Информационная безопасность в сфере интеллектуальных транспортных систем
Петр Метёлкин, 15/10/24
Развитие технологий привело к тесной связи транспортных систем с новым техническим оснащением. Автоматизация, системы контроля и мониторинга, платежей – все это очень удобно, экономит много времени и денег, но вместе с тем заставляет задуматься о безопасности. Что делать, если автоматика даст сбой или подвергнется взлому? Давайте ознакомимся с видами рисков и угроз, правовыми моментами и подумаем, как можно предостеречь или свести к минимуму в первую очередь последствия кибератак.
В реалиях современного мира транспорт стал не просто средством передвижения, а настоящим помощником и советником для водителей.
Что есть ИТС
Сегодняшние транспортные системы представляют собой не только удобный способ перемещения из одной точки в другую, они также способствуют уменьшению заторов на дорогах, повышению уровня безопасности и снижению негативного воздействия на окружающую среду в городских районах. Однако технический прогресс сопровождается определенными рисками. В случае с интеллектуальными транспортными системами (ИТС) эти риски могут быть значительными. Организация Consumer Watchdog в своем отчете1 отметила, что последствия крупномасштабного взлома транспортной инфраструктуры могут быть сопоставимы с трагическими событиями 11 сентября 2001 г.
Согласно выводам разных исследовательских компаний2, количество умных автомобилей на дорогах с 2020 г. увеличилось на 40%. Этому поспособствовало развитие сетей 5G и растущий интерес производителей к интеллектуальным транспортным системам, которые помогают городским администрациям и водителям экономить время и деньги, повышать безопасность на дорогах и снижать выбросы углекислого газа.
Но что такое современная ИТС? Согласно исследованию Trend Micro, современная ИТС включает объекты из шести категорий:
- Транспортные средства. Умные, или автономные, автомобили с доступом к сети "Интернет" для взаимодействия с другими транспортными средствами и элементами инфраструктуры. Автономные машины дополнительно оснащены камерами, лидарами, сенсорами и системами геолокации.
- Системы мониторинга дорожной обстановки. Реализуются с помощью камер, различных датчиков и придорожных метеостанций, передающих данные в единый центр управления для отслеживания ситуации в реальном времени.
- Системы управления движением. Эти устройства не только собирают данные, но и контролируют движение транспортных потоков, управляют светофорами, шлагбаумами на железнодорожных переездах, электронными дорожными знаками и системами автоматизированного сбора платы.
- Платежные системы и приложения. Ответственны за автоматический сбор средств и управление финансовыми потоками, снижая расходы на инфраструктуру. Это включает RFID-метки, платежные автоматы и системы продажи электронных билетов.
- Системы общего управления. Обширная категория, охватывающая централизованные системы контроля дорожного трафика, парковок, интеграцию водного и воздушного транспорта, управление строительством и ремонтом, центры экстренной помощи, туристическую информацию и общественный транспорт.
- Системы связи и коммуникации. Обмен данными – ключевой элемент ИТС, требующий координированной передачи информации в понятном формате. Включает системы передачи данных V2V (между транспортными средствами), V2I (между транспортными средствами и инфраструктурой), I2I (между элементами инфраструктуры), а также сайты, приложения и социальные сети для размещения важной информации и объявлений.
Основные категории рисков и угроз в сфере ИТС
Хотя физические атаки считаются менее опасными по сравнению с компьютерными угрозами, их последствия могут быть значительными.
Физические риски
Элементы ИТС часто располагаются на обочинах дорог и автомагистралях, что делает их уязвимыми для физического вмешательства или вандализма. Киберпреступники могут получить доступ к датчикам, портам и антеннам, установленным вдоль дорог. Важный элемент, подверженный рискам, – интерфейс CAN (Controller Area Network), который используется умными транспортными средствами для обмена информацией. Недавние исследования показали3, что киберпреступниками могут быть не только неизвестные третьи лица. К примеру, автомеханик, обслуживающий ваш автомобиль в мастерской, тоже может представлять угрозу, имея доступ к системам транспортного средства, бортовому компьютеру, системам автоматического торможения или элементам доруливания.
К физическим атакам относятся и умышленные акты порчи дорожных знаков и разметки, что создает значительные риски неправильного их распознания и, как следствие, некорректного управляющего воздействия со стороны автоматизированного транспортного средства и его бортовых систем.
Сетевые угрозы
По данным исследования Trend Micro4, сетевые атаки представляют собой наибольшую угрозу для инфраструктуры умного города и ИТС. Эти атаки направлены на дестабилизацию работы устройств и оборудования, утечку данных и кражу ценной информации. Киберпреступники часто используют вредоносное программное обеспечение, которое может полностью парализовать функционирование целых секторов инфраструктуры или предоставить им доступ к незащищенным элементам сети. Такие атаки могут привести к значительным потерям ресурсов, доходов и даже собственности. Вредоносное программное обеспечение (ПО), проникшее в систему, может нарушить работу критически важных компонентов, что приведет к серьезным последствиям, которые могут повлечь за собой причинение ущерба здоровью человека.
