هکرها، اینبار علیه خودروسازان
سایبرپژوه – صنعت خودروی ژاپن گام بعدی خود را همکاری در امنیت سایبری می داند. حمله سایبری به صنعت خودرو ژاپن سابقه ای چند ساله دارد. در سال ۲۰۱۷، کارخانه نیسان در بریتانیا مورد حمله هکرها با نام واناکرای [در زبان انگلیسی به معنی: می خواهی گریه کنی!] قرار گرفت، در سال ۲۰۱۹، اطلاعات ۳.۱ میلیون مشتری تویوتا از بخش فروش به سرقت رفت و در سال ۲۰۲۰، به طور دقیق تر در ماه ژوئن، عملیات تولید هوندا در کشورهای ایتالیا، ژاپن، آمریکای شمالی، ترکیه و بریتانیا به حالت تعلیق درآمد.
این موارد حملات موفق بودند که وقفه در کار خودروسازان ژاپنی به وجود آوردند، آمار دقیقی از حملات ناموفق وجود ندارد و این موضوع اهمیت امنیت سایبری در صنعت خودرو را نشان می دهد.
هدف حمله کنندگان به صنعت خودرو، بیشتر سرقت اطلاعات و دارایی های معنوی و اطلاعات شخصی مشتریان است اما اهداف دیگری هم وجود دارد مثل وقفه در تولید، بدنامی برند و تضعیف یک کسب و کار.
امنیت سایبری در صنعت خودرو خیلی پیچیده تر از سایر بخش ها است چون حداقل سه لایه دارد: خودِ خودرو، زنجیره تأمین قطعه و مجموعه و ارائه دهندگان خدمات به مشتری مثل نمایندگی های فروش و خدمات پس از فروش.
با پیشرفت فناوری های کامپیوتر، الکترونیک، اینترنت و موبایل، بخش های مکانیکی خودرو جای خود را به تراشه ها و پردازنده های جدید می دهند و درصد بیشتری از قطعات به اینترنت متصل شده و کار حفاظت از آنها را دشوارتر می کند. هرچند ارائه خدمات به این قطعات به ویژه از راه دور آسان تر شده است. امروزه اکثر خودروها از مقادیر عظیمی از فناوری اطلاعات «آی تی» بهره می برند. همین موضوع باعث می شوند سازندگان قطعات و مونتاژ کنندگان و ارائه دهندگان خدمات مجبور به اشتراک گذاری اطلاعات شوند که همین به اشتراک گذاری آنها را در معرض حملات سودجویان و هکرها قرار می دهد. برای همین حفظ امنیت اطلاعات و دارایی های معنوی نیاز به همکاری چندجانبه همه بخش هایی دارد که با هم همکاری می کنند و اطلاعات به اشتراک می گذارند.
این موضوع زمانی پیچیدگی خود را نشان میدهد که یک خودرو از ۱۵ تا ۴۰ هزار قطعه تشکیل شده است. ضمن آن که هر روز دامنه نرم افزارها و اپلیکیشن ها در قطعات و مجموعه های خودرو بیشتر می شود.
با گسترش مفهوم خودروهای متصل به شبکه های کامپیوتری و اینترنتی، وظیفه امنیت سایبری هم خطیرتر می شود. مخصوصاً که نمایندگی های فروش و خدمات پس از فروش دسترسی به اطلاعات شخصی مشتریان خود دارند از جمله نام، آدرس، مسیرهای طی شده که جی پی اس نشان میدهد و اکثر این نمایندگی ها اطلاعات بانکی و اعتباری این مشتریان را در بانک های اطلاعاتی خود ذخیره کرده اند.
در حال حاضر یک استاندارد یکپارچه در بین خودروسازان وجود ندارد. برخی از ایزو IEC 27001 استفاده می کنند. در آمریکا قوانین و مقررات در این زمینه را NIST یا مؤسسه ملی استانداردها و فناوری تعیین می کند و اسناد منتشر شده آن مثل SP800-161 و SP800-171 مورد استفاده خودروسازان قرار می گیرد.
