SecureTrends - ComputerTrends magazin 2024.06.06.

More documents

Recommendations

Info

MALLÁSZ JUDIT SECURETRENDS Egy hagyományos iparág útkeresése a kibertérben Az autónak – legyen szó autonóm járműről vagy sem – minden körülmények között önmagában biztonságosan kell működnie, ezért egyre nagyobb kapacitású számítógépeket és komplexebb szoftvereket helyeznek el a fedélzeten. A felhőalapú megoldások nem jelenthetnek alternatívát. Egyelőre nehéz megmondani, hogy a digitalizációban, az önvezetés, illetve a kiberbiztonság terén a nagy hagyományokkal rendelkező autógyártók vagy az IT világából érkezett techóriások járnak előrébb. A járművekben lévő belső hálózat alapkoncepciója az elmúlt évtizedekben gyakorlatilag nem változott, az autók – legyen szó hagyományos járműről vagy elektromos autóról – a belső kommunikáció szempontjából lényegében ma is az 1990-es években szabványosított technológiát használják. Hosszú ideig ezen a hálózaton csak a jármű eszközei kommunikáltak egymással, a külvilágtól teljesen elszigetelten. A mobileszközök elterjedésével és fejlődésével azonban elkezdtük okostelefonjainkat az autóhoz kötni, a járművekben is tartalmat fogyasztani, navigálni stb. Ezáltal a járművek belső hálózatai és fedélzeti rendszerei elérhetővé váltak a külvilág számára. A változás miatt felmerült a veszély, hogy külső támadók próbálnak meg behatolni az autók belső rendszerébe. Néhány kutató látványosan demonstrálta is ezt: egy autópályán száguldó jármű motorját a távolból leállították. A helyzet tehát gyökeresen megváltozott. Onnantól kezdve, hogy a számítógépek átvették a járművek vezérlését, még nagyobb veszélyben vagyunk. A probléma univerzális, függetlenül attól, hogy önvezetésről van szó, vagy sem. A BME CrySyS Lab munkatársainak bőven van tapasztalatuk a témában. Gazdag András tanársegédet kérdeztük. ComputerTrends: Van tudomásuk róla, hogy valaki ténylegesen bűncselekményt követett el a távolból egy vagy több jármű ellen? Gazdag András: Nagy kárt okozó bűncselekményről nem tudunk, olyanról viszont igen, hogy jó szándékú kutatók hibák sorozatát fedezték fel, amelyek komoly veszélyeket rejtettek magukban. A felfedezések hatására a gyártóknak milliószám kellett visszahívniuk járműveket, aminek természetesen súlyos anyagi következményei voltak. CT: Most, hogy egyre közelebb kerülünk az önvezető autók elterjedéséhez, változtak a biztonsági rendszerekre vonatkozó előírások? GA: Nem az önvezető autókhoz kötném a változást, hanem a járművekbe épített számítógépek elterjedéséhez, valamint a külső kommunikáció megjelenéséhez. Ezt felismerték az európai szabályozó hatóságok, és Magyarországon is megjelent az autóipari kiberbiztonságra vonatkozó ISO 21434 szabvány, sőt van ENSZszintű globális szabályozás is. Az autógyártók felelőssége, hogy megfeleljenek a követelményeknek, és biztosítsák a teljes ellátási láncuk kiberbiztonságát. Az előírások több lépésben lépnek életbe, például az EU-ban 2024 júliusától minden újonnan gyártott járműre kötelezőek. A lényeg, hogy csak az a jármű kaphat típusengedélyt, amely sikerrel esett át a kiberbiztonsági vizsgálaton. Megítélésem szerint az önvezetés nem sok új technikai kihívást jelent, hiszen annak számos eleme, például a sávtartó automatika vagy az adaptív tempomat, már a mai autókban is megtalálható. Egy támadó attól függetlenül át tudja venni ezek fölött az irányítást, vagy ugyanazt a problémát tudja okozni, hogy vezető ül a volánnál vagy autonóm járműről van szó. Az önvezetés szerintem elsősorban jogi problémákat vet fel. Komoly jogi kihívást jelent például a felelősség kérdése, ha egy balesetben önvezető autó is érintett. CT: Manapság az autók számos funkcióját számítógép, illetve az azon futó szoftver vezérli. Hogy történik a gyakorlatban a szoftverfrissítés? GA: A különböző