Các nhà sản xuất ô tô và nhà cung cấp ở châu Âu sẽ sớm được yêu cầu đảm bảo rằng tất cả các phương tiện được kết nối đều được bảo vệ trước các cuộc tấn công mạng để tuân thủ hai quy định của Liên Hợp Quốc.
Những quy định mới về an ninh mạng và cập nhật phần mềm có hiệu lực đối với tất cả các loại phương tiện mới vào tháng 7 năm 2022 và sẽ trở thành quy định bắt buộc đối với tất cả các phương tiện mới được sản xuất kể từ tháng 7 năm 2024. Các quy tắc đã có ảnh hưởng đến thị trường, đóng vai trò là một yếu tố góp phần vào việc ngừng cung cấp xe điện mini giá rẻ.
Giám đốc điều hành thương hiệu Volkswagen, Thomas Schaefer, nói việc sản xuất e-Up sẽ kết thúc vào giữa năm 2024 do các quy định mới về an ninh mạng.
“Để tiếp tục sản xuất, chúng tôi phải tích hợp một kiến trúc điện tử hoàn toàn mới. Điều đó sẽ quá đắt. Vì vậy, tốt hơn hết là phát triển một chiếc xe mới ngay lập tức”, Thomas Schaefer nói.
Chiếc minicar chạy hoàn toàn bằng điện e-Up là sản phẩm EV đầu tiên của thương hiệu VW, có giá khởi điểm 29.995 Euro tại Đức.
Khi các phương tiện ngày càng trở nên kết nối và phức tạp, sẽ cần có một khoản đầu tư lớn vào an ninh mạng và các chuyên gia CNTT. Theo Continental, một phương tiện trung bình có 100 triệu dòng mã, so với chưa đến 7 triệu cho một chiếc Boeing Dreamliner.
Theo chuyên gia dữ liệu Research and Markets, thị trường an ninh mạng ô tô được dự báo sẽ tăng giá trị lên 17,7 tỷ USD vào năm 2031 từ khoảng 2,8 tỷ USD vào năm ngoái.
Và có những câu hỏi về việc liệu ngành công nghiệp ô tô đã sẵn sàng chưa?
Argus Cyber Security của Israel, một công ty con của Continental, đã phát hiện ra rằng 58% các nhà sản xuất ô tô nhỏ và nhà cung cấp ô tô chưa sẵn sàng tạo ra một hệ thống quản lý tập trung vào an ninh mạng phương tiện tuân thủ Quy định 155 của Ủy ban Kinh tế Liên Hợp Quốc về Châu Âu (UNECE).
Ngoài ra, Quy định 156 của Ủy ban chi phối các giao thức an ninh mạng đối với các bản cập nhật phần mềm trên các phương tiện mới và sẽ bắt đầu trong cùng tháng đó.
"Không ai được chuẩn bị và thành thật mà nói, toàn bộ chuỗi ô tô đều không được chuẩn bị", Gulroz Singh, giám đốc điều hành của NXP Semiconductors, Austin, Texas, nói.
Quản lý rủi ro
Hai quy định mới của Liên Hợp Quốc yêu cầu các biện pháp được thực hiện trên bốn nguyên tắc chính, từ quản lý rủi ro mạng phương tiện và bảo vệ phương tiện theo thiết kế để giảm thiểu rủi ro trong chuỗi giá trị đến phát hiện và ứng phó với các sự cố an ninh giữa các đội phương tiện.
Lĩnh vực cuối cùng yêu cầu cung cấp các bản cập nhật phần mềm an toàn và bảo mật cũng như đảm bảo an toàn cho phương tiện không bị xâm phạm, đưa ra cơ sở pháp lý cho các bản cập nhật phần mềm qua mạng (OTA).
Mặc dù toàn ngành đều nhất trí rằng an ninh mạng là ưu tiên hàng đầu của các nhà sản xuất ô tô để đảm bảo an toàn cho hệ thống phương tiện và người ngồi trên xe, nhưng không phải ai cũng hài lòng với các quy định của UNECE.
Eric Dequi, chuyên gia cao cấp về kiến trúc và an ninh mạng của Stellantis, ủng hộ việc tạo ra các quy tắc làm rõ và chuẩn hóa an ninh mạng.
