Блог и новости

SGW

SGW (Security Gateway) как центральный элемент защиты в автомобильных системах.

Определение и роль шлюза безопасности (SGW)

В условиях растущей сложности и взаимосвязанности современных транспортных средств шлюз безопасности (SGW) превратился из простого узла передачи данных в критически важный компонент архитектуры.
По своей сути, SGW представляет собой центральный управляющий блок, который служит защитным модулем, призванным оградить внутренние системы автомобиля от несанкционированного доступа извне.
Его основная функция — действовать как своего рода сетевой брандмауэр, который контролирует и фильтрует весь трафик, поступающий из внешних сетей, защищая тем самым внутреннюю электронную экосистему автомобиля.
Появление SGW было обусловлено необходимостью противостоять новым векторам атак, которые возникли с широким распространением подключенных функций.
К таким векторам относятся как локальный доступ через диагностический порт (например, OBD-II), так и удаленное подключение через беспроводные интерфейсы.
Шлюз безопасности обеспечивает защиту диагностических и обновляющих функций, требуя регистрации и авторизации как пользователя, так и его устройства, прежде чем предоставить доступ к бортовым сетям.
В конечном итоге, SGW является центральной кибернетической точкой укрепления, которая реализует и управляет мерами безопасности, предотвращая несанкционированное вмешательство.

Функциональное назначение SGW

Шлюз безопасности выполняет множество функций, выходящих за рамки простого перенаправления данных.
Он регулирует и управляет потоком информации между многочисленными электронными блоками управления (ECU), датчиками и внешними сетями. Действуя как центральный узел, SGW обеспечивает оптимизацию коммуникации, предотвращая перегрузку сетей и потенциальные конфликты между различными системами.
Эта функция особенно важна в свете того, что в современном автомобиле может быть более 100 ECU, соединенных различными подсетями.
SGW служит интерфейсом для предоставления телематических и подключенных сервисов, например, через облачные платформы. Он также обеспечивает интерфейс для диагностического порта OBD-II.
К другим важным функциям шлюза относятся: маршрутизация данных, поддержка новых общеавтомобильных приложений, а также физическая изоляция и перевод протоколов между различными функциональными областями, такими как силовая установка, шасси, системы безопасности, информационно-развлекательные комплексы и ADAS.
Кроме того, SGW может выполнять более сложные задачи, включая зеркалирование сообщений для диагностики, обнаружение вторжений и управление ключами для безопасных удаленных обновлений.

Причины появления SGW

Появление шлюзов безопасности стало прямым и необходимым ответом на растущую сложность и связанность современных транспортных средств.
С технологической точки зрения, внедрение многочисленных функций, таких как ADAS и возможности автономного вождения, которые требуют постоянного обмена данными, резко увеличило количество ECU и усложнило электронную архитектуру автомобиля.
С этим ростом сложности появились новые и более многочисленные векторы для кибератак.
Эволюция SGW представляет собой фундаментальный сдвиг в архитектурной парадигме автомобильной безопасности.
Изначально шлюзы были задуманы как простые узлы для маршрутизации и перевода данных между разнородными бортовыми сетями (CAN, LIN, FlexRay, Ethernet). Однако по мере того, как автомобили стали более программно-определяемыми и открытыми для внешнего мира через беспроводные сети и обновления «по воздуху» (OTA), возникла острая необходимость в централизованной точке защиты.
Таким образом, SGW перестал быть просто логическим маршрутизатором, а стал центральной крепостью, которая не только управляет потоком данных, но и выступает в качестве защитного брандмауэра и механизма аутентификации.
Эта причинно-следственная связь — увеличение числа ECU и их подключение к внешним сетям привели к возникновению множества векторов атак, что, в свою очередь, потребовало создания централизованной точки защиты — демонстрирует, что SGW является необходимой эволюционной ступенью в автомобильной инженерии, а не случайным нововведением.

Его появление было неизбежным в ответ на растущие угрозы и регуляторные требования, которые начали формироваться в отрасли.

Почему защита SGW имеет первостепенное значение?

