커넥티드 카, 사이버 보안에 대한 NHTSA 업데이트 지침

국도교통안전국(NHTSA)은 “인명을 구하고 부상을 막고 차량 관련 충돌을 줄이기”라는 공식적인 미션 목표를 내걸고 있습니다만, 최근 몇 년간 자동차 커넥티비티에 중점을 두고 있습니다. 실제로 이 기관은 최근 2016년에 만들어진 자동차의 사이버 보안에 대한 지침을 업데이트했습니다.

이것은 NHTSA의 진정한 역할에 대해 의문을 제기하고 있지만, 명확하게 정의 된 지침이 부족한 새로운 자동차 기술이 점점 보편화됨에 따라 대부분의 정부 규제 당국은 힘을 발휘합니다. 안전 기관은 적어도 사이버 보안 지침 (현재 자발적)을 해킹 우려에 연결하는 데 성공했습니다. 이것은 영향을받는 자동차의 작동에 영향을 미치고 거리에서 신체적 피해를 야기 할 수있는 방법입니다.

“차량 기술과 연결이 발전함에 따라 사이버 보안은 모든 자동차 제조업체, 개발자 및 운영자에게 최우선 사항이어야합니다.”라고 NHTSA 장관 인 스티븐 클리프는 말했습니다. 임원. “NHTSA는 우리 도로에서 차량의 안전을 위해 노력하고 있으며, 이러한 업데이트된 모범 사례는 사이버 보안 위험으로부터 미국인을 보호하는 중요한 도구를 업계에 제공합니다.”

이 기관에 따르면 2022년 사이버 보안 모범 사례는 독자적인 기존 조사, 업계 자율 기준 및 지난 몇 년간의 자동차 사이버 보안 조사에서 얻은 교훈을 활용하고 있습니다. 지침의 기초는 2016 년에 도입 된 초기 초안과 트럼프 행정부의 마지막 며칠 동안 발행 된 공개 코멘트의 요청에서 비롯되었습니다.

이전 버전은 좀 더 상세하지만 2022년 버전에는 몇 가지 항목이 추가되어 2016년에 운영이 시작된 자동차 정보 공유 및 분석 센터(Auto ISAC)에 참여하는 더 많은 기업을 보고 싶다는 NHTSA 의 소망이 더욱 강조됩니다. Auto ISAC은 사이버 공격을 완화하는 데 도움이 되는 전제하에 차량 데이터를 공유하는 기업(글로벌 자동차 제조업체, 공급업체, 기술 기업 등)의 업계 주도형 연합입니다. 비평가들은 이 그룹이 커넥티드카에 관한 정부의 규제 노력을 이끌기 위한 로비 활동에 불과하다고 비난하고 있습니다. 그러나 지지자는 해킹 위협을 식별하고 예방하는 데 전념하는 그룹을 보유하는 것이 궁극적으로 유익하다고 생각합니다.

어쨌든, 지침 보고서의 두 버전 모두 기업이 “증대하는 사이버 보안 문제를 해결할 준비가 된 문화”를 수립해야합니다. 이는 기존 취약점에 대해 연결된 시스템을 테스트하는 데 더 많은 비용을 들이고 기업 간 또는 정부간에 잠재적인 취약성을 보다 적절하게 전달하는 것입니다(이상적으로 Auto ISAC 를 통해), 그리고 제품의 사이버 보안에 직접 책임이 부서 전체를 감독하는 높은 수준의 기업 임원을 임명하는 것을 의미합니다. 「톱 다운」의 경영 중시. 2022 년에는 단순히 이러한 요구 사항을 확장했으며 회사는 “응용 프로세스의 효과를 정기적으로 평가하기위한 지표를 개발해야한다”고 덧붙였다.

후자의 지침은 “US-CERT 연방 인시던트 통지 지침에 따라 인시던트가 CISA / 미국 컴퓨터 비상 대응 팀 (US-CERT)에도보고해야한다”고 제안합니다. 정보 공유는 실제로 두 보고서의 대부분을 차지하며 NHTSA는 대통령령 13691을 언급합니다. 이것은 “업계별 정보 공유 및 분석 조직의 개발과 형성을 장려하고 민간 기업, 비영리 조직으로 부르는 오바마 시대의 지침입니다., 집행 부서, 기관 및 기타 엔티티는 “사이버 보안 위험 및 사고와 관련된 정보를 공유하고 가능한 한 실시간으로 협력해야 합니다.

자동차에 국한되지는 않지만 EO 13691은 NHTSA에 중요한 문제이며, 기본적으로 국가 안보 우려로 모든 사람에게 자동차 ISAC에 참여하도록 요구하는 NHTSA의 요구를 지원합니다. 그러나 자동차 제조업체의 글로벌 연합이 제품이 전세계에 판매 될 때 미국을 특별히 보호하기 위해 일부러 가는 이유로 아무도 노력하지 않는 것 같습니다.

