Story

Automatisoitua ajoneuvoa uhkaavat tietoturvariskit – Löytyykö ratkaisun avain standardoinnista?

Autojen pitkä elinkaari ja laitteiden siirtyminen entistä laajemmin pilveen asettavat valtavan turvallisuushaasteen autoteollisuudelle. Auto kytkeytyy tulevaisuudessa yhä enemmän toisiin autoihin ja ympäristöönsä. Autoista lähtevää tietoa voivat hyödyntää kaikki, joilla on käytössään teknologiaa tietojen lukemiseen. Hiuksia nostattavimmissa skenaarioissa haavoittuvuudet tietoturvassa voivat avata rikolliselle mahdollisuuden muun muassa auton sijainnin paikantamiseen, ajojärjestelmiin murtautumiseen, lukituksen avaamiseen ja moottorin sammuttamiseen. Tietoturvariskit voivat siis pahimmillaan olla hengenvaarallisia.

Turvallisuusuhkiin on varauduttava jopa 15 vuoden aikajänteellä.  Autojen hakkerointi pitää pystyä estämään jo tänään. Lisäksi tulevina vuosina on varauduttava kvanttitietokoneiden läpimurtoon, joka tulee mullistamaan koko tietoturvan kenttää. Onkin selvää, että tietoturva kaipaa pikaisesti lisää muskeleita ja yhteistyötä autoteollisuuden eri toimijoiden välillä.

Kansainvälinen autoteollisuus arvostaa Unikien tietoturvaosaamista

Unikie kutsuttiin 26. toukokuuta ajoneuvojen standardoitua arkkitehtuuria kehittävän kansainvälisen AUTOSAR-yhteenliittymän toimintaan (Unikie Oy, Lehdistötiedote 9.6.2021). Perusteena valinnallemme oli vahva asiantuntijuutemme automaattisesti ohjattavien laitteiden ja prosessiohjauksen tietoturvassa. Automatisointi vaatii turvallisen dataliikenteen varmistamista, joka on Unikien teknologiakehityksen perusta.

AUTOSAR on ajoneuvojen valmistajien, toimittajien, palveluntarjoajien, autoelektroniikan ja ohjelmistoteollisuuden yritysten maailmanlaajuinen yhteenliittymä, joka kehittää ohjelmistostandardia älykkääseen liikkuvuuteen ja autokomponenttien ja ulkoisten pilviympäristöjen väliseen viestintään. Autonvalmistajien tahtotilana on muun muassa standardoida autojen CAN-väylän ohjaussanomia. Sama komponentti sopisi helposti ja kustannustehokkaasti kaikkiin ajoneuvoihin, joissa on hyödynnetty standardoitua ohjelmisto- ja laitteistokehystä.

CAN-väylä (Controller Area Network) on ajoneuvoissa käytettävä automaatioväylä niiden elektroniikan ja lisävarusteiden hallitsemiseksi. Esimerkiksi kojelaudan Käynnistä-painikkeen painaminen lähettää useita CAN-väyläviestejä erillisiin auton osiin auton starttaamisen yhteydessä. CAN-väylän viestit voivat muun muassa avata auton lukot, käynnistää hätäjarrutuksen tai jopa ohjata autoa pysäköintiavustajana.

 Standardointiin liittyy mahdollisuuksia – ja myös tietoturvakysymyksiä

Standardoinnin yhteydessä yksityiskohdista, kuten miten autoa väyläprotokollilla hallitaan, tulee julkista tietoa. CAN-väylän ohjaussanomien standardointi tarkoittaa siis myös lisääntyvää tietoturvariskiä. Auton CAN-väylään on mahdollista päästä käsiksi useista sisäisistä ja ulkoisista lähteistä esimerkiksi M2M-, V2x ja BT-järjestelmien, Wifin tai jopa USB-liittimen kautta. Ilman asianmukaisia turvatoimenpiteitä koko auto voidaan kaapata. Tietoturvan varmistamiseksi CAN-väylän sisäiset ja ulkoiset viestit tuleekin allekirjoittaa tai salata.

Mallia autoteollisuuden ulkopuolelta

Toimivia ratkaisuja voidaan hakea myös autoteollisuuden ulkopuolelta. Matkaviestimet ja maksuvälineet tarjoavat runsaasti hyviä esimerkkejä turvallisesta viestinnästä, latauksista ja allekirjoituksista. Alalla on käytössä ITU-T X.509-standardin mukainen Julkisen avaimen infrastruktuuri (PKI), joka takaa turvallisen tiedonvaihdon silloin kun matkapuhelimen käyttäjä esimerkiksi lataa käyttöjärjestelmäpäivityksen tai tekee ostoksia sovelluskaupassa.

Hyödyntämällä parhaat palat tästä mallista turvalliset allekirjoitukset ja varmenteet olisi mahdollista toteuttaa myös autoteollisuuden monitoimittajaympäristössä. On mielenkiintoista nähdä, ottaako ajoneuvoteollisuus standardoidun turvaratkaisun käyttöönsä, ja korvaako se edelleen laajalti käytössä olevat valmistajakohtaiset ratkaisut.

 

Kirjoittaja on Unikien tietoturvajohtaja (CISO) Jari Mononen, joka johtaa AUTOSARin tietoturvallisuuden työryhmää.

More stories