Peretasan My Volkswagen yang spektakuler, namun pada akhirnya tidak berbahaya aplikasi yang dilakukan oleh seorang peneliti siber India tahun lalu terus menimbulkan pertanyaan serius mengenai keamanan siber bagi jutaan kendaraan yang terhubung, sehingga memicu tuntutan akan pendekatan secure-by-design yang lebih ketat.
Kelemahan serius pada aplikasi My Volkswagen membuat peneliti, Vishal Bhaskar, terlalu mudah mendapatkan akses ke data pribadi dan kendaraan dalam jumlah besar.
Chief Technology Officer di Otoritas Perangkat.
Dia mampu sampai pada kombinasi empat digit yang benar otomatisasi. Dia kemudian menemukan nama pengguna internal, kata sandi, token, dan kredensial untuk pemroses pembayaran pihak ketiga.
Dari yang lain titik akhiria menggunakan nomor identifikasi kendaraan (VIN) untuk mengakses detail pribadi pelanggan dan mengemukakan riwayat layanan kendaraan apa pun, keluhan pelanggan, dan survei kepuasan.
Kerentanan tersebut dilaporkan telah diperbaiki pada bulan Mei 2025, namun pertanyaannya tetap ada – berapa banyak lagi kesenjangan dalam keamanan kendaraan yang terhubung yang mungkin ada?
Dan jika salah satu OEM (produsen peralatan asli) otomotif terbesar di dunia gagal menemukan kesenjangan yang besar, bagaimana nasib perusahaan lain?
Meningkatnya ancaman terhadap keamanan kendaraan yang terhubung
Potensi peretasan telah ditandai lebih dari sepuluh tahun yang lalu dengan diterbitkannya Buku Panduan Peretas Mobil. Namun sejak saat itu, para pabrikan terus memasang layanan terkoneksi data otomatis yang lebih menarik perhatian pada kendaraan mereka, dan kini merambah ke AI.
Statista memperkirakan pada tahun 2030, 96 persen dari seluruh mobil baru di dunia akan memiliki konektivitas bawaan. Tahun lalu, misalnya, Hyundai menjalin kemitraan dengan Samsung yang antara lain akan memungkinkan pengendara untuk menggunakan Galaxy ponsel pintar untuk mengakses informasi tentang kendaraan mereka – termasuk jangkauan dan lokasi baterai.
Dorongan menuju integrasi yang lebih besar dapat mengarah pada hubungan antara platform IoT Samsung dan sistem infotainment baru Hyundai.
Namun seiring dengan berkembangnya fungsi digital pada kendaraan, hal ini menjadi hal yang penting keamanan insiden menjadi lebih sering terjadi, hal ini menunjukkan adanya kebutuhan mendesak untuk mengatasi kesenjangan keamanan sebelum penjahat dapat menemukannya. Pada bulan Januari tahun ini, misalnya, bug di portal web Subaru dilaporkan memungkinkan peretas menyalakan kendaraan dan melacak lokasinya.
Ketika ada begitu banyak data yang mengalir dari dan ke kendaraan, praktik keamanan yang buruk dapat dengan mudah menyebabkan pelanggaran data tanpa adanya intervensi dari peretas, sehingga mengakibatkan sanksi peraturan.
Namun, penjahat akan menargetkan sistem back-end dengan ransomware, menggunakan titik akhir atau kerentanan apa pun untuk mendapatkan akses sebelum mengunci sistem yang menyediakan konektivitas untuk ratusan ribu kendaraan.
Rute prioritas menuju keamanan yang lebih baik
OEM perlu mengambil inisiatif melawan ancaman ini. Mulai sekarang, bersama dengan pemasok Tingkat 1, mereka harus mengadopsi pendekatan desain yang aman mulai dari pabrik hingga penghancur, berkolaborasi dengan inovator dalam keamanan perangkat untuk memastikan kendaraan tetap aman seiring berkembangnya ancaman.
Bagian dari sikap aman sesuai desain tersebut adalah mengoperasikan sistem manajemen kunci (KMS) milik OEM. Kontrol terpusat atas kunci dan kebijakan kriptografi di seluruh unit kontrol elektronik (ECU), unit kontrol telematika (TCU), dan perangkat pemasok mengurangi fragmentasi, meningkatkan kecepatan pencabutan, dan menghasilkan jejak bukti yang diharapkan oleh regulator.
KMS yang dijalankan OEM mengubah kebijakan menjadi penegakan hukum, yang mengatur sertifikat yang bergantung pada setiap radio dan layanan kendaraan.
Dari sistem infotainmen hingga sistem navigasi dan anti-pencurian, kendaraan mengandalkan konektivitas nirkabel, dan setiap perangkat transmisi berpotensi menjadi titik kelemahan kecuali jika OEM menggunakan KMS dan/atau semacam otomatisasi untuk mengelola identitas mesin dalam skala besar.
Keamanan harus mencakup seluruh ekosistem kendaraan yang terhubung melalui integrasi yang berhasil keamanan siber solusi. Konsolidasi penting untuk keamanan end-to-end, ketika terdapat hingga 70 vendor berbeda yang mencakup semua aspek keamanan kendaraan.
