صنعت خودروسازی سه سال عقب‌تر از تهدیدهای سایبری امروز

در حالی‌که تولیدکنندگان خودرو با عجله خودروهای متصل به شبکه را برای رانندگان تشنه‌ای که به دنبال قابلیت‌های پارک خودکار خودرو و سامانه‌های جلوگیری از تصادف هستند روانه‌ی بازار می‌کنند، کارشناسان امنیتی از تولیدکنندگان این صنعت می‌خواهند که کمی ترمز کنند و دفاع سایبری را در خودروهای خود در اولویت قرار دهند.
در گزارشی که توسط IDC و شرکت امنیتی Veracode منتشر شد، محققان می‌گویند وقتی که به مسأله‌ی نفوذ کردن به خودروها می‌رسیم سه سال برای سازندگان خودرو زمان می‌برد تا بتوانند با این میزان از تهدیدات سایبری که امروز با آن‌ها مواجهند، مقابله کنند.
کریس ویسوپال، مدیر ارشد فن‌آوری و یکی از بنیان‌گذاران Veracode در مصاحبه‌ای می‌گوید: «امنیت سایبری برای سازندگان خودرو در درجه‌ی اول اهمیت است. اما یکی از نکات جالبی که ما در این تحقیق با آن مواجه شدیم این بود که سازندگان خودرو اعتراف می‌کردند که واقعاً سه سال طول می‌کشد تا خودروهای متصل به شبکه‌ای را که روانه‌ی ‌بازار کرده و خواهند کرد، امن کنند.»
این اظهارات از گزارشی با عنوان «مسئولیت امنیت خودروها و حریم خصوصی راننده در عصر خودروهای متصل به شبکه» ناشی می‌شود. برای انجام این تحقیق، نویسندگان از ۱۰۷۲ راننده در آلمان و انگلستان استفاده کردند و هفت شرکت خودروسازی از جمله، فیات، کرایسلر، دلفی، سیت و اسکانیا را مورد بررسی قرار دادند.
با توجه به نظرسنجی انجام‌شده، نیمی از راننده‌ها گفته‌اند که آن‌ها در مورد قابلیت‌های خودروهای هوشمند «بسیار نگران» هستند. این نگرانی‌ها از به دست گرفتن کنترل از راه دور عمل‌کردهای خودرو نظیر سامانه‌‌ی هدایت، ترمزها و عمل‌کردهای کنترل سرعت آن، توسط یک عامل سوم ناشی می‌شود.
علاوه بر این نگرانی‌ها از تأثیر نرم‌افزارهای شخص ثالث همچون CarPlay و Android Auto بر سامانه‌های اطلاعات و سرگرمی حکایت دارند. در این گزارش می‌خوانیم: «بر اساس صحبت‌هایی که با سازنده‌ها صورت گرفته است، اولویت این است که نرم‌افزارهایی را که عمل‌کردهای اساسی راننده را کنترل می‌کنند از سامانه‌های اطلاعات و سرگرمی، جداسازی شوند.»
ویسوپال می‌گوید:‌ «اگر شما دارای یک نرم‌افزار تلفن همراه هستید که می‌تواند درها را باز کند، سامانه‌‌ی تهویه را روشن کند و یا شاید برای عمل‌کرد بهتر به‌روزرسانی شود، اینجاست که خطر آشکار می‌شود.»
هفته‌ی گذشته محقق امنیتی تروی هانت یک رابط کاربری ناامن را کشف کرد که با نرم‌افزار گوشی همراه ضعیف طراحی‌شده‌ی خود، اجازه‌ی دسترسی به رایانه‌های ۲۰۰ هزار خودرو نیسان را می‌دهد.»
هانت می‌توانست از راه دور وضعیت باتری، اطلاعات جی‌پی‌اس و سامانه‌‌‌ی تهویه و گرم‌کننده‌های صندلی را در همه‌ی خودروهایی که دارای این نقص تأیید هویت نرم‌افزاری بودند، کنترل کند.
ویسوپال می‌گوید: «هنگامی که شما برنامه‌هایی را اجرا می‌کنید که به مشتریان اجازه می‌دهد تا نرم‌افزارهای مربوط به سامانه‌های اطلاعات و سرگرمی را برای کنترل محیط‌های مختلف بارگیری کنند، تنها خطر را افزایش داده‌اید. اگر مشکلی ایجاد شود، چه اتفاق وحشتناکی ممکن است رخ دهد.»
