لا تزال عملية الاختراق المذهلة، ولكن غير الضارة في نهاية المطاف، لتطبيق My Volkswagen من قبل باحث إلكتروني هندي في العام الماضي تثير تساؤلات جدية حول الأمن السيبراني لملايين المركبات المتصلة، مما يثير مطالبات بأساليب أكثر صرامة للتصميم الآمن.
جعلت العيوب الخطيرة في تطبيق My Volkswagen من السهل جدًا على الباحث، Vishal Bhaskar، الوصول إلى كميات كبيرة من البيانات الشخصية وبيانات السيارة.
كبير مسؤولي التكنولوجيا في هيئة الأجهزة.
لقد كان قادرًا على الوصول إلى المجموعة الصحيحة المكونة من أربعة أرقام من خلال الأتمتة. ثم اكتشف أسماء المستخدمين الداخلية وكلمات المرور والرموز المميزة وبيانات الاعتماد لمعالجات الدفع التابعة لجهات خارجية.
ومن نقطة نهاية أخرى، استخدم رقم تعريف السيارة (VIN) للوصول إلى التفاصيل الشخصية للعملاء وعرض تاريخ الخدمة لأي مركبة وشكاوى العملاء واستطلاعات الرضا.
وبحسب ما ورد تم تصحيح الثغرات الأمنية في مايو 2025، ولكن يبقى السؤال – ما هو عدد الثغرات المحتملة في أمان المركبات المتصلة؟
وإذا فشلت إحدى أكبر الشركات المصنعة للسيارات في العالم (مصنعي المعدات الأصلية) في اكتشاف فجوة صارخة، فكيف سيكون حال الآخرين؟
التهديدات المنتشرة لأمن المركبات المتصلة
لقد تم الإشارة إلى احتمالية القرصنة منذ أكثر من عشر سنوات مع نشر كتاب The Car Hacker's Handbook. ولكن منذ ذلك الحين، قامت الشركات المصنعة بتثبيت المزيد من الخدمات الآلية المرتبطة بالبيانات بشكل ثابت في سياراتها، وهي الآن تغامر بالذكاء الاصطناعي.
وتتوقع شركة Statista أنه بحلول عام 2030، ستتمتع 96% من جميع السيارات الجديدة في العالم بإمكانية الاتصال المدمجة. في العام الماضي، على سبيل المثال، دخلت شركة هيونداي في شراكة مع شركة سامسونج والتي من شأنها، من بين أمور أخرى، تمكين سائقي السيارات من استخدام هواتف جالاكسي الذكية للوصول إلى المعلومات حول سياراتهم – بما في ذلك نطاق البطارية والموقع.
يمكن أن يؤدي الدفع نحو مزيد من التكامل إلى روابط بين منصة إنترنت الأشياء من سامسونج ونظام المعلومات والترفيه الجديد من هيونداي.
ومع ذلك، مع تطور الوظائف الرقمية في المركبات، أصبحت الحوادث الأمنية البارزة أكثر تواتراً، مما يسلط الضوء على الحاجة الملحة لمعالجة الثغرات الأمنية قبل أن يجدها المجرمون. في شهر يناير من هذا العام، على سبيل المثال، تم الإبلاغ عن خطأ في بوابة الويب الخاصة بشركة سوبارو والذي مكّن أحد المتسللين من تشغيل السيارة وتتبع موقعها.
عندما يكون هناك الكثير من البيانات المتدفقة من وإلى المركبات، يمكن أن تتسبب الممارسات الأمنية السيئة بسهولة في اختراق البيانات دون أي تدخل من المتسللين، مما يؤدي إلى فرض عقوبات تنظيمية.
ومع ذلك، سيستهدف المجرمون الأنظمة الخلفية ببرامج الفدية، باستخدام أي نقطة نهاية أو ثغرة أمنية للدخول قبل إغلاق الأنظمة التي توفر الاتصال لمئات الآلاف من المركبات.
