Det har gått fem år sedan den amerikanska myndigheten Nhtsa senast släppte riktlinjer för cybersäkerhet i fordon. Nu kommer en uppdatering. Det är bara rekommendationer, inga krav.
”Att blott och bart fysiskt gömma anslutningar eller stift som används för debug-åtkomst ska inte anses utgöra en tillräcklig form av skydd”.
Det är ett av tipsen i en nyutkommen vägledning från den amerikanska trafiksäkerhetsmyndigheten Nhtsa.
Alla kommunikationsgränssnitt till bilen är möjliga intrångsvägar för cyberattacker. Nya exempel på detta dyker upp med jämna mellanrum.
För en månad sedan rapporterades exempelvis en attack på Kia- och Hyundai-bilar via USB som i princip var ekvivalent med klassikern att köra in en skruvmejsel i tändningslåset. Den falska säkerheten bestod i att USB-porten var gömd i ratten bakom en kåpa – som synes i strid med Nhtsas tips ovan.
Personsäkerhet är en väl inarbetad tradition med gott om krav på tillverkarna. Inte så för det färskare området cybersäkerhet. En av nyheterna i den nya Nhtsa-guiden är dock att det sedan den förra versionen faktiskt dykt upp några designstandarder för cybersäkerhet i fordon, som ISO/SAE 21434, och det är något som Nhtsa nya riktlinjer förhåller sig till.
Nhtsas tips handlar om att skydda fordonet från dataintrång via allt från OBD-II till Wifi. Dagens bilar är ”datorer på hjul”, sägs det, och tipsen är egentligen snarlika vilken datasäkerhetsguide som helst för IT-system eller inbyggda system.
Råden hålls på en allmän checkliste-nivå. Det finns exempelvis inga specifika råd om Wifi, utan bara exempelvis rådet att TCP/IP-portar som inte används ska vara stängda och att de som används ska vara krypterade.
Anslutningar ska autentiseras, bakdörrar ska stängas efter att utvecklingen är klar, eventuella portar som är öppna för debugging eller diagnostik ska inte erbjuda generell access, utan bara ett genomtänkt urval användbara funktioner. Kryptering som används ska vara av senaste snitt.
Vad gäller mjukvaran ska systemarkitekturen försöka isolera dess delar från varandra, särskilt säkerhetskritiska system.
Riktlinjerna bygger till stor del på biltillverkarnas egen forskning och erfarenheter, exempelvis i organisationen Auto-ISAC där vi hittar Volvo som medlem tillsammans med andra biltillverkare som Toyota, Volkswagen och Mazda, och komponentleverantörer som ZF och Bosch.
Läs riktlinjerna här (länk).