Mỹ và Trung Quốc tuân thủ thế nào?
Gurloz Singh, giám đốc điều hành của NXP Semiconductors, Austin, Texas, nói: “Không ai chuẩn bị và thành thật mà nói, toàn bộ dây chuyền sản xuất ô tô đều không được chuẩn bị”.
Các quy định cung cấp các tiêu chuẩn cho phần mềm phương tiện và bảo mật hệ thống, bảo vệ dữ liệu cá nhân và quản lý sự cố an ninh mạng. Quy định cũng nêu rõ các hoạt động an ninh mạng tại các nhà sản xuất ô tô và nhà cung cấp.
Tại Liên minh Châu Âu, quy định này sẽ là bắt buộc đối với tất cả các loại xe mới được sản xuất từ tháng 7 năm 2024.
Mặc dù Mỹ không phải tuân thủ các quy định về mặt kỹ thuật, nhưng các nhà sản xuất ô tô và nhà cung cấp trong nước phải áp dụng chúng để kinh doanh ở hầu hết châu Âu bắt đầu từ tháng 7 năm 2024. Việc các công ty sản xuất xe với các tiêu chuẩn khác nhau không có ý nghĩa tài chính, vì vậy họ có khả năng để áp dụng các quy định trên dòng sản phẩm của họ. Các công ty ở Trung Quốc cũng có thể sẽ làm như vậy.
Argus đã khảo sát 200 giám đốc điều hành cấp cao trong ngành ô tô, bao gồm 100 người từ các công ty sản xuất ít hơn 10.000 xe hàng năm và 100 người tại các nhà cung cấp ô tô có tới 25.000 nhân viên.
Các giám đốc điều hành trong ngành ô tô tại Mỹ, Canada, Tây Âu, Vương quốc Anh, Thổ Nhĩ Kỳ, Nhật Bản và Hàn Quốc hiện làm việc trực tiếp hoặc gián tiếp về an ninh mạng, an ninh, an toàn, tuân thủ, quy định, kỹ thuật, tương đồng, chất lượng và thử nghiệm.
Argus đã khảo sát các nhà sản xuất ô tô điện nhỏ vì kiến trúc của họ dựa trên phần mềm nhiều hơn so với các mẫu động cơ đốt trong từ các thương hiệu cũ, Rachel Pekin, phó chủ tịch phụ trách tiếp thị và liên minh chiến lược của Argus, cho biết.
Chuỗi cung ứng ngành ô tô phải được bảo đảm
Các nhà sản xuất ô tô có nhu cầu lớn hơn về an ninh mạng khi họ chuyển sang cập nhật phương tiện qua mạng và các tính năng dựa trên đăng ký.
Singh cho biết các phương tiện đang trở nên dễ bị tổn thương hơn trước các mối đe dọa an ninh mạng vì chúng hiện có nhiều giao diện có thể bị tấn công. Chuỗi cung ứng ô tô phải được bảo mật ở tất cả các cấp, bao gồm phần mềm, linh kiện và các bộ phận khác.
Singh nói: “Tôi nghĩ rằng ngành công nghiệp này chưa được chuẩn bị sẵn sàng, nhưng hiện tại đã có những quy định được đưa ra. Đó là một tiêu chuẩn cho ngành ô tô hoàn chỉnh. Các nhà sản xuất xe có thể đẩy luật đó trở lại các nhà cung cấp và nói: “Chúng tôi đang tuân theo điều này và bạn cũng nên tuân theo điều này”.
Pekin cho rằng các nhà sản xuất ô tô và nhà cung cấp lớn có điểm yếu về an ninh mạng nhưng có nhiều nguồn lực hơn và chuẩn bị tốt hơn cho các quy định mới.
“Những công ty nhỏ hơn không có kiến thức và đôi khi quyền quản lý bảo mật thuộc về bộ phận CNTT tại các công ty này. Vì vậy, họ rất lo lắng về cách thực hiện và cách giải quyết vấn đề và họ cần được giúp đỡ”, Pekin nhận định.
Bất chấp những thách thức mà các nhà cung cấp và nhà sản xuất ô tô nhỏ phải đối mặt, 53% số người được hỏi nói với Argus rằng công ty của họ đang thiết kế các sản phẩm có tính đến các tính năng an ninh mạng.
Hạn chế về ngân sách cũng là một mối quan tâm đối với một số lượng đáng kể các công ty nhỏ này.
Argus nhận thấy có tới 38% nhà cung cấp và 17% nhà sản xuất ô tô xếp vấn đề ngân sách là thách thức lớn nhất trong việc tuân thủ Quy định 155 của Ủy ban Kinh tế Liên hợp quốc về Châu Âu. Mặc dù 46% số người được hỏi cho biết công ty của họ có tất cả nguồn lực nội bộ và chuyên môn cần thiết để tuân thủ quy tắc.
Thực tế, ngành công nghiệp ô tô có một trong những chuỗi cung ứng lớn nhất và phức tạp nhất. Điều này bao gồm việc tích hợp thường xuyên phần mềm, thành phần, ứng dụng và giao thức truyền thông của bên thứ ba, đưa ra một loạt các điểm yếu an ninh mạng lớn và các vấn đề kiểm soát chất lượng.
Các biện pháp bảo vệ an ninh mạng rất khó khăn khi có nhiều bên tham gia, mỗi bên đưa ra các thông số kỹ thuật vá lỗi của riêng mình và tuân thủ các tiêu chuẩn khác nhau. Một bộ thiết bị điều khiển có thể được cung cấp bởi hơn 20 nhà cung cấp khác nhau. Các thành phần được cung cấp bởi nhiều nhà cung cấp riêng biệt làm tăng mức độ rủi ro. Hơn nữa, sức mạnh của một thành phần riêng lẻ có thể bị mất trong quá trình tích hợp được thực hiện kém, dẫn đến mạng dễ bị tổn thương gồm các phần tử được kết nối với nhau.
Ngoài ra, các nhà cung cấp không phải lúc nào cũng nhận thức được các mối đe dọa tiềm tàng từ những người khác trong chuỗi. Nhà cung cấp Cấp 1 có thể triển khai một phần của giải pháp và chuyển một hoặc nhiều lỗ hổng an ninh mạng xuống chuỗi cung ứng cho nhà cung cấp Cấp 2 và Cấp 3. Các nhà cung cấp này thêm phần cứng và phần mềm và thực hiện kiểm tra an toàn, bảo mật, chức năng và hồi quy. Tất nhiên, những nhà cung cấp cấp thấp hơn này có thể thêm các lỗi và tính năng không an toàn làm tăng khả năng tiếp xúc với các mối đe dọa an ninh mạng. Kẻ xấu thường bắt đầu với quy mô nhỏ ở các cấp độ thấp hơn và sau đó kiên nhẫn ẩn nấp trong một hoặc nhiều hệ thống trong nhiều năm trước khi quyết định tấn công.