korú és felszereltségű járművek esetén eltérő a válasz erre a kérdésre. Egy régebbi, mondjuk 10 évnél idősebb és alacsonyabb felszereltségű autónál, ha technikailag meg is oldható, általában csak elvétve vagy ritkán történik frissítés. Ennek elvégzése tipikusan szervizelés közben, szakember által valósítható csak meg. Az elmúlt 10 évben gyártott autókban viszont jellemzően már van wi-fi, így azon keresztül a jármű tud csatlakozni a gyártó szervereihez, és ha van új szoftververzió, azt mindenki magának letöltheti. Az új szabályozás ezen a téren is változást hoz: kötelezően előírja a frissítést, hiszen az időről időre felbukkanó szoftverhibákat ki kell tudni javítani. Az előírások az EU-ban 2024 júliusától minden újonnan gyártott járműre kötelezőek. 20 | ComputerTrends | 2024. június
SECURETRENDS CT: Van olyan tendencia a kockázatok csökkentésére, a szoftverhibák kiküszöbölésére, hogy a lehető legtöbb tudást kiveszik a jármű számítógépéből, és egy központi számítógépbe építik be? Így mindig a legfrissebb szoftververzióval lehetne dolgozni. GA: A gondolat felmerült, de szinte rögtön el is vetették, hiszen az autónak mindig, mindenütt működnie kell. Ott is, ahol nincs folyamatosan kapcsolatban egy központi rendszerrel. Ebben az esetben a felhőalapú megoldások egyszerűen nem alkalmazhatóak. Gondoljuk el, hogy valaki száguld az autópályán, és egyszer csak megáll az autó, mert éppen nem működik a kapcsolat, vagy nem elég gyors a kommunikáció. Az alapvető irány tehát az, hogy a járműnek mindenféle külső kapcsolat nélkül, önmagában kell működnie. A felhőből csak opcionális szolgáltatások, utólagos elemzések, különféle támogató funkciók vehetők igénybe. Tehát jellemzően egyre nagyobb kapacitású számítógépeket építenek be az autókba. Ezáltal helyben van az a számítási kapacitás, ami a jármű biztonságos működéséhez, így az önvezetéshez is szükséges. CT: Az autógyártók körében már elterjedt, hogy a jármű veszélyeztetettségének felmérésére kiberbiztonsági törésteszteket végeznek? GA: Ez nagyon aktuális téma, még felderítendő terület, ezért folytonos a változás, a fejlődés. Ha egy hónap múlva tenné fel ugyanezt a kérdést, valószínűleg mást válaszolnék, mint most. Induljunk ki abból, hogy az autóipar óriási hagyományokkal rendelkező világ, ahol nagy ereje van a szabályoknak való megfelelésnek. A helyzet nem egészen egyértelmű, de sokak értelmezése – és az én értelmezésem – szerint a szabály jelenleg nem írja elő kötelezően a behatolásvizsgálatokat. Valószínűleg eljutunk egyszer ahhoz a ponthoz, amikor erre szükség lesz, de jelenleg inkább különféle folyamatokat kell tudni tanúsítani és hitelesíteni. Az előírások például arra vonatkoznak, hogy mindenki definiálja saját magának a tesztelés menetét, majd igazolja, hogy azt valóban elvégezte. Mivel sok gyártó, illetve sokféle technológia van, nem lehet teljesen precízen technológiailag előírni a követelményeket úgy, hogy azok a személyautóktól kezdve, a kamionokon át, akár a vasútig működjenek. Ennek megfelelően nem beszélhetünk egységes, szabványosított kiberbiztonsági töréstesztekről sem. CT: Az autóipari piacon mely gyártók tekinthetők a digitalizációban élenjáróknak? Ezen a téren mennyire haladnak fej fej mellett a szereplők, vagy inkább széthúzódik a mezőny? GA: Sok szempontot kell mérlegelni, nehéz egyértelmű győztest hirdetni. Lassan tíz éve, hogy berobbantak az elektromos autók a piacra, és ezzel a hagyományos autóipari cégek mellett techóriások is beszálltak a versenybe. Ezek az új szereplők elsősorban informatikai vállalatok, és csak másodsorban autógyártók. Mindez korábban, például a nagy tradíciókkal rendelkező német autóiparban pont fordítva volt. Az új generáció képviselői más, az informatikai világból eredő céges kultúrát hoztak magukkal. Termékeiket nyilvánossá