Уязвимость бортовых сетей

Традиционные автомобильные протоколы связи, такие как Controller Area Network (CAN), Local Interconnect Network (LIN) и FlexRay, изначально не были разработаны с учетом требований кибербезопасности.
Протокол CAN, например, создавался для снижения сложности и стоимости электропроводки в автомобилях за счет мультиплексирования. Он обеспечивает надежную и отказоустойчивую связь, но не имеет встроенных механизмов аутентификации, шифрования или контроля доступа. Отсутствие этих защитных мер делает CAN-шину уязвимой для атак, позволяя злоумышленникам при физическом доступе перехватывать сообщения или внедрять вредоносные команды, которые могут повлиять на критически важные системы автомобиля, такие как торможение или управление двигателем.
Подобная ситуация существует и с другими протоколами: LIN, предназначенный для низкоскоростных систем (например, управление люком), и FlexRay, используемый в системах, критически важных для безопасности (активная подвеска), также не обладают достаточными встроенными механизмами для противодействия целенаправленным атакам.

Таким образом, SGW становится необходимым барьером, который защищает эти уязвимые внутренние сети, контролируя и фильтруя весь трафик, поступающий из внешних и менее надежных источников.

Вероятные векторы атак

Угрозы для современных автомобилей исходят из множества источников, которые можно разделить на несколько ключевых векторов.
  • Физический доступ: Одним из наиболее прямых и опасных векторов является доступ через диагностический порт OBD-II. Этот стандартизированный интерфейс, расположенный, как правило, под приборной панелью, предоставляет прямой доступ к внутренним сетям и ECU автомобиля. Источники подчеркивают, что «физический доступ к шине, по сути, равносилен нулевой безопасности». Если злоумышленник подключает несертифицированный диагностический инструмент или специальное устройство к этому порту, он потенциально может получить полный контроль над ECU, перепрограммировать ключи или внести изменения в критически важные настройки. SGW был разработан для предотвращения подобного несанкционированного доступа, блокируя несертифицированные инструменты от взаимодействия с CAN-шиной и другими точками подключения систем автомобиля.
  • Удаленный доступ: С ростом числа беспроводных интерфейсов (Wi-Fi, Bluetooth, сотовая связь) удаленные атаки стали основным вектором для злоумышленников. Телематические системы, которые обеспечивают связь с внешним миром и обновление «по воздуху» (OTA), а также информационно-развлекательные комплексы, служат основными точками входа. SGW выступает в качестве физического брандмауэра, который ограничивает доступ к остальной части автомобильной сети, создавая буфер между уязвимыми удаленными интерфейсами и критически важными системами.
  • Атаки на бэкэнд: Уязвимости в облачных сервисах и телематических системах могут позволить злоумышленникам получить удаленный контроль над тысячами автомобилей. В недавних инцидентах были обнаружены уязвимости в веб-порталах, которые позволили получить полный удаленный контроль над миллионами автомобилей без необходимости физического доступа или использования сложного аппаратного обеспечения. Это указывает на то, что SGW должен защищать не только от прямого доступа, но и от атак, использующих удаленные и облачные сервисы как «мост» к бортовым сетям.

Реальные примеры атак

Сценарии кибератак на автомобили — это уже не гипотетические угрозы, а реальные инциденты, имевшие серьезные последствия.
  • Jeep Cherokee (2015):
Один из наиболее известных случаев, когда исследователи Чарли Миллер и Крис Валасек удаленно скомпрометировали уязвимость в информационно-развлекательной системе Uconnect. Это позволило им получить контроль над критически важными функциями, такими как рулевое управление и торможение, на расстоянии в 10 миль. Этот инцидент привел к массовому отзыву 1,4 миллиона автомобилей Fiat Chrysler и продемонстрировал, что кибератаки могут представлять прямую угрозу для жизни и безопасности.
  • Атаки на бесключевой доступ:
Широкое распространение систем бесключевого доступа привело к появлению новых векторов угона.
Например, атаки "relay amplification" (ретрансляция сигнала) позволяют злоумышленникам использовать два устройства для передачи сигнала между брелоком владельца и автомобилем, обманывая систему и заставляя ее думать, что ключ находится поблизости.
Другие методы, такие как "rolling code replay", эксплуатируют уязвимости в реализации алгоритмов «плавающего кода», позволяя злоумышленникам перехватывать и использовать сигналы для разблокировки и запуска автомобиля.
  • Взлом Kia и Subaru (2024-2025):
Последние инциденты показывают, что злоумышленники активно ищут уязвимости в облачных сервисах и бэкэндах. Были зафиксированы случаи, когда уязвимости в веб-портале Kia позволили получить полный удаленный контроль над миллионами автомобилей, используя только номерной знак жертвы. Аналогично, уязвимость в бэкэнде Subaru Starlink позволила злоумышленникам разблокировать, отслеживать и даже запустить любой автомобиль, используя лишь поиск по номерному знаку. Эти события подчеркивают, что SGW становится последним рубежом защиты от угроз, идущих из облака, и должен обеспечивать строгую аутентификацию для всех внешних запросов.
Эти примеры демонстрируют, что кибербезопасность в автомобильной промышленности является не просто технической задачей, но и ключевым бизнес-фактором. Финансовые потери от киберинцидентов, связанные с отзывами, утечкой данных и простоями, исчисляются миллиардами долларов, а репутационный ущерб может быть еще более значительным. Это делает инвестиции в защиту SGW и других компонентов критически важными для поддержания конкурентоспособности и доверия потребителей.

