Электромобили (EV) и гибриды (PHEV) полагаются на постоянно расширяющуюся сеть внутренних компонентов, которые координируют работу всех узлов при движении и стоянке, зарядку, функции безопасности, диагностику и связь. По мере того как эти системы становятся все более взаимосвязанными, бортовое зарядное устройство перестаёт быть чисто силовым электронным блоком и превращается в сложное устройство, имеющее отношение к локальной сети всего ТС. Это создаёт потребность в том, чтобы производители внедряли функции безопасности в качестве стандартных элементов конструкции, а не в качестве дополнительных опций. Встроенные зарядные устройства интегрированы в высоковольтную и управляющую архитектуру автомобиля, активно взаимодействуя, как с системами электропитания, так и с системами связи.
Надёжная аутентификация, защита целостности, шифрование, безопасные процессы обработки встроенного программного обеспечения и защищённые каналы связи являются ключевыми элементами предотвращения несанкционированного доступа или небезопасных манипуляций. Нормативно-правовые акты о тестировании и обеспечении киберустойчивости, дополнительно усиливают эту тенденцию. В результате этих мер кибербезопасность перестала быть конкурентным преимуществом, а стала фундаментальным требованием для выхода на рынок, обеспечения долгосрочной эксплуатации и допуска продукции к продажам в целом ряде стран.
Бортовое зарядное устройство (OBC) трансформирует переменный ток из бытовой электросети в постоянный, который нужен для зарядки батареи автомобиля. Оно управляет важными функциями, включая силу зарядного тока, регулирование напряжения, тепловую защиту и связь с системой управления батареей (BMS), а также другими электронными блоками управления (ECU). Бортовое ЗУ тесно интегрирован во внутреннюю систему управления автомобиля через шину CAN (Controller Area Network), которую он использует для обмена рабочими данными и командами зарядки с системой управления. Он находится на уникальном пересечении силовой электроники, критически важных функций безопасности и каналов связи, поскольку одновременно взаимодействует с внешней зарядной инфраструктурой и внутренней сетью управления автомобилем. Поскольку шина CAN никогда не разрабатывалась с учётом современных угроз кибербезопасности, эта зависимость делает OBC уязвимым для целого ряда атак всякий раз, когда вредоносное устройство получает доступ к локальной сети автомобиля.
Сама шина CAN является основным методом внутренней связи в современных авто и промышленном транспорте. Это надёжная, дифференциальная, многоточечная сеть, предназначенная для стабильного обмена данными в сложных условиях эксплуатации. Однако отсутствие встроенных функций безопасности делает этот шлюз уязвимым для аналогичных кибератак, которые проводятся взломщиками через USB, сотовую связь, Ethernet, Wi-Fi и Bluetooth. К основным методам относятся следующие (список неполный, так как разновидностей может быть очень много и их число только увеличивается:
1. Атака типа «человек посередине»: сообщения перехватываются и потенциально изменяются между устройствами. Это позволяет осуществлять прослушивание, манипулирование данными и, возможно, кражу учётных данных. Злоумышленник может отправлять ложную информацию нескольким сетевым устройствам и потенциально управлять транспортным средством.
2. Подмена или имитация устройства: злоумышленник выдаёт себя за легитимное устройство, подделывая его идентификаторы. В случае успеха он может внедрить ложные данные, чтобы получить контроль над функциями автомобиля.
3. Повторное воспроизведение: действительные сообщения связи перехватываются и впоследствии отправляются повторно, обманывая устройства и заставляя их повторять действие, например, повторно воспроизводить команду остановки или отключения для прекращения движения.
4. Прослушивание или перехват данных: взломщик пассивно прослушивает незашифрованные сообщения, чтобы перехватить оперативные данные, личную информацию или финансовые сведения.
5. Отказ в обслуживании: шина CAN подвергается атаке большого количества сообщений, чтобы перегрузить систему, нарушая работу устройств и функции безопасности транспортного средства.
Для создания безопасного бортового компьютера (OBC) необходим подход, ориентированный на актуальную защиту с самого начала разработки, который влияет на проектирование оборудования, выбор микроконтроллера, архитектуру связи, разработку встроенного ПО, пользовательскую документацию и долгосрочную поддержку. При принятии решений по проектированию учитываются три основных принципа безопасности: аутентификация, конфиденциальность и целостность. Аутентификация подтверждает, что все команды, данные конфигурации и обновления прошивки, влияющие на работу зарядного устройства, исходят из надёжного источника. Она охватывает как подтверждённую легитимизацию устройства, так и аутентификацию прошивки. Это гарантирует, что бортовой компьютер обрабатывает сообщения только от подлинных электронных блоков по шине CAN, предотвращая внедрение вредоносных команд со стороны любых устройств. Это прямая мера противодействия подделке данных, а также атакам типа «человек посередине».
На уровне встроенного программного обеспечения этот процесс осуществляется с помощью безопасной загрузки, подписанных обновлений встроенного ПО и аппаратного корневого уровня доверия для предотвращения установки вредоносного кода. Для владельца современного электротранспорта архиважно следить за тем, чтобы любые тестовые работы или перепрошивку осуществляли работники авторизованного сервисного центра с защищённых компьютеров. Иначе всегда существует вероятность загрузить в систему автомобиля вредоносный код, который может наделать немало бед впоследствии.
Благодаря шифрованию данных, даже если злоумышленник получит доступ к шине CAN, перехваченные данные станут нечитаемыми (либо их расшифровка займёт немало времени). Только устройства с правильными ключами безопасности смогут интерпретировать информацию, нейтрализуя атаки с целью перехвата и прослушивания, направленные на сбор оперативной информации, персональных данных или данных системного уровня. Защита целостности гарантирует точность и неизменность данных. Изменение даже одного значения в сообщении может привести к небезопасному поведению. Криптографические проверки целостности позволяют OBC убедиться в том, что данные не были изменены или повреждены во время передачи. Если обнаружено какое-либо изменение, сообщение отклоняется до того, как оно сможет повлиять на поведение системы.
Эти средства защиты имеют решающее значение для противодействия современным киберугрозам и гарантии безопасной, надёжной и отказоустойчивой работы бортовых зарядных устройств в рамках более широкой экосистемы автомобиля на основе CAN-шины. Закон о кибербезопасности (CRA) вводит новые согласованные требования для всех запчастей с цифровыми элементами, создавая единую нормативную базу, которая заменяет разрозненную систему стандартов. Требования обязывают обеспечивать безопасность на этапе проектирования. Все цифровые продукты с коммуникационными возможностями должны соответствовать требованиям мониторинга безопасной эксплуатации. Производителям будет запрещено выпускать на рынок продукцию, содержащую известные уязвимости. Кроме того, они должны будут предоставлять обновления безопасности на протяжении всего жизненного цикла продукта. Соответствие требованиям будет обозначаться маркировкой «CE» и декларацией соответствия.
В зональной архитектуре следует изолировать системы восприятия и управления движением от информационно-развлекательных и потребительских устройств. Шлюзы должны обеспечивать маршрутизацию с минимальными привилегиями и фильтровать некорректный или злоупотребляющий скоростью трафик. Для облачных путей взаимное TLS-соединение с привязкой сертификатов и кратковременными учётными данными минимизирует последствия в случае утечки секретной информации.
По мере того, как платформы электромобилей интегрируют все больше программного обеспечения и подключённых компонентов, производители должны совершенствовать свои методы обеспечения кибербезопасности для защиты от новых угроз, которых с каждым днём становится всё больше.
