Ketika kendaraan menjadi semakin terhubung dan kompleks, diperlukan investasi besar dalam keamanan siber dan profesional TI. Rata-rata kendaraan memiliki 100 juta baris kode, dibandingkan dengan Boeing Dreamliner yang kurang dari 7 juta, menurut Continental.
Menurut spesialis data Research and Markets, pasar keamanan siber otomotif akan tumbuh menjadi $17,7 miliar pada tahun 2031 dari sekitar $2,8 miliar pada tahun lalu.
Dan ada pertanyaan apakah industri otomotif sudah siap.
Argus Cyber Security Israel, anak perusahaan Continental, menemukan bahwa 58 persen produsen mobil kecil dan pemasok mobil belum siap untuk menciptakan sistem manajemen yang berfokus pada keamanan siber kendaraan yang mematuhi Peraturan 155 Komisi Ekonomi Perserikatan Bangsa-Bangsa untuk Eropa (UNECE) tidak mematuhinya.
Selain itu, Peraturan 156 komisi tersebut mengatur protokol keamanan siber untuk pembaruan perangkat lunak pada kendaraan baru dan akan dimulai pada bulan yang sama.
“Tidak ada seorang pun yang siap dan sejujurnya, seluruh rantai otomotif tidak siap,” kata Gulroz Singh, seorang eksekutif di NXP Semiconductors yang berbasis di Austin, Texas. memberi tahu Berita Mobil Eropa publikasi saudara perempuan Berita mobil.
Mengelola Risiko Siber
Kedua peraturan PBB yang baru ini mewajibkan penerapan langkah-langkah di empat disiplin ilmu utama, mulai dari pengelolaan risiko siber kendaraan dan pengamanan kendaraan yang dirancang untuk memitigasi risiko di sepanjang rantai nilai hingga mendeteksi dan merespons insiden keamanan di seluruh armada kendaraan.
Area terakhir memerlukan penyediaan pembaruan perangkat lunak yang aman dan terjamin serta memastikan bahwa keselamatan kendaraan tidak terganggu, memperkenalkan dasar hukum untuk pembaruan perangkat lunak melalui udara (OTA).
Meskipun industri otomotif secara luas setuju bahwa keamanan siber adalah prioritas utama bagi produsen mobil untuk memastikan keselamatan sistem kendaraan dan penumpangnya, tidak semua orang senang dengan peraturan PBB/ECE.
Eric Dequi, pakar senior arsitektur dan keamanan siber Stellantis EE, mendukung pembuatan aturan yang memperjelas dan menstandardisasi keamanan siber.
“Keselamatan, keamanan, dan kerahasiaan operasional diperlukan dan wajib,” katanya dalam tanggapan email atas pertanyaan. “OEM bertanggung jawab – sesuai dengan undang-undang – untuk mengelola kontrol akses kendaraan guna membatasi dampak.”
Titik lemahnya
Gerd Preuss dari ADAC, klub mobil terbesar di Jerman, dan pemimpin kelompok kerja keamanan kendaraan dan akses data EuroNCAP, menjelaskan melalui email bahwa serangan siber kendaraan yang terjadi saat ini sebagian besar dilakukan melalui antarmuka seperti port diagnostik on-board (OBD) ) atau melalui serangan man-in-the- -man-in-the-middle melalui manipulasi koneksi Bluetooth.
“Produsen kendaraan diwajibkan oleh UNECE R155 untuk menawarkan langkah-langkah keamanan TI pada kendaraan melalui sistem manajemen keamanan siber,” katanya.
Namun, dari sudut pandang konsumen, undang-undang ini tidak memiliki persyaratan kinerja khusus dan kriteria penerimaan yang seragam.
Preuss mengatakan EuroNCAP tidak hanya berencana untuk mengisi kesenjangan tersebut dengan pengujiannya sendiri, namun juga berencana untuk menjelaskan bagaimana pemilik kendaraan dapat dengan aman memantau dan mengontrol aliran data dari atau ke kendaraan.
‘Peraturan yang jelas’
“Keamanan TI merupakan prasyarat untuk pengoperasian kendaraan yang aman dan ramah lingkungan,” lanjut Preuss. “Investasi pada keamanan TI untuk kendaraan sangat penting untuk melindungi data pribadi, mencegah serangan siber, memenuhi persyaratan peraturan, dan menjaga reputasi merek. Akses terhadap data untuk perbaikan dan pemeliharaan juga memerlukan investasi pada keamanan TI, yang hanya memungkinkan akses resmi.”
Chief Product Security and Privacy Officer Continental, Mathias Dehm, juga setuju dengan penerapan peraturan yang lebih ketat. Ketika kendaraan menjadi lebih kompleks, peraturan dapat menjadi pedoman bagi produsen mobil dan pemasoknya.
“Jika kita melihat ke lima tahun ke belakang, tidak ada standar atau peraturan internasional yang nyata mengenai hal ini,” katanya. “Tetapi sekarang dengan peraturan yang jelas dari UNECE dan juga standar internasional ISO/SAE 21434, industri ini memiliki panduan yang lebih baik dan untuk memastikan tingkat keamanan siber yang sama di seluruh industri.”
Dia menambahkan bahwa hal ini penting di seluruh rantai pasokan karena semuanya harus berjalan lancar.
Meskipun fokus peraturan UNECE sebagian besar jatuh pada produsen mobil, Dehm mencatat bahwa peraturan tersebut juga menetapkan bahwa standar harus dipenuhi di setiap mata rantai pasokan.