Поделиться
В России создается новая стратегия защиты транспорта от киберугроз. Существующие решения морально устарели
В России создадут стратегию по обеспечению кибербезопасности транспортных средств (ТС). Сегодняшние методы защиты устаревают и не подходят для автономных транспортных средств. Поэтому в России проведут анализ уязвимости ТС и определят методы киберзащиты.
Кибербезопасность ТС
Как выяснил CNews, Минпромторг взялся за обеспечение кибербезопасности транспортных средств. В мае 2025 г. министерство заказало анализ законодательства в сфере обеспечения ИБ и для транспортных средств (ТС) за 5 млн руб.
Планируется разработать национальную систему обеспечения кибербезопасности ТС и другой мобильной техники. Мероприятия включают в себя, в том числе, методы анализа защищенности программного обеспечения, электронных блоков управления транспортных средств и актуализацию нормативно-правовой базы России в части документов (стандартов, методических указаний, регламентов) и т.д.
Тендер в формате открытого конкурса был опубликован в мае 2025 г. Контракт должен быть исполнен до конца 2025 г.
Зачем это нужно
Интеллектуальные системы управления становятся все более интегрированными в транспортную инфраструктуру, и вопросы кибербезопасности приобретают первостепенное значение. «С увеличением количества подключенных транспортных средств на дорогах возрастает число кибератак, в связи с чем безопасность данных и их защита становится критически важной для обеспечения надежной и эффективной работы транспортных систем», — отмечается в тендерной документации.
Решение вопросов кибербезопасности, в том числе обеспечение надежности высокоскоростного обмена данными между ТС, влияет на темпы развития автономного и подключенного транспорта в России, а также обеспечивает технологическое лидерство электронной промышленности за счет развития производства автомобильной электроники, навигационного оборудования и систем, средств автоматизации и интеллектуального управления, электроники для систем безопасности и средств защиты информационных систем, подчеркивается в техзадании.
Наиболее уязвимым элементом любого современного ТС является ПО электронных блоков управления (ЭБУ), поэтому именно данный аспект должен являться основой деятельности по обеспечению кибербезопасности транспортных средств.
Исполнитель должен будет сформировать подходы, принципы и методики анализа защищенности программного обеспечения, ЭБУ транспортных средств, подготовить предложения по актуализации нормативно-правовой базы Российской Федерации и определить план по достижению этих целей.
В рамках работ будут определены технологи и продукты, затронутые в рамках инцидента кибербезопасности и выделены классы угроз на их основе, оценено их распространение в России, определена актуальность классов угроз кибербезопасности транспортных средств.
В том числе, будет проведен анализ уязвимостей и угроз кибербезопасности при определении местоположения с использованием глобальной навигационной спутниковой системы и проведен анализ уязвимостей и угроз канального уровня для бортовых коммуникационных сетей транспортных средств.
Какие угрозы есть
Сейчас встроенные механизмы защиты в автомобилях реализованы на достаточно высоком уровне: применяются технологии шифрования данных, аутентификация подключаемых устройств и защита CAN-шины, отмечает Павел Косяков, руководитель отдела киберустойчивости, «Софтлайн Решения» (ГК Softline).
«Однако часть этих решений уже морально устарела, — продолжает он. — Кроме того, доступность блоков-контроллеров в открытой продаже позволяет исследователям и злоумышленникам детально изучать их уязвимости». По данным Косякова, за последние годы зафиксировано несколько тысяч инцидентов, связанных с кибербезопасностью транспортных средств.
В большинстве случаев можно разделить инциденты на две группы: на ТС (пассажирские, грузовые и другие) и на инфраструктуру (пути сообщения, прилегающую инфраструктуру), поясняет Антон Лебезов, ведущий специалист по безопасной разработке NGR Softlab.
По словам руководителя департамента аудита, консалтинга и оценки соответствия компании «Кросс технолоджис» Антона Исупова, сейчас для защиты используются шифрование и инструменты мониторинга, а также регулярное обновление ПО и регулярные проверки на предмет уязвимостей.
«Тем не менее, появление такого класса инновационных решений, как автономные транспортные средства, внесло значительные изменения в существующую картину безопасности, — отмечает эксперт. — Такие решения расширяют возможности передвижения, но параллельно повышают количество возможных киберрисков. Проблема их кибербезопасности выходит за пределы классической парадигмы, так как не может быть решена традиционными способами из-за специфики используемых технологий, в первую очередь, такой как V2X (Vehicle-to-Everything), обеспечивающей взаимодействие между автомобилями, дорогами и пользователями».
Самыми заметными случаями кибератак на транспортные средства стали два инцидента: первый — взлом Tesla Model S, где атакующему удалось удаленно разблокировать двери и завести двигатель через Интернет, доказывая, что подобные атаки грозят не только виртуальным системам, но и физическому оборудованию.
Второй случай — взлом Jeep Cherokee, когда два исследователя компьютерной безопасности, сотрудник Twitter Чарли Миллер (Charlie Miller) и директор охранной фирмы IOActive Крис Валасек (Kris Walasec) продемонстрировали, что могут взять под контроль движущийся Jeep Cherokee через систему беспроводного подключения автомобиля к Интернету, в частности они сумели захватить контроль над климатической системой, аудиосистемой и функциями управления автомобилем. Именно последний эпизод привел к масштабному отзыву тысяч автомобилей марки Chrysler для срочного обновления программного обеспечения.
Все методы позволяют злоумышленникам нарушать нормальную работу автомобиля, выводить его из строя или создавать угрозы безопасности пассажиров и окружающих участников дорожного движения, заключил Исупов.
Кибербезопасность в России
Весной 2022 г. Президент России Владимир Путин подписал указ о дополнительных мерах по обеспечению информационной безопасности страны. Согласно указу, в каждому ведомстве, учреждении и системообразующих организациях должны появиться подразделения по ИТ-безопасности. Также, согласно указу, госорганы с 1 января 2025 г. не могут использовать средства защиты информации, произведенные в «недружественных» странах. На переход на «суверенные» программы-антивирусы дается два с половиной года.
В марте 2024 г. в распоряжении CNews оказалась обновленная редакция федерального проекта «Информационная безопасность» национальной программы «Цифровая экономика». Речь идет о заключительной редакции данного документа перед появлением нового национального проекта «Экономика данных».
Общие расходы по данному федпроекту за период 2019–2025 гг. составят 31,4 млрд руб. Из них большая часть — 30,5 млрд руб. — приходится на федеральный бюджет, 835 млн руб. — на внебюджетные источники. Предыдущая версия федпроекта «Информационная безопасность» предполагала расходы в размере 34,6 млрд руб, из которых на федеральный бюджет приходилось 33,5 млрд руб., внебюджетные источники — 1,1 млрд руб.
Короткая ссылка
