October 6, 2022

Artikel ini awalnya ditampilkan di Drive.

Ketika kebanyakan orang memikirkan industri otomotif, pikiran mereka mungkin tidak akan langsung beralih ke keamanan siber. Lagi pula, kotak baja dua ton di atas roda tidak benar-benar meneriakkan “komputer.” Tetapi ketika kendaraan menjadi lebih terhubung dengan sistem terpusat, satu sama lain, dan dunia luar, menjadi jelas bahwa keamanan siber lebih relevan untuk mobil saat ini daripada sebelumnya.

Pada hari Rabu, Administrasi Keselamatan Lalu Lintas Jalan Raya Nasional menerbitkan serangkaian praktik terbaik untuk diikuti oleh pembuat mobil saat membangun kendaraan baru dan tumpukan perangkat lunak yang menopangnya. Dokumen tersebut, yang pertama kali diterbitkan dalam Daftar Federal tahun lalu, merupakan pembaruan untuk panduan badan tahun 2016 dan sangat berfokus pada kendaraan yang saling berhubungan dan sistem keselamatannya masing-masing.

NHTSA-Keamanan Siber-Praktik Terbaik-2022

Mungkin salah satu area paling penting yang menjadi fokus NHTSA melibatkan sensor kendaraan. Badan tersebut menyebut gangguan sensor sebagai area kekhawatiran yang muncul terkait dengan keamanan siber kendaraan dan mencatat bahwa potensi untuk memanipulasi data sensor dapat mengakibatkan risiko terhadap sistem yang kritis terhadap keselamatan. Area yang NHTSA serukan untuk dilindungi oleh pembuat mobil adalah Lidar dan gangguan radar, spoofing GPS, modifikasi rambu jalan, pembutaan kamera, dan eksitasi pembelajaran mesin positif palsu.

Kendaraan dengan kemampuan pembaruan over-the-air (OTA) juga ada di radar NHTSA. Secara khusus, agensi mengatakan bahwa pembuat mobil harus menjaga tidak hanya integritas pembaruan kendaraan yang penting, tetapi juga server yang mendasari yang menjadi tuan rumah pembaruan OTA, serta mekanisme transmisi antara kendaraan dan server, serta proses pembaruan yang berlangsung pada kendaraan. Lebih lanjut, NHTSA mendesak pembuat mobil untuk mempertimbangkan masalah keamanan siber umum, seperti ancaman orang dalam, serangan man-in-the-middle, kerentanan protokol, dan server yang disusupi.

See also  FDA menyetujui pengobatan pertama untuk alopecia parah

Baik kendaraan yang dapat diperbarui dari jarak jauh dan yang tidak dapat juga didorong untuk memperkeras akses ke firmware kendaraan untuk membantu menggagalkan masalah terkait keamanan siber. Banyak pembuat mobil melakukan ini hari ini dengan mengenkripsi firmware ECU, meskipun ini terkadang dapat dikalahkan dengan flash bangku. NHTSA meminta pembuat mobil untuk “menggunakan teknik canggih” untuk mencegah hal ini. Apa artinya itu bagi adegan aftermarket, bagaimanapun, tidak diketahui tetapi tidak mungkin menjadi kabar baik bagi mereka yang ingin menyetel mobil mereka.

Terakhir, tidak semua yang NHTSA termasuk dalam dokumen mutakhir. Faktanya, sebagian besar rekomendasi berkisar pada kerangka keamanan NIST atau hanya diulang dari panduan 2016 dan masih memiliki nilai hingga saat ini.

Salah satu komponen utama yang ditarik dari praktik terbaik 2016 melibatkan perangkat aftermarket. NHTSA mengingatkan produsen aftermarket bahwa meskipun perangkat mereka mungkin tampak tidak dapat memengaruhi sistem keselamatan, mereka tetap harus dirancang dengan pertimbangan seperti itu dan juga harus menjalani pemeriksaan keamanan yang sama seperti kendaraan itu sendiri. Perangkat yang tampaknya tidak berbahaya, seperti dongle asuransi dan perangkat pengumpulan telematika, dapat digunakan sebagai proxy untuk serangan lain. Karena itu, NHTSA merekomendasikan pengiriman sinyal keselamatan kritis yang terpisah dari lalu lintas CAN Bus umum. Misalnya, mengisolasi pesan yang dikirim ke aktuator kontrol traksi yang mengontrol fungsi pengereman fisik untuk mencegah serangan replay dan spoofing.

Kemudahan servis kendaraan adalah item lain yang ditarik dari iterasi terakhir dari praktik terbaik. NHTSA mengatakan bahwa perlindungan keamanan siber tidak boleh terlalu membatasi akses ke layanan perbaikan pihak ketiga, sebuah argumen yang digunakan kelompok perdagangan industri selama pertarungan hak untuk memperbaiki baru-baru ini di Massachusetts. Menurut pengajuan pengadilan, kelompok perdagangan berpendapat bahwa pembuat mobil perlu “membuat elemen desain keamanan siber yang tidak beroperasi” yang dipasang pada kendaraan untuk memenuhi persyaratan hak untuk memperbaiki yang disahkan oleh pemilih. Jika industri telah mengikuti pedoman NHTSA 2016 (dan sekarang 2022), ini mungkin bukan masalah besar.

See also  Cara kerja generator teks-ke-video Meta

Terlepas dari semua rekomendasi ini, pada akhirnya terserah pada pembuat mobil untuk mengikutinya. NHTSA hanya menyampaikan panduan sukarela ini bagi para pembuat mobil untuk meningkatkan kematangan keamanan siber mereka sendiri berdasarkan tingkat risiko yang mereka terima. Namun, jenis panduan ini diperlukan dalam industri yang berkembang pesat seperti mobil terkoneksi. Permukaan serangan hari ini mungkin mewakili sebagian kecil dari apa yang dilihat industri besok, dan tanpa beberapa badan pengatur yang menunjuk ke arah yang benar, bisa jauh lebih memberatkan daripada sekadar membuka kunci pintu.