Шлюз безопасности для автономного транспорта

Беспилотные транспортные средства уже не кажутся нам чем-то невероятным. Порой, возвращаясь с дачи, я вижу, как вереница легковых беспилотников катит по М4, оттачивая свое мастерство. Да, за рулем все еще водитель, но он там скорее для страховки, так что появление настоящего беспилотного авто — это лишь вопрос времени. По прогнозам аналитиков, уже к 2035 году более четверти автомобилей на российских дорогах будут беспилотными, а к 2042 году более 80% всего автопарка будет управляться без водителя. Поэтому в России уже сейчас разрабатывается федеральный закон о высокоавтоматизированных транспортных средствах (ВАТС), который определит требования к эксплуатации, ответственности и мониторингу таких автомобилей.

Важным акцентом данного закона является безопасность, которая в этом контексте перестает быть просто инженерной задачей, а становится обязательным требованием для разных участников рынка. Для производителя это означает ответственность за поведение автомобиля на дороге и за выбор поставщиков. Для самих поставщиков — необходимость изначально закладывать механизмы защиты в архитектуру решений и гарантировать их достаточность. Для страховой компании — пересмотр самой модели рисков, включая не только аварии, но и возможные сбои и кибератаки. В итоге все они сходятся в одной точке: безопасность становится базовым свойством транспортного средства, а не дополнительной функцией.

Обеспечение безопасности автомобиля в современных условиях

Долгое время, когда речь шла о безопасности автомобиля, имелась в виду исключительно функциональная безопасность. То есть задача была в том, чтобы системы транспортного средства работали корректно, а риски, связанные с их потенциальными отказами, были бы полностью митигированы или снижены до приемлемого уровня. Эту задачу помогает решать стандарт ISO 26262 Road vehicles — Functional safety, который является базовым для автомобильной отрасли.

Но современный подключенный автомобиль является сложной киберфизической системой, хранящей и обрабатывающей большие объемы информации, в том числе и конфиденциальной. Поэтому у человечества появились новые требования к безопасности. Если проводить аналогию с пирамидой потребностей Маслоу, то современный автомобиль должен:

• удовлетворять потребность в «уважении» — то есть безопасно и надежно хранить данные о профиле пользователя (данные его аккаунта, физиологические параметры, платежные данные и так далее);
• удовлетворять познавательные потребности пользователя — иметь возможность безопасного выхода в глобальную сеть, передавать данные о состоянии систем автомобиля, напоминать о плановых или экстренных техосмотрах.

Все это приводит к тому, что автомобиль обрастает множеством интерфейсов (телематика, Bluetooth, Wi-Fi, сотовая связь, OTA-обновления, V2X), что создает возможности для удаленных атак. И тут на сцену выходит еще один стандарт, ISO/SAE 21434 Road vehicles — Cybersecurity engineering, который помогает нам решать задачу обеспечения кибербезопасности транспортного средства.

Как показывают исследования, количество рисков, связанных с нарушением кибербезопасности, к сожалению возрастает с каждым днем, а их влияние на функциональную безопасность порой может приводить к более опасным событиям, чем внутренний отказ системы. Для базового понимания этой проблематики достаточно начать задавать простые вопросы: что будет, если злоумышленник получит доступ к системе дистанционного управления беспилотным грузовиком? Или сможет перепрошить критичный блок в рамках несанкционированной диагностической сессии?

Одним из ключевых элементов для митигации таких сценариев становится шлюз безопасности (Security Gateway), который позволяет разделить архитектуру транспортного средства на разные по уровню критичности домены, обеспечивая функции безопасной маршрутизации, фильтрации и контроля трафика. Созданием такого программного решения занимается наша команда, разрабатывающая Kaspersky Automotive Secure Gateway на базе KasperskyOS.

Для чего нужен Kaspersky Automotive Secure Gateway

Основная цель Kaspersky Automotive Secure Gateway (KASG) — обеспечение безопасности CAN-домена транспортного средства, так как именно CAN-шина используется для передачи большого числа критичных управляющих команд. А это затрагивает почти 80% блоков внутри автомобиля, которые относятся к управлению двигателями, тормозами, кузовной электроникой и так далее. В связи с этим при разработке шлюза мы используем подход Safety‑Aware Cybersecurity — единую архитектуру, которая учитывает требования как функциональной, так и кибербезопасности.