“An toàn vận hành, an ninh và bảo mật là cần thiết và bắt buộc. OEM chịu trách nhiệm tuân thủ luật pháp và quản lý kiểm soát truy cập phương tiện để hạn chế tác động”, Eric Dequi nhấn mạnh.
Điểm yếu
Gerd Preuss của ADAC, câu lạc bộ mô tô lớn nhất của Đức, đồng thời là người đứng đầu nhóm làm việc truy cập dữ liệu và bảo mật phương tiện của EuroNCAP, đã giải thích rằng các cuộc tấn công mạng phương tiện xảy ra ngày nay hầu hết được thực hiện thông qua các giao diện như cổng chẩn đoán trên xe (OBD) hoặc thông qua các cuộc tấn công trung gian thông qua thao tác kết nối Bluetooth.
Gerd Preuss nói: “Theo UNECE R155, nhà sản xuất phương tiện có nghĩa vụ phải trình bày các biện pháp bảo mật CNTT trên phương tiện thông qua hệ thống quản lý an ninh mạng”.
Tuy nhiên, từ quan điểm của người tiêu dùng, luật này thiếu các yêu cầu về hiệu suất cụ thể và các tiêu chí chấp nhận thống nhất.
Preuss cho biết EuroNCAP không chỉ có kế hoạch lấp đầy những khoảng trống đó bằng các thử nghiệm của riêng mình mà còn có kế hoạch làm rõ cách chủ sở hữu phương tiện có thể giám sát và kiểm soát luồng dữ liệu từ hoặc đến phương tiện một cách an toàn.
Quy định rõ ràng
Preuss cho rằng: “Bảo mật CNTT là điều kiện tiên quyết cho hoạt động an toàn và hiệu suất thân thiện với môi trường của một chiếc xe. Đầu tư vào bảo mật CNTT cho phương tiện là điều cần thiết để bảo vệ dữ liệu cá nhân, ngăn chặn các cuộc tấn công mạng, đáp ứng các yêu cầu quy định và duy trì danh tiếng thương hiệu. Ngoài ra, việc truy cập dữ liệu để sửa chữa và bảo trì cũng cần đầu tư vào bảo mật CNTT, nơi chỉ có thể truy cập được khi được ủy quyền”.
Sản phẩm chính của Continental là bảo mật và quyền riêng tư. Giám đốc điều hành Mathias Dehm cũng đồng ý với việc thực hiện các quy định chặt chẽ hơn. Khi các phương tiện trở nên phức tạp hơn, các quy tắc có thể đóng vai trò là cơ sở cho các nhà sản xuất ô tô và nhà cung cấp của họ.
“5 năm nhìn lại, không có tiêu chuẩn hay quy định quốc tế thực sự nào tồn tại trong lĩnh vực này. Nhưng giờ đây với quy định rõ ràng từ UNECE và cả tiêu chuẩn quốc tế ISO/SAE 21434, ngành đã có hướng dẫn tốt hơn và đảm bảo mức độ an ninh mạng chung trong toàn ngành”, ông Preuss nói. “Điều này rất quan trọng trong toàn bộ chuỗi cung ứng vì mọi thứ cần phải hoạt động trơn tru”.
Mặc dù trọng tâm của quy định UNECE chủ yếu tập trung vào các nhà sản xuất ô tô, nhưng Dehm lưu ý rằng quy định này cũng quy định các tiêu chuẩn phải được đáp ứng dọc theo mọi liên kết của chuỗi cung ứng.
Chuyên gia an ninh mạng của Stellantis, Eric Dequi, cho biết các bản cập nhật OTA yêu cầu một giải pháp hiện đại để tránh lây nhiễm phần mềm độc hại.
“Đó là một thách thức lớn vì chuỗi cung ứng quá lớn và liên quan đến rất nhiều nhà cung cấp khác nhau, và không phải ai cũng có ô tô là khách hàng chính của họ”, Dehm nói. "Để triển khai điều này dọc theo chuỗi cung ứng khổng lồ như vậy cần có thời gian và bạn có thêm một thách thức là thiếu các chuyên gia cần thiết”.
