Ngành công nghiệp ô tô hiện đại đang chuyển dịch mạnh sang xe thông minh, xe kết nối (Connected Vehicles) và xe tự hành vv.. Điều này khiến cho vấn đề an toàn thông tin trở thành một yêu cầu bắt buộc. Trên thực tế một chiếc xe hiện đại ngày nay có chứa hàng chục bộ điều khiển điện tử (ECU), kết nối Internet, Bluetooth, Wi-Fi, 4G/5G, OTA… hàng loạt thiết bị này khiến chúng gia tăng nguy cơ bị tấn công mạng.
Các mối đe dọa chính trong an toàn thông tin ngành ô tô
Một chiếc xe oto hiện nay được các nhà sản xuất ra có chứa khá nhiều thiết bị thông minh có thể kể đến như bộ điều khiển điện tử (ECU), kết nối Internet, Bluetooth, Wi-Fi, 4G/5G, OTA…Nhờ tính tiện lợi sử dụng kết nối mạng nên đảm bảo xe của bạn an toàn hơn tuy nhiên vẫn tiềm ẩn nhiều rủi ro lớn trong việc mất an toàn thông tin và bị tấn công mạng. Những mối đe dọa chính trong an toàn thông tin ngành oto có thể kể đến như sau:
1: Tấn công vào hệ thống điều khiển xe
Một số rủi ro về hệ thống tấn công đó chính là việc tấn công vào hệ thống điều khiển xe oto như các tin tặc sẽ can thiệp vào CAN bus để kiểm soát phanh, ga, lái. Điều này khiến cho xe của bạn có thể bị chiếm quyền kiểm soát và từ đó gây tai nạn giao thông hay bị sử dụng vào mục đích xấu.
Hậu quả của tấn công vào hệ thống điều khiển chính là xe của bạn không phanh hoặc bị phanh bất thường. Xe ga của bạn có thể tự tăng hoặc không phản hồi. Mắt trợ lực lái và mất ổn định hệ thống ADAS / tự lái
2: Xâm nhập qua kết nối không dây
Hiện nay các Xe hiện đại có nhiều giao diện không dây nên đang gặp nhiều rủi ro bị xâm nhập qua kết nối không dây (Wireless Attacks). Hệ thống có thể xâm nhập vào Bluetooth, Wi-Fi / Hotspot, NFC, Key fob (RFID / UHF) hay V2X (C-V2X hoặc DSRC) và TPMS (cảm biến áp suất lốp). Các loại giao diện này thường khá tiện lợi nhưng có thể tạo thêm bề mặt tấn công từ xa cho phép các hacker có thể tiếp cận mà không cần đụng tới cổng vật lý.
3: Tấn công vào hệ thống giải trí (IVI)
Hiện nay các loại xe hiện đại thường có nhiều hệ thống giải trí bên trong đó như màn hình điện tử, hệ thống âm thanh, vv.
Hệ thống IVI là một trong các bề mặt tấn công lớn nhất vì: Có nhiều giao tiếp với thế giới bên ngoài (USB, Bluetooth, Wi-Fi, Internet). Chạy hệ điều hành (Android Automotive, QNX, Linux…), có trình duyệt, ứng dụng bên thứ ba.
4: Tấn công OTA (Over-the-air updates)
Hệ thống OTA cho phép nhà sản xuất có thể cập nhật firmware ECU, IVI, TCU, vá lỗi bảo mật cũng như cải thiện tính năng. Với những tiện ích đó thì hệ thống OTA đồng thời, đây cũng là một trong những bề mặt tấn công nguy hiểm nhất, vì nếu bị lợi dụng, firmware độc hại có thể được cài trực tiếp vào xe.
Các hình thức tấn công OTA phổ biến (mức khái niệm)
- Giả mạo bản cập nhật (Fake Firmware / Tampering)
- Chiếm quyền backend OTA (cloud-side attack)
- Tấn công MITM (Man-in-the-Middle) trên đường truyền
- Lợi dụng lỗ hổng trong TCU hoặc module OTA
5: Tấn công cloud backend
Cloud backend của hãng xe là trung tâm điều khiển mọi dịch vụ kết nối của xe. Hệ thống có thể bao gồm: OTA Update Server, Telematics/TCU Server, Navigation & Map Service, Remote Control API (khóa/mở xe, nổ máy, điều hòa…) vv
Các hình thức tấn công cloud backend (mức khái niệm)
- Tấn công vào API điều khiển từ xa (Remote Control API)
- Chiếm quyền tài khoản (Account Takeover)
- Sai cấu hình hệ thống cloud (Misconfiguration)
- Lỗ hổng trong dịch vụ OTA server
- Tấn công vào kênh giao tiếp xe ↔ cloud
Một số giải pháp an toàn thông tin theo từng lớp
Với những rủi ro về mất an toàn thông tin như trên thì hiện nay có nhiều giải pháp giúp đảm bảo an toàn thông tin cho các phương tiện oto như sau:
1. Bảo mật trong xe (In-vehicle security)
Hệ thống bảo mật trong xe có thể bao gồm việc mã hóa và xác thực trên CAN/FlexRay/LIN. Tường lửa nội bộ giữa các ECU cũng như IDS/IPS cho mạng trong xe.