Например, для снижения рисков, связанных с потерей CAN-сообщений, нарушением их порядка поступления или искажением, применяются классические механизмы End-to-End Protection (E2E). Однако изначально эти механизмы не предназначены для противодействия целенаправленным атакам. И если злоумышленник способен корректно сформировать кадр с допустимым форматом E2E, система может принять его как валидный.

Таким образом возникает новый аспект: важно не только убедиться в том, что сообщение доставлено без ошибок, но и в том, что оно действительно сформировано доверенным электронным блоком управления (ЭБУ) и не было изменено в процессе передачи. Это особенно актуально для передачи управляющих команд, например в тормозную систему автомобиля, или для реализации систем бесключевого доступа (NFC) в транспортное средство.

Для решения данной задачи в архитектуру автомобиля внедряются механизмы Secure Onboard Communication (SeсОC). Они обеспечивают проверку подлинности и целостности сообщений за счет использования криптографических методов и позволяют защищаться от подмены и повторного воспроизведения сообщений (replay-атаки). В KASG успешно реализован данный механизм, который помимо проверки сообщений выполняет важную функцию централизованного управления ключами. Это позволяет распределять и обновлять ключи шифрования из единой точки транспортного средства, что снижает стоимость и нагрузку на ЭБУ, участвующий в обмене данными с использованием SecOC.

IDS для автомобиля

Однако в сложных системах становится недостаточным применять механизмы защиты только на уровне отдельных сообщений или отдельных сегментов сети. Необходимо обеспечивать наблюдение и контроль на уровне всего транспортного средства, отслеживая аномалии поведения, нетипичные взаимодействия между доменами и попытки несанкционированного воздействия. В IT-системах такой класс решений называют «системами обнаружения вторжений» (Intrusion Detection Systems, IDS). Они успешно применяются и в автомобильной индустрии.

При этом важно понимать, что в современном автомобиле IDS — это не одна «волшебная» точка сбора и анализа данных: автомобилю нужна распределенная система мониторинга. Контроль осуществляется на разных уровнях архитектуры: внутри доменов, на уровне отдельных контроллеров и на границе сетей.

Одной из ключевых точек такого мониторинга становится шлюз безопасности, так как именно через него проходит междоменное взаимодействие и он дает возможность наблюдать за обменом данными между различными сегментами автомобильной сети. Его задача — выявить «отклонение от нормального поведения» и сформировать события безопасности.

Если говорить, например, о мониторинге CAN-доменов, реализованном в KASG, то IDS анализирует трафик по следующим признакам:

• соответствие параметров CAN-сообщений (CAN ID, DLC) их описанию в DBC-спецификации;
• частота и периодичность CAN-сообщений;
• допустимые диапазоны значений CAN-сигналов.

Но на практике становится очевидным важное ограничение: даже при наличии IDS внутри автомобиля для определения точных характеристик атаки необходимо больше контекста. А в условиях эксплуатации ВАТС, когда существует необходимость мониторинга на уровне всего автопарка, такой изолированный анализ становится в принципе недостаточным.

Подключение автомобиля к SIEM

Задачи мониторинга множества объектов, корреляции и анализа данных эффективно решаются во внешней инфраструктуре — в SIEM-системах (Security Information and Event Management), которые традиционно используются в корпоративных и промышленных центрах кибербезопасности. Так что логичным шагом является использование SIEM-системы на уровне всего автопарка, что позволят:

• собирать события безопасности от множества транспортных средств;
• коррелировать события во времени и по контексту;
• выявлять сложные и распределенные атаки;
• обеспечивать аудит и расследование инцидентов;
• реагировать на отдельные инциденты и управлять киберрисками на уровне всего автопарка.

При интеграции с внешними SIEM-системами необходимо решить ряд важных задач: обеспечить безопасное подключение, отладить процесс передачи событий безопасности, сформировать базовые правила их обработки и корреляции. Часть этих задач была решена на стороне шлюза безопасности KASG, часть — в рамках совместной проработки с командой внешней инфраструктуры.

Впереди еще много вопросов, которые предстоит решить. В рамках этой статьи мы рассмотрели лишь часть подходов, которые сегодня применяются в KASG для обеспечения безопасности транспортных средств. Но даже эта малая часть показывает, что безопасность автомобиля не достигается решением одной задачи или применением одного механизма. Для ее обеспечения нужна сложная, многослойная система, отвечающая требованиям как функциональной, так и кибербезопасности.