Kategoriarkiv: Informationssäkerhet

Säkrare informationsutbyte i fordon

Inom ramen för ett nytt Vinnova-finansierat forskningsprojekt kommer forskare vid Mälardalens högskola (MDH) ihop med Arcticus Systems och Volvo CE att ta fram ett ramverk för utveckling och användning av en ny teknik som kallas Time Sensitive Networking (TSN) [1]. Denna teknik gör det möjligt för inbyggda datorer i fordon att kommunicera stora mängder information med varandra på ett säkert sätt.

Fokus i projektet kommer att ligga på autonoma entreprenadfordon, men resultaten kommer att kunna användas i alla typer av moderna fordon.

Projektet heter DESTINE – Developing Predictable Vehicle Software Utilizing Time Sensitive Networking, har en budget på 13,5 miljoner kronor och kommer att pågå i tre år.

Egen kommentar

Det är oklart för mig om projektet kommer att utforska något om kommunikationsnätverk i fordon. Detta är också ett område som behöver vidareutvecklas med tanke på den stora mängden data som behöver skickas mellan olika enheter i fordonet. 

Källor

[1] MDH Säkrare fordon genom MDH-forskning. 2018-12-10 Länk

OECD-rapport om säkerheten med automatiserade fordon

OECDs  International Transport Forum, ITF, är en organisation med 59 medlemsstater som fungerar som ett stöd avseende policyutveckling inom transportområdet åt OECDs transportministrar. Nu har ITF släppt en rapport [1] som diskuterar säkerheten med automatiserade fordon som också innehåller ett antal rekommendationer.

Förväntningarna att man kan minska antalet trafikdöda med 90% genom automation är inte alls verifierade, konstaterar man. Även om man kan minska en del olyckor så kommer inte alla att försvinna. I vissa fall, som då vanliga förare tvingas ta över kommandot i riskfyllda situationer, kan det istället skapas nya olyckstyper.

Sensorer behöver vara redundanta och kompletteras med V2X-kommunkation, men sådan kommunikation är extra utsatt för angrepp utifrån. Cybersäkerhet är ett område som behöver fokuseras.

Det saknas erfarenheter och data för att göra en kvalificerad bedömning av säkerheten med automatisk körning. Det kompliceras av avsaknaden av utvärderingsstandarder och av att framtidens fordon kan uppgradera mjukvaran vilket kan påverka egenskaperna kraftigt.

Rekommendationer:

  1. Använd principen systematisk säkerhet för ett helhetsgrepp inom vägtransportsystemet.
  2. Tillämpa noll-visionen även på automatiserad körning.
  3. Säkra att inte säkerhetsprestanda används som konkurrensmedel för automatiserade fordon.
  4. Utvärdera noggrant påverkan på säkerheten av system som delar uppgifter mellan människa och maskin.
  5. Kräv rapportering av säkerhetsrelevanta data från automatiserade fordon.
  6.  Etablera omfattande cybersäkerhets-principer för automatiserad körning.
  7. Säkra funktionell åtskillnad mellan säkerhetskritiska system så att uppkoppling inte försämrar cybersäkerhet eller körsäkerhet.
  8. Förse fordonen med klar och tydlig information om vad de klarar av även för icke-tekniskt utbildade.

Källor

[1] Safer Roads with Automated Vehicles? International Transport Forum Länk

Trender inom datasäkerhets- och integritetsforskning för fordon

Förra veckan hölls Autosec-seminariet Trends in Automotive Security and Privacy Research, där Tomas Olovsson, docent och avdelningschef för Nätverk och system på Chalmers Data- och informationsteknik, presenterade sin forskning och annan information om fordonssäkerhet i Sverige [1].

Olovsson var mycket tydlig: 100% informationssäkerhet är omöjligt att uppnå. Istället är det viktigt att erkänna att det finns många informationssäkerhetsrisker hos både automatiserade och traditionella fordon, och att bestämma vad som är en rimlig nivå av arbete och kostnader för informationssäkerhet innefattar kostnader för skadestånd.

Vi måsta också anta att hackarna är smarta och förstår fordonsarkitektur. Den vanliga bilden av en hacker är någon som vill påverka en algoritm för att skada passagerarna. Men Olovsson menar att det finns många olika människor med motiv att hacka fordon. Ägare kan vilja ha mer motoreffekt, och nu man kan göra det genom att ändra bilens mjukvara. Förare kan vilja dölja sin fortkörning för myndigheter. Verkstäder kan sälja billigare komponenter, och tredjepartsutvecklare kan sälja ostandardiserad mjukvara. Alla dessa kan bli farliga om de skapar oavsiktliga effekter.