Ключевые принципы защиты SGW

Многоуровневая архитектура безопасности

Эффективная защита автомобиля от киберугроз требует комплексного и многоуровневого подхода, часто называемого «защитой в глубину».
SGW — это один из ключевых слоев в этой архитектуре.
Он функционирует как брандмауэр, который контролирует доступ извне к внутренней сети и регулирует, какие узлы в сети могут взаимодействовать друг с другом. Такой подход создает четкую границу между внешним, потенциально враждебным миром и внутренними, критически важными системами автомобиля.

Основные механизмы защиты

Для выполнения своей роли SGW использует ряд передовых механизмов.
  • Аутентификация и авторизация:
SGW — это не просто маршрутизатор, а интеллектуальный контроллер доступа. Он требует регистрации и авторизации как пользователя, так и его устройства, прежде чем предоставить доступ к сетевым системам.
Например, для доступа к CAN-шине через SGW может потребоваться использование только сертифицированных инструментов. Это позволяет производителям сохранять контроль над сторонними диагностическими инструментами и обеспечивать, чтобы только авторизованные и надежные бренды могли взаимодействовать с ECU автомобиля.
  • Целостность данных и шифрование:
SGW реализует криптографические меры, включая цифровые подписи, шифрование и брандмауэрные функции, чтобы защитить транспортное средство от кибератак, несанкционированных вторжений и мошенничества. В рамках этого процесса SGW проверяет подлинность программного обеспечения, обеспечивая его надежное происхождение и целостность. Это предотвращает внедрение вредоносного кода или изменение важных данных, передаваемых по сети.
  • Системы обнаружения и предотвращения вторжений (IDS/IPS):
SGW идеально подходит для мониторинга сетевого трафика на предмет аномалий, которые могут указывать на вторжение. Системы обнаружения вторжений (IDS) могут контролировать трафик CAN-шины и Ethernet, выявляя и предотвращая угрозы, такие как атаки типа «отказ в обслуживании» (denial-of-service) или атаки методом «грубой силы» (brute-force).
SGW может также выполнять проверку целостности в реальном времени, гарантируя, что код является подлинным и не был изменен.

