Otonom ve ağ bağlantılı araç teknolojileri yakın gelecekten itibaren dünyanın en önemli sektörel alanlarından birini oluşturacak. Dünya çapında 2022 yılına kadar entegre bağlanabilirlik özellikleri taşıyan 125 milyondan fazla binek aracın satışa sunulması beklenmekte. Tam otonom araçlara doğru hızla ilerleyen otomotiv pazarı bir yandan kendine devasa bir IoT/5G/bulut ekosistemi yaratırken, bir yandan da milyonlarca uç nokta ve son kullanıcıdan oluşacak bir siber güvenlik sorununa yol açabilir.
Bu konuda bir araştırma yapan siber güvenlik firması Trend Micro ağ bağlantılı araç pazarı büyüdükçe siber suçlular, hacktivist’ler, siber teröristler ve siber casusluk yapanlar dahil birçok kesime bu durumdan yasadışı para kazanma ve kötü niyetlerine alet etme fırsatı doğacağına değinmekte. Araştırmacılar çalışmada, 29 gerçek dünya saldırı senaryosunu ‘DREAD’ saldırı modeline göre inceleyerek kalitatif risk analizi gerçekleştirmişler.
DREAD modeli, varlık zararının büyüklüğünü, bir saldırının ne kadar kolay gerçekleştirilebildiğini ve çoğaltılabildiğini, istismar edilebilir bir zayıflığın ne kolaylıkta bulunabildiğini ve kaç kullanıcının etkileneceğini değerlendirmeye yaramakta. Buna göre yapılan analizlerde, 29 saldırı vektörünün başarılı bir siber saldırıya dönüşme ortalaması “Orta Düzey” olarak saptanmış. Yine de araçların elektrik/elektronik aksamlarına entegre edilecek SaaS uygulamalarının, siber suçlulara saldırıları paraya dönüştürme konusunda yeni fırsatlar sunması mümkün denilmiş.
Araçlara karşı saldırıların uzaktan yapılabilmesi, durumu epey karıştıracak. Saldırganlar belli araçları hedef alabilir veya çoklu araçlara toplu müdahaleler düzenleyebilirler. Raporda buna bazı örnekler verilmiş:
- Akıllı Ulaşım Sistemleri’ne (ITS) gerçekleştirilen DDoS saldırıları, bağlantılı araç iletişimini baskılayarak yüksek risk teşkil edebiliyor.
- Açığı ve zafiyeti olan bağlantılı araç sistemleri kolayca keşfedilip yüksek istismar riski oluşturulabilir.
- Tüm saldırı vektörlerinin yüzde 17’si yüksek risk sınıfında kategorize edilmiş. Bu saldırılar bağlantılı araç teknolojileri konusunda kısıtlı bilgiyle yapılabildiğinden, düşük teknik kabiliyete sahip bir saldırgan tarafından gerçekleştirilebilmekte.
Birleşmiş Milletler’in 2020 yılında hazırladığını duyurduğu yeni bir dizi düzenleme, dünya üzerindeki tüm bağlantılı araçların siber güvenliğe sahip olmasını zorunlu kılmak niyetinde. Avupa Birliği ise benzer bir düzenlemeyi 2022’de yürürlüğe sokmaya hazırlanıyor. Bu arada, sektöre şekil verecek yeni bir ISO standardının da hazırlık aşamasında olduğu aktarılmakta.