tették, kiberbiztonsági konferenciákon mutatták be, és meghirdették, hogy annak, akinek sikerül feltörnie a rendszert, jutalmat fizetnek. Nyíltan beszámoltak a kiberbiztonsági incidensekről, majd arról is, amikor kijavították a hibát, és ezáltal biztonságosabbá vált a rendszer. Ezzel ellentétben a hagyományos autóipari szereplők teljesen elzárkóztak az ilyesfajta kitárulkozás elől. Még csak nem is utaltak rá, hogy esetleg feltörték vagy feltörhetik járműveik számítógépes rendszerét. Az autóiparban tehát egyelőre nagy különbségek vannak a szereplők hozzáállása között, és kultúraváltásnak lehetünk tanúi. Ebben a helyzetben nehéz megmondani, hogy a digitalizáció terén mely szereplők vannak az élen, illetve kik vannak lemaradva. Az, hogy valaki titkolódzik, és nem kommunikálja eredményeit és problémáit, nem jelenti azt, hogy nem is csinál semmit. Lehet, hogy váratlanul egy remek, szinte tökéletes megoldással lép majd piacra. Elképzelhető, hogy az önvezető autók terén is meglepetésben lesz részünk. Egyes gyártók folyamatosan adják át a felhasználóknak eredményeiket, és az egyik hibát a másik után javítják ki, a nagy nyilvánosság szeme előtt. De lehet, hogy egy hagyományos, csendben dolgozó autógyártó egyszer csak az élre ugrik a versenyben. Nem merném tehát összehasonlítani az autóipar szereplőit egymással, nem tudnék győzteseket és lemaradókat hirdetni. CT: Az eddigi tapasztalatok alapján milyen motivációk állnak, állhatnak egy autó ellen irányuló kibertámadás mögött? Pénzt nyilván nem lehet így szerezni a tulajdonos bankszámlájáról. GA: Valószínűleg pont ez az oka, hogy nem beszélhetünk tömeges kibertámadásokról. Egy ügyes hekker persze meg tud állítani egy száguldó járművet, és ezzel akár tömegszerencsétlenséget is okozhat. De valóban. Miért tenne valaki ilyet? Legfeljebb azért, hogy merényletet kövessen el egy célzott személy, egy politikus vagy egy híres ember ellen. De ez szerencsére nem tömeges jelenség. Előrejelzésünk szerint az autóknál is a zsarolóvírusok terjednek majd el a legnagyobb mértékben. Az IT más területein is ez a kiberbűnözés egyik legjobban működő, legtöbb pénzt termelő területe. Azt nem tudom megjósolni, hogy mikor fut majd fel ez az „üzlet”, de előbb-utóbb várhatóan egyre gyakrabban fordul majd elő például az, hogy valaki reggel beül a kocsijába, és a következő szöveget látja az autó képernyőjén: Csak akkor indulok el, ha kifizeted a váltságdíjat. 2024. június | ComputerTrends | 21
Page 1 and 2: AZ INFORMATIKA MAGAZINJA 2024 • J
Page 3 and 4: Tartalom 8 4 Idén 15. alkalommal r
Page 5 and 6: Hidakat építünk a technológiai
Page 7 and 8: SECURETRENDS nológiákkal kapcsola
Page 9 and 10: SECURETRENDS A Check Point magyaror
Page 11 and 12: SECURETRENDS forrás: symantec-ente
Page 13 and 14: SECURETRENDS Ha a támadók napokat
Page 15 and 16: SECURETRENDS személyazonosság- é
Page 17 and 18: SECURETRENDS hosszadalmas feladat,
Page 19: Hogyan lesz üzleti előny a kiberb
Page 23 and 24: SECURETRENDS CT: Vannak jelentős k
Page 25 and 26: SECURETRENDS innovatív kiberbizton
Page 27 and 28: FEJLÉC 2024. június | ComputerTre
Page 30 and 31: Tartalom 8 CÍMLAPUNKON 5 TC2 - SAP
Page 32 and 33: SAP konverzió két lépésben az A
Page 34 and 35: 2024. október 9-10. Inárcs, Flow
Page 36 and 37: AKTUÁLIS szert alakít ki, a megl
Page 38 and 39: Csapatmunka és üzleti szemlélet
Page 40 and 41: TECH/AI IBM watsonx Orchestrate: ú
Page 42 and 43: TECH/AI folyó szöveget gyártson.
Page 44 and 45: TECH/AI donú, magáncélra is hasz
Page 46 and 47: TECH/AI ...és Ashesh Badani, term
Page 48 and 49: TECH/AI nagyobb átviteli sebesség
Page 50 and 51: ÜZLET Standard & Poor's Ratings Se
Page 52: PYTHON haladó Adatvizualizáció,

SecureTrends - ComputerTrends magazin 2024.06.06.

Create successful ePaper yourself

Delete template?

Save as template?