الطريق ذو الأولوية لمزيد من الأمن
ويتعين على مصنعي المعدات الأصلية أن يأخذوا زمام المبادرة ضد هذه التهديدات. من الآن فصاعدًا، يجب عليهم، جنبًا إلى جنب مع مورديهم من المستوى الأول، اعتماد نهج آمن حسب التصميم بدءًا من المصنع وحتى الكسارة، والتعاون مع المبتكرين في مجال أمان الأجهزة لضمان بقاء المركبات آمنة مع تطور التهديدات.
جزء من موقف التصميم الآمن هذا هو تشغيل نظام إدارة المفاتيح المملوك لشركة OEM (KMS). يؤدي التحكم المركزي في مفاتيح وسياسات التشفير عبر وحدات التحكم الإلكترونية (ECUs)، ووحدات التحكم في تكنولوجيا المعلومات (TCUs)، وأجهزة المورد إلى تقليل التجزئة وتحسين سرعة الإلغاء وإنتاج الأدلة التي يتوقعها المنظمون.
يعمل نظام إدارة المفاتيح (KMS) الذي تديره شركة OEM على تحويل السياسة إلى تطبيق، ويحكم الشهادات التي يعتمد عليها كل راديو وخدمة مركبة.
من أنظمة المعلومات والترفيه إلى أنظمة الملاحة ومكافحة السرقة، تعتمد المركبات على الاتصال اللاسلكي، حيث يمثل كل جهاز إرسال نقطة ضعف محتملة ما لم يستخدم مصنعو المعدات الأصلية نظام إدارة المفاتيح (KMS) و/أو التشغيل الآلي من نوع ما لإدارة هويات الآلة على نطاق واسع.
يجب أن يغطي الأمن النظام البيئي بأكمله للمركبة المتصلة من خلال التكامل الناجح لحلول الأمن السيبراني. يعد الدمج أمرًا مهمًا للأمن الشامل، عندما يكون هناك ما يصل إلى 70 بائعًا مختلفًا يغطون جميع جوانب أمان المركبات.
يجب أن تمتد حماية هذا النظام البيئي إلى السحابة وتشمل مركز عمليات أمان المركبات (VSOC) والاتصالات من المركبة إلى السحابة (V2C).
تطوير المعايير العالمية للأمن السيبراني للسيارات
كأولوية، يجب على مصنعي المعدات الأصلية أن يعملوا بجد للامتثال للوائح UNECE WP.29 الخاصة بالاتحاد الأوروبي لأنواع المركبات الجديدة. وقد أرسى هذا الأساس للأمن السيبراني لدورة حياة السيارة – بدءًا من التصميم والتطوير وحتى مرحلة ما بعد الإنتاج وإصدار التحديثات.
تحتاج شركات تصنيع المعدات الأصلية أيضًا إلى اعتماد معيار ISO21434 لأفضل الممارسات والذي يركز على حماية الأمن السيبراني للأنظمة الكهربائية والإلكترونية للمركبات ويتطلب تحليل التهديدات وإدارة المخاطر واتخاذ تدابير لتعزيز المرونة.
وفي الأسواق خارج أوروبا، يجب على مصنعي المعدات الأصلية أيضًا ضمان الامتثال لمعايير AIS 189 في الهند ومعايير GB/T في الصين. يعد AIS 189 أحد أشكال WP.29 الخاصة بالاتحاد الأوروبي، ويشمل موردي المستوى 1 والمستوى 2، بالإضافة إلى مصنعي المعدات الأصلية.
مع سعي الهيئات التنظيمية الهندية إلى التوافق مع ISO21434، أصبح اتجاه السفر واضحًا – يجب أن يكون الأمن السيبراني قابلاً للإثبات من خلال أنظمة إدارة الأمن السيبراني (CSMSs) وأنظمة إدارة تحديث البرامج (SUMSs).