هشت و هفت دهم درصد از رانندگانی که در این نظرسنجی شرکت داشته‌اند می‌گوید که سازندگان خودرو باید برای امنیت خودروهای خود مسئول باشند، که شامل قابلیت اطمینان نرم‌افزارهای شخص ثالث، نرم‌افزارهای خود تولیدکنندگان و حفاظت آن‌ها از نفوذگران می‌شود.
ویسوپال می‌گوید: «ما به بسیاری از این پرسش‌ها در جهان گوشی‌های هوشمند با اندروید و iOS پاسخ داده‌ایم. اما وقتی که به جهان خودروها قدم می‌گذاریم مسأله خیلی حساس‌تر می‌شود.»
بر اساس این گزارش:‌ «تولیدکنندگان خودرو عمل‌گرا هستند و آنچه را که به حفاظت مشتریان مربوط باشند می‌پذیرند، آن‌ها دارای درجه‌ی بالایی از مسئولیت هستند، و اگر هم در مورد نقص اولیه و یا مشکل اصلی مسئولیت لازم را رعایت نکرده باشند، در هنگام اصلاح و حل مشکل این کار را انجام می‌دهند.»
اگرچه سازندگان خودرو می‌گویند که لازم است سامانه‌های کنترل خودرو از سامانه‌های اطلاعات و سرگرمی جدا باشند تا از دست‌کاری به وسیله‌ی نرم‌افزارهای شخص ثالث محافظت شوند.
علاوه بر این حریم خصوصی یک نگرانی مهم در میان رانندگان است، به طوری‌که ۴۶ درصد از رانندگان می‌گویند که آن‌ها نگران سیلی از نرم‌افزارهایی هستند که در داخل سامانه‌های رایانه‌ای خودروها سراریز شده، به جمع‌آوری ردپاهای جی‌پی‌اس پرداخته و اطلاعات مالی، پیام‌های کوتاه، رایانامه‌های مرتبط با کار و داده‌های تقویم را دریافت می‌کنند. بر اساس این گزارش دیدگاه‌های حفظ حریم خصوصی به وسیله‌ی سازندگان خودرو به طور کاملاً مناسبی شکل نگرفته است.
ویسوپال می‌گوید: «آنچه که جهان خودرو با آن رو به رو است، نمونه‌ی کوچکی از آنچه که در بخش‌های سلامت و پزشکی و خدمات اقتصادی رخ می‌دهد، است.» او می‌گوید که سازندگان خودرو برای ایجاد قواعد حریم خصوصی هنگامی که به طراحی امنیت خودرو و داده‌های آن می‌پردازند، مسئولیت دارند.
او می‌گوید که در جهانی که داده‌های جی‌پی‌اس شما دریافت می‌شود،‌ در هر مکانی که شما برای سوخت‌گیری توقف کنید، و هر جا بروید و هر چه که با سامانه‌ اطلاعات و سرگرمی خودرو انجام دهید، ضبط می‌شود و در نتیجه نگرانی‌هایی از این جهت ایجاد می‌شود که این داده‌ها به کجا ختم می‌شوند و چه کسانی قرار است از آن‌ها استفاده کند.
این بررسی این‌گونه نتیجه‌گیری می‌کند: «ما پیش‌بینی می‌کنیم که حدود یک تا سه سال طول بکشد تا سامانه‌های خودروهای متصل به شبکه با رسیدگی کامل به نگرانی‌های‌های امنیت سایبری تولید شوند.»
به گفته‌ی ویسوپال، اینجا در آمریکا، تعدادی از طرح‌های نظارتی وجود دارد که با رعایت آن‌ها این امیدواری وجود دارد که تولیدکنندگان به استانداردهای لازم پایبند بوده و از رانندگان محافظت شود. اما او می‌گوید که در حالی‌که تولیدکنندگان برای حفظ امنیت خودروهای متصل به شبکه در حال تلاش هستند، فعالیت مراجع قانونی نیز در این زمینه به خوبی دیده می‌شود.
یکی از قوانین پیشنهادی «قانون امنیت و حریم خصوصی در خودرو» (یا قانون SPY) نام دارد. این قانون اداره‌ی ملی امنیت ترافیک بزرگراه‌ها و کمیسیون تجارت فدرال را موظف می‌کند تا استانداردهای امنیت و حریم خصوصی را برای خودروهای متصل به شبکه ایجاد کنند و دست به ایجاد یک شورای مشاوره‌ی امنیت سایبری خودرو بزنند تا بتوانند بهترین شیوه را برای امنیت سایبری گسترش دهند.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.