Ajoneuvoteknisten järjestelmien tietoturvallisuusselvitys

Abstract

Tämän insinöörityön tavoitteena oli selvittää ajoneuvoteknisten järjestelmien tietoturvallisuutta Metropolia Ammattikorkeakoululle. Työssä käsitellään ajoneuvojen tietoturvallisuudesta laadittuja väitöskirjoja, ajoneuvoteknisen tietojärjestelmän murtautumistapausta, tietoturvallisuus- sekä ajoneuvoteknisiä standardeja, tietojärjestelmien perusrakennetta ja tietoturvallisuuden yleisimpiä käytäntöjä.

Työn tavoitteena on tuottaa suomenkielistä materiaalia aiheesta. Työssä tarkastellaan ajoneuvojen tietoturvallisuuden perustaa, verkottumisen vaikutuksia tietoturvallisuuteen sekä menetelmiä riskien minimointiin. Johdannon ja tavoitteiden jälkeen käsitellään tietojärjestelmän yleistä rakennetta, tietoturvallisuuden erilaisia suojausjärjestelmiä sekä näihin liittyviä standardeja ja terminologiaa. Seuraavaksi siirrytään varsinaisiin ajoneuvoihin liittyviin tietoturvallisuusaspekteihin, kartoitetaan ajoneuvoihin liittyviä tietoturvallisuusuhkia ja esitellään samalla autovarkauksia sekä esimerkkitapaus. Sen jälkeen esitellään ajoneuvojen suojautumista tietoturvallisuusuhkilta.

Ajoneuvojen tietoturvallisuudelle ei ole käytännössä mitään pätevää standardisointia. Lisäksi ajoneuvojen sähköistyminen on lisännyt ajoneuvojen haavoittuvuutta erilaisille tietohyökkäyksille. Jopa ajoneuvon haltuunotto langattoman verkon kautta on teoriassa täysin mahdollista, käytännössä siihen kuitenkin vaaditaan taloudellisia resursseja ja erityisen hyvää tuntemusta ajoneuvojen tietojärjestelmien rakenteesta ja ohjelmoinnista. Erilaiset haavoittuvuudet ajoneuvoissa luovat osaavalle rikolliselle laajan skaalan eri liiketoiminnan malleja.

Insinöörityön lopputuloksena syntyi kokonaisvaltainen kuva ajoneuvoteollisuuden tietoturvallisuuden tärkeydestä, sen osittain heikosta tilasta ja tavoista sen kehittämiseen.

The aim of this Bachelor’s thesis was to clarify the information security of vehicular technical systems for Metropolia University of Applied Sciences. In this study dissertations regarding information security in the automotive domain are reviewed. Also, an exemplary study case of hacking an information system of a passenger vehicle was viewed. In addition, this study explains the general structure of an information system and the means of conduct in the field of information security.

The objective of this thesis is to create written material in Finnish on the subject. First the thesis clarifies the structure of an information system and the means of protecting that system. This includes terminology and standardization of information systems and security. Next, the thesis moves on to the actual vehicular side of information security. Threats in this area are analyzed and the case study with some grand theft auto data are reviewed. Then the thesis proceeds to the means of protecting an information system from hackers in the automotive domain.

The standardization of information security in vehicular applications is in fact, quite inadequate. The electrification of automotive components has increased the vulnerability of automobiles to different sorts of attacks. Even taking control of a vehicle has become possible in theory. However, in practice this requires some financial resources and a very broad skillset on coding and knowledge of the information system structure in vehicles and so forth. Different sorts of vulnerabilities have provided the skillful criminal with a wide scale of business models.

In this study, comprehensive pictures of the importance of information security, the partial lack of it and the means of improvement in vehicles were formed.