Các quy định mới mà nhà sản xuất ô tô cần đảm bảo dọc theo chuỗi cung ứng cũng yêu cầu các nhà cung cấp như Continental, Robert Bosch, v.v… phải liên tục quản lý lỗ hổng để họ có thể ứng phó nếu xảy ra sự cố. Điều này cần được duy trì trong suốt vòng đời của sản phẩm.
“Bạn cần có một nhóm phù hợp trong công ty của mình, bao gồm những người có bí quyết về sản phẩm và tất cả các chi tiết cụ thể của sản phẩm trong một thời gian dài”, Eric Dequi nhấn mạnh.
Khi nói đến việc cập nhật phần mềm an ninh mạng trên các phương tiện và các bộ phận riêng lẻ, Demh coi các bản cập nhật OTA là giải pháp chính để cung cấp các bản cập nhật hoặc bản sửa lỗi cho toàn bộ đội xe trên hàng triệu phương tiện tiềm năng.
Dequi của Stellantis cho biết thêm rằng các bản cập nhật OTA yêu cầu một giải pháp tiên tiến nhất để tránh lây nhiễm phần mềm độc hại.
Ông nói: “Các giải pháp cơ bản như kiểm tra tính toàn vẹn và bảo mật là bắt buộc để tránh mọi thỏa hiệp trong quá trình chuyển giao và cài đặt bản phát hành phần mềm. Điều đó bao gồm quản lý cấu hình nghiêm ngặt khi nhiều thành phần được cập nhật cùng lúc và quy trình khôi phục trong trường hợp xảy ra sự cố an toàn hoặc mạng sau khi cài đặt”.
Chấp nhận rủi ro tốt hơn
Theo quan điểm của Nick Maynard, phó chủ tịch nghiên cứu thị trường công nghệ tài chính tại Juniper, các quy định mới của Liên Hợp Quốc thể hiện một bước phát triển quan trọng trong thị trường xe cộ.
"An ninh mạng đã là một vấn đề quan trọng trong phương tiện được kết nối trong một thời gian. Sự gia tăng kết nối tạo ra các vấn đề về an ninh mạng. Vì các nhà sản xuất xe có các cách tiếp cận không chuẩn hóa để cập nhật phần mềm, đây là động lực chính của quy định”, Nick Maynard nói.
Nick Maynard chỉ ra rằng Tesla đang dẫn đầu với các bản cập nhật OTA, trong khi các nhà sản xuất khác bị tụt lại đáng kể và nhiều chiếc xe thậm chí đắt nhất phải quay lại nhà sản xuất để cập nhật.
“Quy định sẽ giúp giải quyết một số thách thức ở đây. Những gì chúng ta sẽ thấy là sự thừa nhận và đánh giá rủi ro tốt hơn đối với yếu tố an ninh mạng trong thị trường phương tiện được kết nối”, Nick Maynard nhận định.
Nick Maynard nói rằng những thay đổi đó đã được nhìn thấy. Ví dụ, vào tháng 2 năm 2023, LG đã thông báo rằng các bộ phận ô tô của họ đã được chứng nhận theo tiêu chuẩn mới.
Maynard lưu ý: “Đây là sự khởi đầu của một quá trình tiêu chuẩn hóa và chứng nhận lớn hơn nhiều mà nhiều nhà sản xuất ô tô và phụ tùng sẽ cần phải thực hiện”.
Nick Maynard cũng dự đoán sẽ có nhiều mối quan tâm hơn nữa đối với chuỗi cung ứng phần mềm từ các nhà sản xuất ô tô.
“Mặc dù các nhà sản xuất chịu trách nhiệm về các hệ thống chính mà xe đang chạy, nhưng có nhiều thành phần của bên thứ ba sẽ có phần mềm độc lập. Do đó, các nhà sản xuất xe sẽ cần phải hiểu những rủi ro này, vốn đã không được biết đến trong một thời gian. Chúng tôi dự đoán sẽ có sự tham gia nhiều hơn của các nhà cung cấp an ninh mạng độc lập, những người đã hoạt động trong lĩnh vực này trong một thời gian”, Nick Maynard nhấn mạnh.