Mer information om detta, och om informationssäkerhetsprojekten i Sverige finns på Autosecs webbplats.

Källor

[1] Tomas Olovsson: Trends in Automotive Security and Privacy Research Presentation. 2017-09-27 Länk

Israeliska start-ups i DRIVE

Förra nyhetsbrevet hade ett referat från ett amerikanskt start-up-seminarium. Vi fortsätter idag på det inslagna spåret.

Israeliska mobilitets-centret DRIVE i Tel Aviv samlar ett 30-tal start-up-företag verksamma inom framtida mobilitet, varav 10-15 st deltar i centrets acceleratorprogram där de får chans att vidareutveckla sina idéer i samverkan med centrets partnerföretag, bland dem Honda och Volvo Cars. I måndags 4 september var Volvo Cars värd för ett seminarium där 8 av DRIVEs dessa företag visade upp sig. Här är en kort beskrivning av deras produkter.

  • Arbe Robotics utvecklar en högupplöst 4D-radar med 110 graders synfält och 50 Hz frekvens som bland annat kan detektera små rörelser som till exempel ett barn bakom en bil.
  • Caaresys har tagit fram en lågkostnads-sensor som kan detektera och klassificera personer i en bil, samt också t.ex. se om de andas, är stressade, trötta e.d.
  • Cycuro har skapat en molnbaserad plattform för realtids-validering av data för att skyddas från manipulation.
  • Exo Technologies erbjuder GPS med hög noggrannhet till under 15 cm, genom att kontinuerligt beräkna satelliternas verkliga lägen. I vanlig GPS är lägena inte tillräckligt ofta uppdaterade vilket gör att informationen som sänds ut från satelliterna blir felaktig, upp mot 2 m. Ingen ny hårdvara krävs.
  • Fleetonomy har tagit fram en plattform som optimerar rutter för bildelningstjänster.
  • Hailo har utvecklat en processor anpassad för AI med låg kostnad och hög effektivitet.
  • Lynx är en samåkningstjänst som matchar person- och reseprofiler och också innehåller en betalningstjänst.
  • RFISEE har tagit fram en radar med hög upplösning, 3D-kapabilitet och låg kostnad.

Vedecom och Karamba gör intrångssäker självkörande bil

Franska Vedecom Tech, som ägs av bl.a. Renault, Peugeot och Valeo, utvecklar ihop med israeliska Karamba Security fullt självkörande bilar som ska lanseras för begränsad användning i några europeiska städer inom ett år [1].

Det handlar om bilar för korta sträckor i speciella filer för turister i t.ex. Versaille och andra platser i Frankrike, Tyskland, Italien, Portugal och Nederländerna.

Karambas system kommer att skydda bilarna från eventuella cyber-attacker såväl internt i bilen som i kommunikation med andra bilar och med infrastrukturen.

Källor

[1] Ari Rabinovitch, Tova Cohen: Europe’s Vedecom, Israel’s Karamba developing self-driving car, Reuters 2017-06-19 Länk

Toyota testar blockchain

Toyota Research Institute (TRI) kommer att tillsammans med några samarbetspartners, däribland MIT Media Lab och Gem, utforska hur blockchain-tekniken kan användas till att utveckla säkrare och mer effektiva mobilitetstjänster med automatiserade fordon [1]. Det är samma teknik som kryptovalutan bitcoin bygger på och som kan ses som ett sätt att göra all datatransaktion i ett nätverk transparent. På det viset behövs ingen tredje part för verifikation.

Samarbetet går ut på att möjliggöra för företag och privatpersoner att på ett säkert sätt dela information om sina kördata samt få tillgång till information som andra delat med sig. Andra områden som kommer utforskas är verktyg som förenklar samåkning samt nya försäkringsprodukter.

Egen kommentar

Det är ingen hemlighet att datasäkerhet är något som oroar många, och om TRI lyckas med att få blockchain-tekniken att fungera och skapa en säker marknadsplats för datautbyte kommer det att vara ett stort genombrott. Blockchain-tekniken har bl.a. testats för sjukförsäkringar och musikdelning, men det är första gången som den utforskas för automatiserade fordon.

Källor

[1] Toyota News Releases. Toyota Research Institute Explores Blockchain Technology for Development of New Mobility Ecosystem. 2017-05-22 Länk

Hackers försöker komma åt Baidus bilar

Baidu rapporterar att deras automatiserade bilar har blivit attackerade av ett gäng ”hackers-for-hire” [1]. Enligt företagets chef för informationssäkerhet Ma Jie är det svårt att avgöra vem som ligger bakom hackergänget och vem som betalat dem.

