Dne 15.4. proběhla na Fakultě strojní Vysokého učení technického v Brně přednáška s názvem Kyberbezpečnost. Přednáška byla součástí série odborných přednášek v rámci projektu ITEM. Celé sérii přednášek je věnován web AutaVUT. Přednášejícím byl pan Ing. Jan Hnilica, Business Unit Manager ze společnosti TÜV SÜD Czech s.r.o.

Na začátku byla stručně představena firma TÜV SÜD, její činnost a historie. Následovalo představení pojmů z oblasti kybernetické bezpečnosti (malware, ransomware, phishing…) a přehled nejčastějších kybernetických hrozeb v Evropské unii v rámci automobilového průmyslu. Mezi tyto patří:

• Útoky na zásobovací řetězce
• Kompromitace OTA (over the air) aktualizací
• Malware zaměřený na ECU (Electronic Control Unit, elektronická řídicí jednotka)

Jelikož každé dnešní auto má v sobě několik komunikačních jednotek a složitou elektroniku (a podstatná část vozidel dostává pravidelně aktualizace softwaru), je nutné kybernetickou bezpečnost řešit u všech aut. Vektory (typy) nejčastějších útoků na automobily zahrnují útoky na:

• Telematiku a servery výrobce
• Bezklíčový přístup
• Řídicí jednotky
• Komunikační rozhraní vozidel
• Infotainment
• Mobilní aplikaci sloužící ke vzdálené správě vozu
• Nabíjecí infrastrukturu u elektromobilů

Přednášející stručně představil několik norem, které řeší kyberbezpečnost vozidel, nejdůležitější z nich jsou ISO 21434, R155 a R156. Tato část přednášky byla zakončena přehledem nejdůležitějších oblastí dopadu útoků; zde se jedná o zdraví a soukromí uživatelů a bezpečný provoz na silnicích.

Následně byl představen přístup, jakým TÜV SÜD řeší testování komponent, automobilů a jejich systémů pro své zákazníky (nejčastěji automobilky). Firma využívá expertízu tzv. etických hackerů, kteří musejí mít široký záběr znalostí informatiky a automotive. Typický rozsah testování zabere 4 týdny: týden příprava, 2 týdny testování, týden vyhodnocení. Toto nahlédnutí do testovacího procesu firmy bylo na konci přednášky doplněno praktickými ukázkami (videi), kde kolega přednášejícího ukazoval příklady zneužití bezklíčového přístupu nebo CAN sběrnice.

Další část přednášky byla věnována jednotlivým částem výroby a provozu vozidla. Kromě bezpečnosti vozidla při provozu je nutné řešit také bezpečnost dodavatelského řetězce a výrobních továren (obsahují množství hardware a strojů, jejichž nefunkčnost může ochromit nebo zastavit celou výrobu). Kvůli tomu musí mít každý výrobce zavedený systém řízení kybernetické bezpečnosti (CSMS) pro celý životní cyklus vozidla. Výše zmíněná norma R155 zmiňuje, že životní cyklus vozidla končí, až když neexistuje žádné provozuschopné vozidlo daného typu.

Na závěr byl také zmíněn nový předpis Evropské unie (CRA – Cyber Resilience Act, akt o kybernetické bezpečnosti), který již vešel v platnost a od září letošního roku (2026) bude vymahatelný. Akt stanovuje povinné požadavky na kybernetickou bezpečnost digitálních produktů uváděných na trh EU. Nevztahuje se přímo na automobily (které řeší kybernetickou bezpečnost v rámci výše zmíněných norem R155, R156 a ISO 21434) jako takové, ale týká se zařízení od jednotlivých dodavatelů jako jsou řídicí jednotky, dodavatelé software, komponenty s přístupem na internet nebo cloudová infrastruktura. Více informací k CRA lze najít například zde.

Projekt ITEM. (Zdroj: ITEM, https://sites.google.com/vutbr.cz/item/dom%C5%AF)