Технологии SGW: Аппаратные и программные средства защиты

Аппаратная основа безопасности

Для обеспечения надежной защиты SGW опирается на передовые аппаратные и программные технологии. Две ключевые аппаратные платформы, используемые для усиления безопасности, — это модули аппаратной безопасности (HSM) и среды доверенного исполнения (TEE).
  • Модули аппаратной безопасности (HSM):
HSM представляет собой отдельный микропроцессор или специализированный аппаратный модуль, встроенный в ECU автомобиля.
Он предназначен для управления и безопасного хранения криптографических ключей, а также для выполнения важных операций с данными.
Главное преимущество HSM заключается в его высокой физической устойчивости к несанкционированному доступу. В случае попытки взлома его механизм позволяет стереть все хранящиеся в нем данные, предотвращая их компрометацию.
HSM оптимизированы для высокоскоростных криптографических операций, таких как шифрование, расшифровка, генерация ключей и цифровая подпись.
  • Среды доверенного исполнения (TEE):
TEE — это логически изолированная среда, которая находится внутри основного процессора (SoC) устройства.
В отличие от HSM, TEE не является отдельным аппаратным модулем, а скорее представляет собой «защищенную папку», которая обеспечивает безопасное выполнение кода и операций с данными.
TEE обеспечивает надежную изоляцию, но не обладает такой же физической защитой, как HSM.
Сравнение архитектур HSM и TEE показывает, что оба подхода служат одной цели — защите криптографических ключей и данных, — но имеют принципиальные различия в архитектуре.
Характеристика
HSM (Hardware Security Module)
TEE (Trusted Execution Environment)
Архитектура
Отдельный аппаратный модуль внутри ECU  
Программная среда, встроенная в основной процессор (SoC)  
Функциональность
Широкий спектр криптографических сервисов, оптимизированных для высокоскоростных операций
Обеспечивает логическую изоляцию для безопасного выполнения кода, ограниченные ресурсы для криптографии  
Размещение
Отдельный микроконтроллер в ECU  
Внутри основного SoC, рядом с обычным окружением исполнения (REE)  
Производительность
Оптимизированы для криптографических функций, таких как RSA-подписи и шифрование  
Общая среда; ограниченные ресурсы для криптографии
Физическая защита
Высокая устойчивость к физическому взлому (tamper-resistant)  
Безопасна, но не устойчива к физическому взлому  
Стоимость
Требует дополнительного аппаратного обеспечения, что делает ее дороже  
Экономически эффективна, так как не требует дополнительного аппаратного обеспечения  

Программная основа безопасности

Программное обеспечение SGW дополняет аппаратные меры, создавая комплексную систему защиты.
  • Процесс безопасной загрузки (Secure Boot):
Secure Boot — это критически важный механизм, который гарантирует, что система автомобиля загружает только доверенное программное обеспечение. Этот процесс начинается с так называемой «цепочки доверия» (Chain of Trust). На самом низком уровне, в аппаратном обеспечении (например, в микросхеме), находится «корень доверия», который проверяет подлинность следующего этапа загрузки — например, загрузчика (bootloader) — с помощью цифровой подписи.
Каждый последующий этап, в свою очередь, проверяет подлинность и целостность следующего, пока не будет загружена операционная система.
HSM играет в этом процессе ключевую роль, так как именно он хранит криптографические ключи, необходимые для проверки цифровых подписей. Этот механизм предотвращает запуск неавторизованного или измененного программного обеспечения, которое злоумышленник мог бы загрузить, получив физический доступ к устройству.
  • Безопасные обновления «по воздуху» (OTA):
SGW играет центральную роль в управлении и обеспечении безопасности OTA-обновлений. Обновления должны быть переданы по защищенному каналу (например, с использованием TLS) с проверкой подлинности сервера обновлений. SGW проверяет цифровую подпись каждого файла обновления, чтобы убедиться в его подлинности и целостности, предотвращая установку неавторизованных версий.
В случае сбоя, SGW должен иметь возможность безопасно откатиться к предыдущей, рабочей версии программного обеспечения. Соответствие строгим требованиям к безопасным обновлениям является ключевым аспектом регуляторного стандарта UN R156, который делает наличие SGW, способного управлять OTA-обновлениями, обязательным для выхода на рынки ЕС, Японии и Южной Кореи.

UN R155: Обязательный стандарт кибербезопасности

UN R155 — это нормативное требование, введенное в действие Европейской экономической комиссией ООН (UNECE), которое делает кибербезопасность обязательной для получения одобрения типа транспортного средства.

Этот стандарт требует от производителей внедрения и поддержания Системы управления кибербезопасностью (Cyber Security Management System, CSMS) на протяжении всего жизненного цикла автомобиля, от концепции до вывода из эксплуатации.
В рамках CSMS производители должны проводить тщательную оценку рисков для каждого типа транспортного средства, выявляя и устраняя потенциальные угрозы.
Поскольку SGW является ключевым компонентом для защиты от этих угроз, его соответствие строгим требованиям напрямую влияет на возможность OEM-производителя получить сертификацию и выйти на рынок.
Сертификат CSMS действителен только три года, что указывает на то, что кибербезопасность является не разовой задачей, а постоянным, непрерывным процессом.

