce vehiculele autonome se vor apropia de un produs viabil din punct de vedere comercial. Mai exact, subliniem că aproape fiecare producător de automobile la nivel global a investit în dezvoltarea de produse de securitate cibernetică în Israel.

De exemplu, Renault, Volvo și Hyundai au investit în Upstream Security, în timp ce SAIC, Porsche și Daimler au investit cu toții în GuardKnox (un furnizor de securitate cibernetică pentru vehicule conectate).

Armata israeliană și agențiile de informații au pregătit recruți pentru a aborda atacurile cibernetice de ceva timp, iar mulți dintre acești indivizi continuă să înființeze companii de software de securitate după ce părăsesc armata. În 2020, Upstream Security (o companie de detectare și răspuns în domeniul securității cibernetice auto bazată pe cloud) s-a alăturat Asociației Microsoft Intelligent Security pentru a dezvolta o mai bună apărare a securității cibernetice împotriva amenințărilor.

Mai mult, în ianuarie 2021, Automotive Security Research Group (ASRG) a anunțat un parteneriat cu Cybellum (un lider în evaluarea riscurilor în domeniul securității cibernetice auto) pentru a dezvolta o platformă deschisă de gestionare a vulnerabilităților pentru produsele auto.

Acest tip de parteneriate și, în unele cazuri, achiziții, au oferit industriei câteva resurse pentru a aborda amenințarea în creștere a securității cibernetice. De asemenea, menționăm că terțe părți din industria tehnologică, cum ar fi Nvidia, Blackberry și Amazon Web Services, se angajează, de asemenea, în dezvoltarea de soluții de securitate cibernetică pentru industria auto și vor juca un rol important în securizarea industriei în timpul transformării sale digitale.

Acest lucru reduce, de asemenea, riscul ușor și îi asigură o clasare „Moderată” în matricea noastră de risc pentru securitatea cibernetică.

Mărirea securității

Trecerea industriei către un grad mai ridicat de conectivitate crește, ceea ce înseamnă că OEM-urile nu au luxul timpului și vor trebui să continue să redirecționeze resurse semnificative către securitate cibernetică. Sondajul nostru Megatrends evidențiază, de asemenea, în ce investește cel mai mult sectorul auto în acest moment.

Pentru respondenții din piețele emergente (EM), au existat procente semnificativ mai mari pentru „impactul ridicat” al eficienței energetice (65,8%), al securității cibernetice (65,8%) și al automatizării (63,2%) asupra investițiilor.

În schimb, procentele au fost mai mici pentru respondenții pieței dezvoltate (DM), care au avut o împărțire mai strânsă între „impact mic” și „impact mare” asupra investițiilor în diferitele factori.

Credem că acest lucru s-ar putea datora faptului că companiile DM au deja implementată strategia lor de investiții pentru acești perturbatori, care s-ar alinia cu răspunsurile lor la nivelul de impact pe care se așteaptă să îl aibă acești perturbatori. A existat, de asemenea, un acord din partea grupurilor DM și EM privind doar „oarecum pregătit”. ed” pentru amenințările la adresa securității cibernetice, deși există divergențe în ceea ce privește investițiile efective în securitatea cibernetică – 65,8% dintre respondenții EM spunând că acest lucru a avut un „impact mare” asupra investiției lor actuale, comparativ cu 41,1% dintre respondenții DM.

Credem că acest lucru reflectă în plus diferitele etape de progres odată cu trecerea către tehnologia conectată, atât mașini, cât și fabrici, fiind mai rapide în DM-uri și, prin urmare, au deja investiția în loc. În general, investițiile industriei auto în securitate cibernetică sunt ușor în urmă față de investiția medie din alte industrii, cum ar fi infrastructura, puterea și dispozitivele medicale (a se vedea graficul de mai jos); cu toate acestea, aceasta este completată de investiții de la companii de tehnologie mai mari, cum ar fi Nvidia, Amazon și Microsoft.

Reglementare:

În general, nu a existat un set armonizat de reglementări de securitate cibernetică pentru sectorul auto. Cu toate acestea, în iunie 2020, Comisia Economică pentru Europa a Națiunilor Unite (UNECE) a aprobat și a publicat Propunerea sa pentru un nou regulament al ONU privind dispozițiile uniforme privind omologarea vehiculelor în ceea ce privește securitatea cibernetică și sistemele de management al securității cibernetice cunoscute și sub denumirea de Regulamentul UNECE WP29 privind securitatea cibernetică a automobilelor.

Această reglementare de anvergură a redus riscul atacurilor cibernetice, deoarece va determina producătorii de automobile să pună un accent mai mare pe securitatea cibernetică. Regulamentul WP29 cere ca măsurile să fie implementate în patru discipline distincte și:

Gestionați riscurile cibernetice ale vehiculelor;

Securizarea vehiculelor prin proiectare pentru a reduce riscurile de-a lungul lanțului valoric;

Detectați și răspundeți la incidentele de securitate din flota de vehicule; și

Furnizați actualizări software sigure și securizate și asigurați-vă că siguranța vehiculului nu este compromisă, introducând o bază legală pentru actualizările OTA pentru software-ul de la bordul vehiculului.

Regulamentul UNECE WP29 privind securitatea cibernetică a automobilelor a intrat în vigoare în ianuarie 2021 și se aplică celor 54 de părți contractante (excluzând SUA, Canada și China). Acestea fiind spuse, acest regulament rămâne flexibil pentru ca producătorii să determine cum vor îndeplini cerințele regulamentului.

Între timp, Administrația Cyberspace din China (CAC) și-a publicat proiectul de regulamente privind gestionarea securității datelor auto. Proiectele de regulamente urmăresc să consolideze protecția informațiilor personale și a datelor importante în activitățile legate de autovehicule, precum și să protejeze securitatea națională și interesul public. Proiectul de regulament se aplică întregului ciclu de viață al vehiculelor, inclusiv proiectarea, producția, vânzările, operarea, întreținerea și gestionarea vehiculelor în China. Proiectul de regulament include cerințe cheie precum:

Atunci când manipulează Informațiile personale, Operatorii trebuie să informeze proprietarii sau utilizatorii de vehicule cu privire la drepturile lor și tipul de date colectate.

Atunci când colectează informații personale, operatorii trebuie să obțină consimțământul persoanei ale cărei informații personale sunt colectate, cu excepția cazului în care legile și reglementările nu necesită consimțământ.

Datele biometrice, cum ar fi amprentele digitale, amprentele vocale, fața, ritmul cardiac al șoferilor pot fi colectate doar pentru confortul utilizatorilor de mașini și pentru a crește securitatea electronică a vehiculului și a sistemelor de informații.

Deși există reglementări privind securitatea cibernetică în curs de desfășurare în întreaga lume, acestea vor avea nevoie de timp pentru a intra în vigoare, având în vedere că Regulamentul UNECE WP29 privind securitatea cibernetică a automobilelor nu va fi încă obligatoriu și ritmul de implementare rămâne la latitudinea producătorilor auto.

Cu toate acestea, acest lucru va deveni probabil mai obligatoriu, având în vedere vulnerabilitatea cibernetică în creștere din industrie, ceea ce explică ratingul nostru de risc de securitate cibernetică „moderat” pentru reglementările din matricea noastră.