تتضمن لوائح GB/T الصينية قواعد صارمة لخصوصية البيانات والإقامة مع التركيز على نمذجة التهديدات ومراقبة ما بعد السوق.
تعد أتمتة البنية التحتية للمفتاح العام، وإدارة دورة حياة الشهادات الرقمية التي تصادق الأجهزة على الشبكة، وبنيات الثقة المعدومة، كلها ميزات مهمة للنهج الصيني.
تأمين هويات آلة المركبة من خلال الأتمتة
أصبح من الضروري الآن اتباع نهج آلي متقدم للتعامل مع هذا السؤال الرئيسي المتعلق بأمان هوية الآلة حيث تتواصل المركبات مع العديد من الشبكات الخارجية التي تشمل أنظمة الدفع الآلية ونقاط اتصال Wi-Fi والبنية التحتية على جانب الطريق – وغيرها من المركبات.
تعد إدارة شهادة PKI لكل جهاز على متن الطائرة أمرًا بالغ الأهمية حتى تعرف الأنظمة المتصلة أنها آمنة ولضمان تشفير البيانات التي ترسلها.
يجب على مصنعي المعدات الأصلية إدارة هذه الهويات خلال تغييرات ملكية السيارة، وذلك باستخدام منصات تكنولوجيا إنترنت الأشياء من الجيل التالي لضمان تحديث برامج الأمان والمصادقة على الأجهزة باستمرار.
يتطلب حجم المهمة خلال دورة حياة السيارة التي تتراوح من 15 إلى 25 عامًا أتمتة متقدمة للاهتمام بتوفير الشهادات والتجديدات والإلغاءات. وهذا فعال بشكل خاص لحماية وحدات التحكم في الاتصالات عن بعد، مما يوفر مرساة ثقة موثوقة.
سيؤدي تكامل إدارة البنية التحتية للمفاتيح العامة (PKI) المتقدمة إلى تحقيق فوائد حقيقية
إذا أرادوا تأمين الملايين من المركبات المتصلة وتعظيم قيمة أساليبهم الحالية لأمن البنية التحتية للمفاتيح العامة (PKI)، فسوف يحتاج مصنعو المعدات الأصلية إلى هذه الأساليب الأكثر تقدمًا وتكاملاً. ويجب أن يكونوا قادرين على تبسيط إدارة الأمن لديهم، وزيادة الحماية مع تقليل النفقات العامة.
يتمتع نهج النظام الأساسي الذي يتضمن الأمان حسب التصميم بميزة مميزة تتمثل في تحقيق وقت أسرع لطرح المركبات أو التطبيقات الجديدة في السوق. فهو يسمح لمصنعي المعدات الأصلية بوضع سياسة بشأن الجوانب الحيوية للأمان مثل تكرار تدوير مفتاح الشهادة. ومن ثم يمكنهم الوثوق ببياناتهم وتطوير الخدمات بثقة أكبر.
إذا أراد مصنعو المعدات الأصلية زيادة فرصهم إلى أقصى حد في هذا المجال سريع التطور، فيجب عليهم معالجة تهديدات إنترنت الأشياء لأمن السيارات. إن تكامل الذكاء الاصطناعي مع إنترنت الأشياء يعيد تشكيل عالم السيارات، لكنه يتطلب أقصى قدر ممكن من الأمان الفعال، مما يتيح الأداء دون المساس بالحماية والامتثال.
لقد عرضنا أفضل برامج التشفير.
تم إنتاج هذه المقالة كجزء من قناة Expert Insights التابعة لـ TechRadarPro حيث نعرض أفضل وألمع العقول في صناعة التكنولوجيا اليوم. الآراء الواردة هنا هي آراء المؤلف وليست بالضرورة آراء TechRadarPro أو Future plc. إذا كنت مهتمًا بالمساهمة، اكتشف المزيد هنا: https://www.techradar.com/news/submit-your-story-to-techradar-pro
التعليقات