UN R156: Управление обновлениями ПО

В дополнение к R155, регулирование UN R156 делает обязательным наличие сертифицированной Системы управления обновлениями программного обеспечения (Software Update Management System, SUMS).
Эта нормативная база, вступившая в силу для новых транспортных средств в июле 2022 года, а для всех новых автомобилей с июля 2024 года, требует, чтобы производители обеспечивали безопасное и надежное управление OTA-обновлениями на протяжении всего срока службы автомобиля.
SGW играет решающую роль в управлении и обеспечении безопасности этих обновлений, поскольку он контролирует их прием, аутентификацию и установку.
Соответствие R156 является обязательным для продажи автомобилей на рынках, подчиняющихся этим правилам, например, в странах ЕС.

ISO/SAE 21434: Инженерные требования

ISO/SAE 21434 — это международный промышленный стандарт, разработанный для предоставления подробных инженерных требований по управлению киберрисками.
Хотя он не является обязательным, как UN R155/R156, он тесно с ними связан и служит практическим руководством для достижения соответствия.
UN R155 описывает, что производители должны делать для обеспечения кибербезопасности, в то время как ISO/SAE 21434 предоставляет подробные рекомендации о том, как это делать, охватывая все этапы жизненного цикла автомобиля. Принятие этого стандарта демонстрирует, что производитель интегрировал меры кибербезопасности в свои процессы с самого начала разработки продукта.
Эта взаимосвязь между «что» и «как» подчеркивает, что SGW — это не просто техническое решение, а часть более широкой организационной и инженерной системы.
Соответствие SGW строгим требованиям напрямую влияет на возможность производителя получить одобрение типа транспортного средства.

«Права на ремонт»

Изначально SGW был разработан для предотвращения несанкционированного доступа к системам автомобиля. Однако, применяя строгие меры по аутентификации и авторизации, он непреднамеренно создал серьезные проблемы для независимых автомастерских и рынка послепродажного обслуживания. Эти шлюзы блокируют сторонние диагностические инструменты, мешая им выполнять важные функции, которые ранее были легко доступны через порт OBD-II.
К таким ограничениям относятся:
  • Считывание и сброс диагностических кодов неисправностей.
  • Выполнение двунаправленных контрольных операций.
  • Кодирование и адаптация модулей автомобиля.
Это создает сложности между двумя важными целями: повышением кибербезопасности транспортных средств и обеспечением «права на ремонт» для независимых техников и потребителей.

Влияние на рынок послепродажного обслуживания

Ограничения, налагаемые SGW, вынуждают независимых техников полагаться на дорогостоящие инструменты оригинального производителя (OEM).
Это создает значительные сложности для СТО за «право на ремонт», которое выступает за справедливый доступ к инструментам и информации для обслуживания. Эта ситуация превращает кибербезопасность из чисто технической проблемы в социально-экономическую, затрагивающую доступность и стоимость обслуживания автомобилей.

Индустриальные решения

Конфликт между безопасностью и доступностью привел к необходимости поиска компромиссных решений. Автопроизводители и производители диагностических инструментов (например, Volkswagen/Audi и Autel) начали сотрудничать, чтобы создать авторизованные, но не проприетарные каналы доступа.
  • Volkswagen и Audi:
Компания Autel договорилась с Volkswagen/Audi Group о предоставлении своим диагностическим планшетам доступа к шлюзу Schutz Fahrzeug Diagnose (SFD).
Это позволяет техникам выполнять двунаправленные операции, регулировку параметров и обучение датчиков. Пользователи могут приобрести 24-часовой или годовой доступ непосредственно через планшет.
  • Stellantis:
Аналогично, производители, такие как Stellantis, внедрили систему AutoAuth, которая предоставляет авторизованным ремонтным мастерским защищенный доступ к автомобилям, оснащенным SGW.
Эти партнерства демонстрируют, что ключ к решению проблемы заключается не в отказе от SGW, а в создании стандартизированных и доступных механизмов аутентификации для авторизованных третьих сторон.
Регулирование, связанное с «правом на ремонт», может служить катализатором, заставляющим производителей искать такой компромисс, где безопасность и открытость больше не являются взаимоисключающими понятиями.

