Ô tô thông minh hơn đi kèm nhiều rủi ro hơn
Một chiếc Rolls-Royce hay một chiếc Toyota đều có thể bị “hack” sóng và bị đánh cắp trong tay tin tặc.
Thời nay, ô tô không còn đơn thuần là cỗ máy cơ khí mà đã biến thành những "máy tính di động". Ô tô kết nối liên tục với Wi-Fi, internet và thậm chí là các thiết bị thông minh khác để cung cấp các tiện ích cho người tiêu dùng. Sự phát triển này song hành với một thực tế đáng báo động: rủi ro an ninh mạng đối với ngành ô tô đang tăng vọt và trở nên phức tạp hơn bao giờ hết.
Rủi ro an ninh
Ông Nguyễn Trung Tín, Giám đốc Công nghệ và Phát triển kinh doanh (VinCSS), minh họa điều này bằng 3 trường hợp điển hình với 3 thương hiệu ô tô hàng đầu thế giới.
Đầu tiên là trường hợp xe Rolls-Royce bị đánh cắp ở Vương quốc Anh. Những chiếc xe sang trọng này đã bị trộm bằng một kỹ thuật gọi là "tấn công chuyển tiếp" (relay attack). Kẻ gian sử dụng ăng-ten để đứng giữa xe và ngôi nhà của chủ xe, sau đó chặn và chuyển tiếp tín hiệu từ chìa khóa thông minh đang ở trong nhà. Tín hiệu bị đánh cắp này sau đó được chuyển đến xe, cho phép kẻ trộm mở cửa và khởi động xe, làm chiếc xe "biến mất trong 60 giây".
Thứ hai là trường hợp liên quan đến Toyota, nơi tin tặc khai thác một lỗ hổng phổ biến. Hầu hết các xe ô tô, bao gồm nhiều mẫu xe Toyota, chạy trên giao thức truyền thông CANbus. Kẻ xấu đã lợi dụng một cổng giao tiếp cứng trên xe, thường là cổng chẩn đoán nằm phía sau đèn pha. Bằng cách tháo đèn pha, tin tặc có thể cắm thiết bị của họ vào cổng này để truy cập vào hệ thống của xe và khởi động. Chiếc xe cũng "biến mất trong 60 giây".
Cuối cùng, ông Nguyễn Trung Tín đề cập đến một thử nghiệm của các nhà nghiên cứu bảo mật với xe Jeep cách đây vài năm. Họ đã chứng minh khả năng kiểm soát một chiếc Jeep từ xa trong khi tài xế đang lái xe trên đường cao tốc. Các nhà nghiên cứu có thể truy cập và điều khiển cần gạt nước, radio và thậm chí là tốc độ của chiếc xe. Ông Tín nhấn mạnh rằng mặc dù việc kiểm soát cần gạt nước có vẻ đơn giản, nhưng nó có thể trở thành một vấn đề an toàn nghiêm trọng nếu xảy ra trong điều kiện thời tiết xấu hoặc vào ban đêm.
Ông Tín cho biết, một chiếc xe ô tô hiện đại có rất nhiều “cổng” để tin tặc có thể tấn công vào. Ví dụ như truy cập cắm dây qua cổng USB để tải phần mềm độc hại, hay truy cập từ xa qua mạng di động, Wi-Fi, Bluetooth, hay các bản cập nhật phần mềm qua mạng (over-the-air updates). Ngay cả việc các xe giao tiếp với nhau (vehicle-to-vehicle communication) cũng có thể trở thành một "vector" tấn công.
Quy định bằng luật
Để đối phó với những mối đe dọa ngày càng tinh vi này, ngành công nghiệp ô tô đang áp dụng các giải pháp toàn diện, trong đó quy định đóng vai trò then chốt. Con người thường có xu hướng "lười biếng" và sẽ không tự nguyện thực hiện các biện pháp bảo mật nghiêm ngặt nếu không bị buộc phải làm vậy. Do đó, các quy định mới từ Liên Hợp Quốc, Liên minh Châu Âu và các quốc gia như Trung Quốc, Ấn Độ, Mỹ đang yêu cầu các nhà sản xuất phải có chứng nhận an ninh mạng trước khi bán xe ra thị trường.
Một trong những chiến lược quan trọng là tích hợp an ninh mạng ngay từ giai đoạn lập kế hoạch của mỗi mẫu xe. Điều này đòi hỏi các nhà sản xuất ô tô (OEM) phải đánh giá khả năng an ninh mạng của các nhà cung cấp và thiết kế phần mềm, phần cứng với tư duy bảo mật ngay từ đầu. An ninh mạng không chỉ dừng lại ở giai đoạn sản xuất mà là một vòng đời liên tục, kéo dài ngay cả khi xe đang lăn bánh trên đường.