سازمان ملل در کمیسیون اقتصادی خود یک نیروی واکنش سریع تشکیل داده به نام WP.29 که رئیس آن در حال حاضر یک ژاپنی است و این نیروی واکنش سریع ۵۴ کشور را گرد هم آورده تا قوانین، مقررات واستانداردها در این زمینه را تهیه و تدوین کنند. مقررات تدوین شده از سال ۲۰۲۱ اجرایی می شوند.
انجمن خودروسازان ژاپن از آوریل ۲۰۱۹ یک گروه کاری امنیت سایبری تشکیل داده که زیر نظر کمیته تبادل اطلاعات الکترونیک این کشور کار می کند و هدف آن تعامل ذی نفعان از صنایع مختلف است و با WP.29 هم همکاری می کند. این گروه کاری جلسات متعددی تاکنون برگزار کرده است. همه خودروسازان ژاپنی عضو انجمن خودروسازی ژاپن هستند و با این گروه مشارکت و تعامل دارند و هدف اصلی آنها بهبود امنیت سایبری در کل صنعت خودرو است. چند ماه بعد از انجمن خودروسازی ژاپن، انجمن قطعه سازی این کشور هم گروه کاری امنیت سایبری تشکیل داد. حالا این دو انجمن تعامل با یکدیگر را آغاز کرده اند.
دستورالعمل هایی که از تعامل این کارگروه ها به دست می آید هم در شرکای داخلی و هم بین المللی به اشتراک گذاشته می شود. خودروسازان، قطعه سازان و نمایندگی های فروش و خدمات پس ازفروش خودرو از نتایج و سیاست گذاری های این کارگروه ها بهره مند می شوند.
کارگروه امنیت سایبری چهار گام را تاکنون مشخص کرده است. گام اول، همکاری و مشاوره با وزارت اقتصاد و تجارت برای مدیریت ریسک زنجیره تأمین در قالب امنیت فیزیکی سایبری Cyber Physical Security Framework
گام دوم، به اشتراک گذاری سیاست های کمپانی های عضو در این کارگروه ها.
گام سوم، دو انجمن خودروسازی و قطعه سازی به توافق رسیده اند که ۵۰ مورد از ۱۲۹ ایتم پایه ای چارچوب امنیت فیزیکی سایبری را مورد استفاده قرار دهند واز آن استانداردهای پایه ای را به رشته تحریر درآورند که بنیان اصلی امنیت سایبری است. حداقل این استانداردها داشتن سیاست و متولی در حوزه امنیت سایبری در شرکت ها و پیمانکاران است.
چهارم، دستورالعمل امنیت سایبری مدیریت ریسک زنجیره تأمین در ماه مه امسال (۲۰۲۰) انتشار یافت که ترجمه انگلیسی آن هنوز به اتمام نرسیده است. این دستورالعمل به طور دائمی مورد بازنگری قرار خواهد گرفت.
خودروسازان ژاپنی که در بازار خودروی آمریکا فعالیت می کنند، در مرکز تحلیل و اشتراک اطلاعات خودروی آمریکا موسوم به Auto-ISAC عضو هستند و دستاوردهای خود را با این مرکز به اشتراک می گذارند. این مرکز از سال ۲۰۱۵ شکل گرفته که اعضای آن را خودروسازان و شرکت های آی تی و مخابراتی تشکیل می دهند. هوندا و تویوتا در گردهمایی و کنفرانس این مرکز در سال ۲۰۱۹ سخنرانی داشته اند.
از آن جایی که یک دست صدا ندارد، اگر خودروسازان ژاپنی بخواهند در امن و امان به سر ببرند باید دستاوردهای خود را در بازارهای خود به اشتراک بگذارند.
بریتانیا، آلمان و ایالات متحده به طور جداگانه روی دستورالعمل های امنیت سایبری خود کار می کنند اما شاید لازم باشد بین کشورها تعاملی شکل بگیرد تا دستورالعمل های به دست آمده کارایی بیشتری داشته باشند.