Таблица производителей автосканеров с поддержкой
SGW шлюзов.

Производитель
SGW FCA
Renault / Nissan SGW
SFD VAG (только SFD первого поколения)
MB SGW
Hyundai / KIA SGW
AUTEL
Подписка
Токены
Токены / Подписка
Подписка
Поддерживается
LAUNCH
Подписка
Токены
Токены / Подписка
Подписка
Поддерживается
THINKTOOL
Подписка
Токены
Подписка
Подписка
Поддерживается
OTOFIX
Подписка
Токены
Токены / Подписка
Подписка
Поддерживается
XTOOL
Подписка
Токены
Подписка
Подписка
Поддерживается

Эволюция к зонированной архитектуре

В ответ на растущую сложность и количество ECU, автомобильная индустрия переходит от традиционной доменной архитектуры к более централизованной и зонированной модели.

В этой новой архитектуре ECU группируются по физическим зонам автомобиля (например, передняя, задняя, левая, правая), каждая из которых управляется собственным контроллером, или «зонированным шлюзом».
Эти зонированные шлюзы, в свою очередь, подключаются к центральному высокопроизводительному компьютеру (HPC) через высокоскоростной Ethernet. Такая модель значительно упрощает сложную проводку, что ведет к снижению веса и стоимости автомобиля.

Роль SGW в новой архитектуре

В рамках зонированной архитектуры концепция SGW претерпевает значительную эволюцию.
Вместо одного центрального шлюза, который обслуживает все бортовые сети, появляются несколько распределенных «зонированных шлюзов». Каждый такой шлюз управляет данными и безопасностью внутри своей зоны, а также осуществляет связь с центральным компьютером.

Такая модель позволяет зонированным шлюзам быть легко обновляемыми «по воздуху» для поддержки новых функций и рабочих нагрузок, что является ключевым элементом для создания программно-определяемых транспортных средств (SDV).

Преимущества для безопасности

Зонированная архитектура предлагает ряд преимуществ для кибербезопасности.
  • Изоляция:
Основное преимущество заключается в изоляции.
Сбой или взлом в одной зоне менее вероятно повлияют на всю систему.
Это достигается путем запуска каждой функциональной зоны на отдельной виртуальной машине (VM), что обеспечивает сильную изоляцию между виртуальными функциями и физическим устройством, предотвращая конфликты и ограничивая потенциальный ущерб.
  • Масштабируемость и отказоустойчивость:
Зонированная архитектура повышает отказоустойчивость и устойчивость к атакам, так как система SGW становится не отдельной точкой отказа, а распределенным архитектурным принципом.
Эта модель также упрощает управление ресурсами и внедрение специализированных мер безопасности для каждой зоны, что повышает общую надежность и безопасность системы.
Эта эволюция демонстрирует, что SGW является ключевым элементом для создания SDV.
Будущее кибербезопасности автомобилей будет зависеть не только от защиты отдельных компонентов, но и от целостности всей архитектуры на протяжении всего жизненного цикла транспортного средства.

Заключение

Краткий обзор

Шлюз безопасности (SGW) является жизненно важным и постоянно развивающимся компонентом, который обеспечивает безопасность, функциональность и соответствие регуляторным нормам в автомобильной индустрии.
Он эволюционировал из простого маршрутизатора данных в центральный управляющий блок, который выступает в роли брандмауэра, защищающего автомобиль от широкого спектра киберугроз — от физического доступа через порт OBD-II до сложных удаленных атак, использующих беспроводные и облачные интерфейсы.

Перспективы

Будущее SGW тесно связано с переходом к зонированной архитектуре и программно-определяемым транспортным средствам.

SGW продолжит эволюционировать от одного центрального компонента к более распределенной системе взаимосвязанных, но изолированных зонированных шлюзов.
Такой архитектурный сдвиг повысит отказоустойчивость, улучшит управление безопасностью и позволит легко интегрировать новые функции и сенсоры. В конечном счете, успех автомобильной индустрии в эпоху цифровой трансформации будет зависеть от способности защитить всю архитектуру, а не только отдельные компоненты, на протяжении всего жизненного цикла транспортного средства.
2025-09-18 09:35