NHTSA의 2022년 사이버 보안 모범 사례의 나머지 부분에서는 사이버 보안 문제가 발생하는 경우 보고 시스템과 조치를 수립하는 것이 좋습니다. 현재, 대행사는 Auto ISAC를 승인하는 것보다 상당히 비 구체적입니다. 그러나 NHTSA가 데이터 침해 및 잠재적 해킹 취약성에 관해서는 업계 감사 자체를 선호하는 것으로 보이더라도 결과적인 프로세스가 차량 안전 리콜의 독특한 프로토콜을 모방하기를 원합니다. 입니다.

애프터마켓 제품 및 차량 펌웨어 및 소프트웨어 코드에 대한 액세스를 누구에게 허용할지에 대한 몇 가지 문구가 변경되었습니다. 이전 버전에서 NHTSA는 업계가 애프터마켓 장치를 검토하고 장치가 안전과 관련이 없는 경우에도 “생명의 안전에 어떤 영향을 미치는지”를 고려할 것을 제안 하고 있습니다. 새로운 초안에서 대행사는 ‘애프터마켓/사용자 소유 기기’를 언급하고 애프터마켓 업체에 보안 위험을 고려하도록 요청하고 모든 타사 기기를 ‘인증하고 적절한 제한된 액세스를 제공합니다. ‘하는 것이 좋습니다.

이는 차량 디버그 포트, 직렬 콘솔 또는 차량 Wi-Fi 네트워크의 열린 IP 포트를 통한 일반적인 액세스 제한에 대한 섹션에서 확장되었습니다. 이상적으로 NHTSA는 진단 기능을 최소화하여 개발자 수준의 액세스를 제한하고 제조업체가 관련 하드웨어 및 궁극적으로 변경된 후 차량의 작동을 보다 적절하게 제어할 수 있도록 합니다. 이를 통해 ECU에 액세스할 수 있는 사용자를 줄이고 싶습니다. 또한 “개발자의 디버그 액세스를 목적으로 하는 커넥터, 트레이스 또는 핀을 단순히 물리적으로 숨기는 것은 충분한 보호 형태로 간주되어서는 안됩니다”라고 말합니다.

이것은 확실히 미국에서 마침내 전진하고 있는 수리의 권리운동을 괴롭히게 될 것이다. 서비스에 의한 액세스를 과도하게 제한하지 않음”을 보장함으로써 차량이 계속 사용할 수 있음을 보장하는 2016년 보고서의 요청을 유지하였습니다. 를 제안함으로써 단어는 완화됩니다.

내 견해에서 NHTSA는 이러한 시스템이 어떻게 규제되는지 너무 신경 쓰고 있으며 그 존재 자체가 불필요한 안전 위험을 나타낼 가능성을 완전히 무시합니다. 있습니다. 예를 들어, 내가 백업 차량으로 가지고 있는 죽일 수 없는 2000 도요타 카롤라 VE는, 턴바이턴 방식의 경로 안내를 제공해 주지 않거나, 포켓에 손을 뻗지 않고 휘발유 요금을 지불하거나 할 수 없을지도 모른다 수 있습니다. 그러나 인터넷에 연결할 수 없기 때문에 개인 정보 도난, 제조업체 데이터 수집 또는 차량 해킹에 노출되지 않습니다. 정부가이 사실을 고의로 무시하는 것은 새로운 문제는 아니지만. 나는 수년 동안 입법자가 이 문제에 대한 지식의 부족을 반복적으로 보여주고 있는 것을 보았다. 그 결과, 많은 사람들이 전문가(종종 업계 로비스트)에게 맡기고 현대 기술의 가장 기본적인 측면을 다루지 못했습니다.

NHTSA는 평균 상원 의원보다 상당히 자세한 정보를 갖고 있을 수 있지만 커넥티드 자동차 기술은 누구에게나 따라잡기 어려운 속도로 발전하고 있습니다. 이것은 보고서를 읽을 때 분명해집니다. 대부분의 내용은 기본적으로 고객이나 타사 수리 공장을 심하게 손상시키지 않고 업계가 협력하여 스스로를 규제할 것을 대리점에 요구하고 있기 때문입니다. 그러나 연결된 기술이 취약점을 낳을 때 제조업체에 책임을 지는 데는 별 관심이 없는 것 같습니다.

궁극적으로 연방 통신위원회 (FCC)의 책임이라고 주장 할 수 있습니다. 그러나 자동차 부문의 규제와 관련하여 통신위원회는 상당히 무관합니다. FCC는 실제로 통신 대역의 어느 부분을 결정하는 것에 관심을 보여주고 있지만, 교통부 (DOT)와 NHTSA는 2017 년 모든 신차에서 차량 간 및 통신을 법적 요구 사항 하는 것을 실제로 제안했습니다. 이는 미국 규제 당국이 자동차 연결 문제에 대해 일반적으로 어떤 입장을 취하고 있는지를 보여줍니다.

[Image: Virrage Images]

Leave a Comment