2. Bảo mật kết nối
Bạn có thể sử dụng hệ thống TLS/DTLS cho kết nối internet giúp bảo mật kết nối. bên cạnh đó thì còn có Zero-trust cho TCU hoặc Hardening modem 4G/5G và Bluetooth.
3. Bảo mật phần mềm
- Secure boot, Secure firmware update.
- Code signing.
- Cơ chế phân quyền và sandbox cho hệ thống IVI.
4. Bảo mật backend
Hệ thống xe oto có thể bảo mật được hệ thống backend như giám sát SOC, Quản lý API key cho mobile app hoặc IAM, MFA, bảo vệ cloud infrastructure.
5. Bảo mật quy trình phát triển
- DevSecOps cho phần mềm xe.
- Threat modelling (TARA – Threat Analysis and Risk Assessment).
- Kiểm thử xâm nhập (Automotive PenTest).
6. Công nghệ bảo mật tiêu biểu trong ngành ô tô
- Hardware Security Module (HSM) trên ECU.
- Secure CAN / CAN-FD với xác thực MAC.
- Automotive SOC (Security Operations Center).
- Tường lửa TCU & IDS In-vehicle Network.
- Blockchain/PKI cho cập nhật OTA.
Áp dụng tiêu chuẩn TISAX đảm bảo an toàn thông tin cho ngành oto
Tiêu chuẩn TISAX (Trusted Information Security Assessment Exchange) là chuẩn đánh giá an toàn thông tin dành riêng cho ngành ô tô, do VDA (Hiệp hội Công nghiệp Ô tô Đức) phát triển, dựa trên ISO/IEC 27001, nhưng bổ sung nhiều yêu cầu đặc thù cho ngành ô tô.
TISAX không phải là chứng chỉ, mà là Đánh giá + Điểm trưởng thành (assessment level) được công nhận và chia sẻ trong cộng đồng ngành ô tô thông qua nền tảng ENX.
Nếu một nhà cung cấp có TISAX, các OEM sẽ tin tưởng rằng doanh nghiệp có hệ thống quản lý ATTT đủ mạnh để bảo vệ dữ liệu xe, dữ liệu phát triển, dữ liệu khách hàng, và bí mật thiết kế.
Lợi ích khi doanh nghiệp đạt TISAX
Dưới đây là lợi ích đầy đủ, súc tích và thực tế khi một doanh nghiệp đạt TISAX – chuẩn an toàn thông tin chuyên ngành ô tô.
- Được chấp nhận hợp tác với các hãng Đức & EU
- Nâng cấp năng lực ATTT theo chuẩn cao
- Giảm tấn công mạng, tránh rò rỉ thiết kế
- Chuẩn hóa quy trình vận hành & quản trị
- Xây dựng hình ảnh chuyên nghiệp với OEM quốc tế
Việc đảm bảo an toàn thông tin trong ngành ô tô là yếu tố then chốt để bảo vệ tài sản trí tuệ, dữ liệu khách hàng và duy trì hoạt động ổn định trong bối cảnh xe ngày càng kết nối và thông minh hơn. Áp dụng các giải pháp bảo mật toàn diện kết hợp tuân thủ tiêu chuẩn TISAX giúp doanh nghiệp nâng cao mức độ trưởng thành an ninh, đáp ứng yêu cầu của các OEM quốc tế và giảm thiểu rủi ro trong chuỗi cung ứng. Đây là nền tảng quan trọng để doanh nghiệp phát triển bền vững và cạnh tranh hiệu quả trên thị trường toàn cầu.
Tiêu chuẩn – Điều kiện tiên quyết thúc đẩy chuyển đổi xanh
Các cấp độ tuân thủ trong PCI DSS
Lộ trình đạt chứng nhận PCI DSS: Các bước, chi phí và đối tác đánh giá
Những lỗi thường gặp khiến doanh nghiệp trượt chứng nhận PCI DSS
Ngân hàng và tổ chức tài chính Việt Nam chuyển mình theo PCI DSS 4.0.1
SQC Certification tổ chức thành công khóa học miễn phí CIRP