Беспроводное взаимодействие
Беспроводные системы взаимодействия V2V (Vehicle-to-Vehicle), V2I (Vehicle-to-Infrastructure) и I2I (Infrastructure-to-Infrastructure) становятся ключевыми компонентами ИТС, обеспечивая обмен данными между элементами инфраструктуры в реальном времени. Однако их взлом вполне возможен, как неоднократно подтверждалось на практике.
Уязвимости в прошивках транспортных средств и их системах, а также использование сетей с открытым трафиком могут позволить злоумышленникам перехватывать управление автомобилями. Слабые пароли, незащищенные сайты и уязвимости в приложениях предоставляют хакерам возможность получить доступ к учетным данным пользователей и, например, удаленно запустить или остановить двигатель транспортного средства. Кроме того, киберпреступники могут воспользоваться уязвимостями голосовых помощников, часто используемых в умных автомобилях. По данным Georgia Tech5, для полной парализации трафика на Манхэттене, включая передвижение аварийных служб, достаточно перехватить управление лишь 20% умных автомобилей.
Кибербезопасность
Вопросы информационной безопасности России в разных сферах и ее граждан вышли на совершенно новый уровень в эпоху цифровизации и больших данных. Защита информации внутри страны тесно связана с надежной работой систем безопасности на критической информационной инфраструктуре, так как почти все управленческие процессы сегодня основаны на цифровых технологиях. Существенное место в этом занимают и интеллектуальные транспортные системы. В 2017 г. вступил в силу Федеральный закон № 187 "О безопасности критической информационной инфраструктуры Российской Федерации".
В законе были определены 11 отраслей6, относящихся к критической информационной инфраструктуре (КИИ), включая транспортную. Вопросы безопасности навигационно-телематических систем на транспорте поднимались экспертами еще более десяти лет назад, когда эти системы начали активно развиваться в России. Уже тогда говорили об их уязвимости, что могло привести к негативным социальным и экономическим последствиям, если не будут решаться вопросы информационной безопасности.
Тема информационной безопасности непростая. Если вернуться к закону, то в нем введено понятие объекта критической информационной инфраструктуры. Но как это связано с ИТС? Разберемся.
Критическая информационная инфраструктура
ИТС являются объектами КИИ. Например, системы управления светофорами, которые управляются из единого центра, могут стать целью для хакеров. В случае вмешательства в работу этих систем, к примеру изменения алгоритмов переключения светофоров, возможно создание массовых аварий и остановка движения в городе. В мегаполисе такой сценарий может иметь катастрофические последствия.
К тому же критически важными являются интеллектуальные системы управления движением в туннелях, где безопасность должна быть на самом высоком уровне. Введение федерального закона о КИИ было обусловлено необходимостью защиты от возможных угроз информационной безопасности, которые могут нанести значительный ущерб как социальным, так и экономическим объектам страны. Защита ИТС от киберугроз становится ключевым аспектом их развития и эксплуатации в современных условиях цифровизации.
Законодательная сфера
До сих пор внимание многих занимающихся ИТС недостаточно сосредотачивалось на обеспечении безопасности. Однако возрастание количества транспортных средств с электронными бортовыми системами, принимающими решения инициации того или иного управляющего воздействия, привело к тому, что исполнение требований федерального законодательства (ФЗ № 187)6 стало обязательным условием.
В нем установлена не только административная, но и уголовная ответственность для руководителей компаний, являющихся субъектами критической информационной инфраструктуры.
В случае любых инцидентов, опасных для жизни людей, или же серьезных кибератак штрафные санкции уже не являются достаточным наказанием. По уголовным делам в области кибербезопасности, связанным с критической информационной инфраструктурой, количество судебных прецедентов неумолимо возрастает. В рамках административных правонарушений, установленных Федеральным законом № 187, накопилась значительная судебная практика, однако по уголовной ответственности за атаки на КИИ данные дела могут быть менее распространены.
Федеральная служба безопасности (ФСБ) в 2018 г. в качестве одного из регуляторов создала Национальный координационный центр по компьютерным инцидентам7, который занимается предотвращением и противодействием кибератакам на ключевые объекты, включая транспортную сферу. Есть сообщества, которые активно вербуют специалистов в области информационных технологий для осуществления вредоносных действий на территории страны. И это действительно стало импульсом для усиления контроля за исполнением закона. Указ Президента РФ № 250, утвержденный 1 мая 2022 г., значительно активизировал работу в направлении повышения уровня информационной безопасности. Теперь руководители субъектов критической информационной инфраструктуры лично несут ответственность за обеспечение безопасности. Возложение обязанностей по обеспечению информационной безопасности на заместителя, а также создание специализированных подразделений по обеспечению информационной безопасности в каждой организации КИИ являются важными шагами. Эти меры подчеркивают важность обеспечения безопасности в сфере критической информационной инфраструктуры.