Perlindungan ekosistem ini harus diperluas ke cloud dan mencakup pusat operasi keamanan kendaraan (VSOC) dan komunikasi kendaraan-ke-cloud (V2C).
Mengembangkan standar global untuk keamanan siber otomotif
Sebagai prioritas, OEM harus bekerja keras untuk mematuhi peraturan UNECE WP.29 UE untuk jenis kendaraan baru. Hal ini telah meletakkan dasar bagi keamanan siber untuk siklus hidup kendaraan – mulai dari desain dan pengembangan hingga pasca produksi dan penerbitan pembaruan.
OEM juga perlu mengadopsi standar praktik terbaik ISO21434 yang berfokus pada perlindungan keamanan siber untuk sistem kelistrikan dan elektronik kendaraan serta memerlukan analisis ancaman, manajemen risiko, dan langkah-langkah untuk meningkatkan ketahanan.
Di pasar di luar Eropa, OEM juga harus memastikan kepatuhan terhadap AIS 189 di India dan standar GB/T Tiongkok. AIS 189 adalah varian WP.29 UE, yang mencakup pemasok Tingkat 1 dan Tingkat 2, serta OEM.
Ketika regulator di India mendorong penyelarasan ISO21434, arahnya sudah jelas – keamanan siber harus dapat dibuktikan melalui sistem manajemen keamanan siber (CSMS) dan sistem manajemen pembaruan perangkat lunak (SUMS).
Peraturan GB/T Tiongkok menyematkan data yang ketat pribadi dan peraturan tempat tinggal dengan penekanan pada pemodelan ancaman dan pemantauan pasca-pasar.
Otomatisasi PKI (infrastruktur kunci publik), manajemen siklus hidup sertifikat digital yang mengautentikasi perangkat ke jaringan, dan arsitektur zero-trust merupakan fitur penting dari pendekatan Tiongkok.
Mengamankan identitas mesin kendaraan melalui otomatisasi
Pendekatan yang canggih dan otomatis terhadap pertanyaan kunci tentang mesin ini identitas keamanan kini diperlukan karena kendaraan berkomunikasi dengan banyak jaringan eksternal yang mencakup sistem pembayaran otomatis, hotspot Wi-Fi, infrastruktur pinggir jalan – dan kendaraan lainnya.
Mengelola sertifikat PKI setiap perangkat onboard sangatlah penting sehingga sistem yang terhubung mengetahui bahwa perangkat tersebut aman dan memastikan data yang dikirimkannya dienkripsi.
OEM harus mengelola identitas ini selama perubahan kepemilikan kendaraan, menggunakan platform teknologi IoT generasi berikutnya untuk memastikan perangkat lunak keamanan diperbarui dan perangkat terus diautentikasi.
Skala tugas selama siklus hidup kendaraan 15-25 tahun memerlukan otomatisasi tingkat lanjut untuk menangani penyediaan, pembaruan, dan pencabutan sertifikat. Hal ini sangat efektif untuk melindungi unit kendali telematika, sehingga memberikan jangkar kepercayaan yang dapat diandalkan.
Integrasi manajemen PKI yang maju akan memberikan manfaat nyata
Jika mereka ingin mengamankan jutaan kendaraan yang terhubung dan memaksimalkan nilai pendekatan mereka saat ini terhadap keamanan PKI, OEM akan memerlukan pendekatan yang lebih maju dan terintegrasi. Mereka harus mampu menyederhanakan manajemen keamanannya, meningkatkan perlindungan sekaligus mengurangi biaya overhead.
Pendekatan platform yang menanamkan keamanan berdasarkan desain memiliki manfaat tersendiri dalam mencapai waktu pemasaran yang lebih cepat untuk kendaraan baru atau aplikasi. Hal ini memungkinkan OEM untuk menetapkan kebijakan pada aspek penting keamanan seperti frekuensi rotasi kunci sertifikat. Kemudian mereka dapat mempercayai data mereka, dan mengembangkan layanan dengan lebih percaya diri.
Jika OEM ingin memaksimalkan peluang mereka di bidang yang berkembang pesat ini, mereka harus mengatasi ancaman IoT terhadap keamanan otomotif. Integrasi AI dengan IoT mengubah dunia otomotif, namun menuntut keamanan seefektif mungkin, memungkinkan kinerja tanpa mengorbankan perlindungan dan kepatuhan.
Kami telah menampilkan perangkat lunak enkripsi terbaik.
Artikel ini dibuat sebagai bagian dari saluran Expert Insights TechRadarPro tempat kami menampilkan para pemikir terbaik dan tercemerlang di industri teknologi saat ini. Pandangan yang diungkapkan di sini adalah milik penulis dan belum tentu milik TechRadarPro atau Future plc. Jika Anda tertarik untuk berkontribusi, cari tahu lebih lanjut di sini: https://www.techradar.com/news/submit-your-story-to-techradar-pro