Các nhà sản xuất cũng đang thiết lập các Trung tâm Điều hành An ninh Xe (Vehicle Security Operation Center - SOC) để giám sát và bảo vệ toàn bộ đội xe của mình. Các trung tâm này có khả năng theo dõi vị trí của xe (mà không biết chủ sở hữu cụ thể để bảo vệ quyền riêng tư người dùng), phản ứng khi có sự cố, liên tục cải tiến quy trình và đảm bảo tuân thủ các quy định hiện hành.
Thách thức
Mặc dù những nỗ lực này rất đáng kể, nhưng ngành công nghiệp an ninh mạng ô tô vẫn phải đối mặt với nhiều thách thức lớn. Một trong số đó là thiếu hụt chuyên gia. Do đây là một lĩnh vực tương đối mới, không có đủ kỹ sư an ninh mạng chuyên biệt cho ô tô và các công ty thường phải điều chuyển kỹ sư từ các bộ phận khác sang, những người có thể hiểu về kỹ thuật điện hoặc về xe nhưng lại thiếu kiến thức chuyên sâu về an ninh mạng. Mặc dù đã có các chương trình đào tạo chính thức và chứng chỉ, kinh nghiệm thực tế vẫn còn hạn chế trên toàn ngành.
Thêm vào đó, các nhà cung cấp cũng là một vấn đề lớn về an ninh mạng. Khi các OEM phải tuân thủ quy định nghiêm ngặt, họ cũng phải yêu cầu các nhà cung cấp của mình tuân thủ theo, nhưng nhiều nhà cung cấp chưa từng thực hiện phát triển phần mềm an toàn trước đây.
Sự phức tạp còn đến từ việc các mối đe dọa và công nghệ luôn phát triển không ngừng, cùng với việc các quy định mới liên tục được ban hành và khác nhau giữa các khu vực. Một thách thức khác là quản lý vòng đời của phần mềm và bản thân chiếc xe. Với việc ô tô có thể được sử dụng trong 20 năm hoặc hơn, câu hỏi đặt ra là liệu có nên tiếp tục cung cấp hỗ trợ an ninh mạng cho các phần mềm đã hết hạn sử dụng hay không.
Việc tích hợp an ninh mạng sâu rộng vào quy trình sản xuất ô tô mang lại nhiều lợi ích nhưng cũng đi kèm với những ảnh hưởng đáng kể đến hoạt động kinh doanh. Trước hết, nó có thể kéo dài chu kỳ phát triển sản phẩm do có thêm các bước kiểm tra và xác nhận bảo mật. Điều này cũng dẫn đến tăng chi phí cho nghiên cứu và phát triển cũng như cho việc tuân thủ các bản cập nhật quy định, ông Tín cho biết.
Rủi ro lớn nhất có lẽ nằm ở chuỗi cung ứng. Ngay cả khi một công ty ô tô lớn có hệ thống bảo mật vững chắc, một mắt xích yếu trong chuỗi cung ứng, cũng có thể gây ra thảm họa.
Trường hợp của Toyota là một minh chứng rõ ràng. Vài năm trước, 14 nhà máy của họ tại Nhật Bản đã phải đóng cửa trong nhiều ngày vì một nhà cung cấp của họ bị tấn công mạng. Điều này cho thấy rằng một cuộc tấn công vào một nhà cung cấp tưởng chừng không quan trọng cũng có thể gây ra thiệt hại nghiêm trọng cho hoạt động kinh doanh và tài chính của một thương hiệu toàn cầu. Hơn nữa, những vụ việc như vậy còn kéo theo rủi ro pháp lý và ảnh hưởng nghiêm trọng đến danh tiếng thương hiệu.
Dù có thể tăng chi phí và công việc, mục tiêu quan trọng nhất của việc tăng cường an ninh mạng ô tô là nâng cao sự an toàn và trải nghiệm của khách hàng. Đây không chỉ là trách nhiệm mà còn là yếu tố quan trọng để tạo sự khác biệt trên thị trường và bảo vệ nhà sản xuất trong một thế giới ngày càng kết nối. An ninh mạng ô tô không còn là một lựa chọn mà là một yêu cầu bắt buộc đối với ngành công nghiệp hiện đại. Việc bảo vệ những "cỗ máy lăn bánh" này khỏi các mối đe dọa mạng là điều tối quan trọng để đảm bảo an toàn, bảo vệ danh tiếng và thúc đẩy sự đổi mới bền vững trong tương lai, ông Tín nhận định.