Ответственность организаций
В настоящее время переход к новым жестким правилам стал необходимостью. Часто ответственность за безопасность возлагается на сотрудников ИТ-отдела, но их профессиональные компетенции в области информационной безопасности редко учитываются. Руководителям организаций, относящихся к субъектам критической информационной инфраструктуры, следует принять ряд мер для выполнения требований закона и нормативных актов. Организации, работающие в отраслях критической инфраструктуры, должны начать с анализа своего устава, чтобы определить личный статус.
Например, партнеры резидентов кластера могут фактически относиться к субъектам критической информационной инфраструктуры в соответствии с Федеральным законом № 187, но не быть осведомлены о применении этого закона к ним. Однако такое положение дел может измениться после первой проверки, сопровождающейся штрафами и протоколами. Чтобы успешно выполнить требования законодательства и избежать неприятностей, субъекты критической информационной инфраструктуры должны создать комиссию, в состав которой необходимо включить как специалистов в ИТ, так и специалистов в вопросах информационной безопасности, а также юристов, которые помогут сформировать корректный пакет документов согласно требованиям действующего законодательства. Опираясь на требования, указанные в нормативно-правовых актах и рекомендациях контрольно-надзорных органов, таких как Федеральный закон № 187, они определят критические процессы, проведя полную инвентаризацию ресурсов. Все выявленные критические процессы должны быть корректно проанализированы и защищены.
Важно отметить, что невозможно будет избежать ответственности в случае инцидента, если комиссия юристов не признала определенные процессы как критические. Регуляторы, такие как ФСТЭК России, серьезно подходят к этому вопросу, что отражено в соответствующих документах. Ранее многие компании, чтобы избежать сложностей, самостоятельно присваивали своим системам наименьший уровень защиты.
Однако ситуация изменилась: сейчас государственные органы имеют полномочия обязать субъекты критической информационной инфраструктуры соответствовать реальному уровню угроз и требований. Это требует от руководителей организаций серьезного подхода к вопросам безопасности в критической информационной инфраструктуре.
Заключение
В последнее время регуляторы пересматривают подход к безопасности, рассматривая ее не как статическое состояние, а как непрерывный процесс. Это значительный шаг вперед, особенно в контексте развития информационных технологий. Интеллектуальные транспортные системы являются ярким примером этого развития, направленного на переход к беспилотному транспорту. В таких системах каждый элемент инфраструктуры, включая дорожные знаки, становится источником данных для беспилотных автомобилей. Следовательно, необходимость надежной защиты всех передаваемых данных критически важна. Указ Президента РФ от 1 мая 2022 г. № 250 подчеркивает важность использования отечественных средств защиты информации на всех значимых объектах критической информационной инфраструктуры начиная с 2025 г. Это означает, что государство будет активно инвестировать в разработку российских программных продуктов для кибербезопасности, обеспечивая их соответствие современным требованиям безопасности. В конце концов, развитие интеллектуальных транспортных систем предоставляет новые возможности для всех участников и пользователей, однако также увеличивает уязвимости перед киберпреступниками. Внедрение умного транспорта требует от производителей автомобилей и оборудования для дорожной инфраструктуры работать не только над аппаратной частью, но и над программным обеспечением, что ставит перед ними новые задачи по защите от киберугроз.
Этот процесс в том числе меняет роль водителя, который теперь зависит от регулярных обновлений программного обеспечения для работы умных элементов автомобиля. В результате водитель уже не может рассматриваться как полновластный владелец своего транспортного средства. В связи с тем, что скорость разработки новых технологий значительно превышает темпы тестирования и внедрения мер безопасности для них, в будущем мы столкнемся с ростом успешных кибератак на интеллектуальные транспортные системы и умные автомобили. Это может серьезно подорвать доверие пользователей, создать репутационные риски для производителей и привести к финансовым потерям для администрации, отвечающей за городскую инфраструктуру. Чтобы справиться с этими угрозами, необходимо внедрять эффективные меры безопасности для физических элементов дорожной инфраструктуры и сетей передачи данных. Это включает укрепление физического доступа к критическим объектам, установку систем видеонаблюдения, защиту оборудования от несанкционированного доступа и вредоносного воздействия, а также обеспечение надежного контроля доступа и регулярные проверки состояния физической инфраструктуры. Важно также проводить обучение персонала по вопросам физической безопасности. Сложные системы требуют целостного подхода к обеспечению их безопасности, особенно когда речь идет о защите и благополучии людей.
Опубликовано в журнале "Системы безопасности" № 4/2024
Все статьи журнала "Системы безопасности"
доступны для скачивания в iMag >>
Изображение сгенерировано нейросетью Шедеврум shedevrum.ai/text-to-image