För att skydda automatiserade bilar mot sådana attacker, som generellt sett börjar bli alltfler och allvarligare, stödjer Baidu en grupp hackerstudenter vid Tsinghua University och försöker lära sig mer om informationssäkerhet den vägen. Baidu har också ett brett samarbete om informationssäkerhet med Tencent och Alibaba.

Källor

[1] Mackenzie, T., Bloomberg. Gang of Hackers Tries to Steal Baidu’s Driverless Car Secrets. 2017-03-21 Länk

Brittiska effekter av autonoma fordon

Den brittiska sammanslutningen SMMT, Society of Motor Manufacturers and Traders, har skrivit en rapport om effekterna av fordonsautomation med rekommendationer till regeringen [1].

De potentiella effekterna med CAV = Connected and Autonomous Vehicles sägs vara:

  • Kan ge £51 miljarder årligen till den brittiska ekonomin vid år 2030
  • Kan skapa 320 000 nya arbetstillfällen, varav 25 000 inom fordonstillverkning vid år 2030
  • Kan spara 2 500 liv och undvika 25 000 allvarliga olyckor mellan år 2014 och 2030
  • Kan ge renare mobilitet och minskade utsläpp
  • Kan förbättra trafikflöde, effektivitet och minska bränsleförbrukning
  • Kan ge mobilitet åt äldre och handikappade
  • Kan öka produktiviteten

För att nå detta måste man bland annat säkra tillgänglighet och skydd av data, men också uppdatera lagstiftningen och ta fram en nationell strategi för området, där man fokuserar några få viktiga områden.

Källor

[1] K.Scharring,  S.Nash, D.Wong:  Connected and Autonomous Vehicles – Position Paper, The Society of Motor Manufacturers and Traders Ltd, February 2017 Länk

Internet-guru varnar för bristande säkerhet

Internetsäkerhets-gurun Eugene Kapersky varnar för bristande säkerhet i uppkopplade bilar i en intervju i Financial Times [1] [2].

Han säger att målsättningen med datasäkerhet är att en attack ska kosta mer än den skada den kan åstadkomma, men att det kommer att ta upp mot tio år att uppnå detta för fordonsindustrin.

Källor

[1] Peter Campbell: Internet-linked cars face hack threat, warns security expert, Financial Times 2016-04-17 Länk

[2] Connected cars “safer but less secure” – Kaspersky, Mobile World Live 2016-04-18 Länk

IT-säkerhet på FFI-konferensen

Tisdag 24 november hölls årets programkonferens för FFI, Fordonsstrategisk Forskning och Innovation, i Berns salonger i Stockholm. Temat i år var ”Digitalisering för trafiksäkerhet, miljö och svensk konkurrenskraft!” Automatiserade fordon nämndes förstås flera gånger i såväl föredrag om trender som i diskussioner och resultapresentationer, även om det inte var huvudfokus denna gång.

Det som jag tyckte var av störst intresse var Robert Malmgrens föredrag om IT-säkerhet. Robert är säkerhetskonsult i bolaget ROMAB och enligt tidningen Computer Sweden, Sveriges främste IT-säkerhetsexpert.

Moderna bilar är i princip datorer på hjul med över 100 miljoner rader kod. Men till skillnad från våra hemdatorer är konsekvenserna av ”oväntat besök” i form av virus, hackning etc. betydligt allvarligare. Tyvärr är fortfarande många bilar alltför åtkomliga för attacker och intrång på många sätt, inte bara i själva bilen utan också i hela det uppkopplade ekosystemet. Det går lätt att hitta dåliga exempel, bland annat i själva uppdateringsprocessen – Robert visade ett antal.

Men det går också att hitta goda exempel, inte minst från Tesla Motors, som förutom att de använder ”over the air”-uppdateringar också erbjuder tipspengar för tips om buggar och säkerhetsfel. Man belönar alltså istället för att jaga och bestraffa.

Robert rekommenderar branschen att konstruera systemen redan från början med tanke på säkerhet, med grundsäkerhet, underhållbarhet och hantering av 3e-partslösningar, samt att ha lösningar för snabba, säkra och fungerande uppdateringar.

Enligt Robert så kommer Volkswagengruppens mjukvarufifflande att öka kunders, intresseorganisationers och myndigheters krav på IT i bilar.

Roberts presentation hittar ni här.