116 компаний, являющиеся членами Японского центра обмена и анализа информации в автомобильной промышленности (Japan Automotive Information Sharing and Analysis Center, J-Auto-ISAC), хотят сформулировать общеотраслевые правила, касающиеся спецификаций программного обеспечения (Software Bills of Materials, SBOM) или перечней компонентов автомобильного ПО.
J-Auto-ISAC планирует завершить разработку стандартов к марту 2025 года, чтобы помочь компаниям быстро определять, используют ли они уязвимый софт.
Требования по безопасности автомобилей, основанные на стандартах ООН, становятся обязательными в Японии и Европе. Многие крупные автопроизводители сотрудничают с поставщиками для разработки собственных программных продуктов. Это привело к тому, что SBOM различаются в зависимости от компании. Одна и та же программа может быть классифицирована или названа по-разному в разных спецификациях, что затрудняет определение того, какой компонент использует уязвимую программу.
Широкое распространение подключённых к Интернету автомобилей для управления данными о транспортных средствах и оказания помощи при вождении приводит к необходимости стандартизации данных. Tesla и китайские автопроизводители лидируют в производстве подключённых транспортных средств благодаря бизнес-модели, основанной на подписке и на частых обновлениях ПО. Обновления могут улучшить функциональные свойства автомобиля. Но неконтролируемые уязвимости софта позволят реализовать кибератаки, которые могут завести двигатель или заглушить его, а также дать доступ угонщикам, открыв салон удалённо.
Нарушение безопасности также может привести к краже данных о поездках и ПДн водителей. Злоумышленники получат возможность угонять транспортные средства на дороге, как только автономное вождение станет распространённым явлением.
Ожидается, что объём кодирования в автомобильном ПО будет расти по мере усложнения функций помощи водителю. Стандартизация узлов для устранения уязвимостей софта также поможет контролировать затраты на разработку.
В J-Auto-ISAC входят такие крупные автопроизводители, как Toyota и Mazda Motor, производители запчастей Aisin и Denso, промышленная группа Hitachi. В мае этого года технический комитет J-Auto-ISAC подготовил предложение по единым правилам SBOM. На данным момент ведётся совместная работа с Ассоциацией производителей автомобилей Японии и другими заинтересованными структурами по оценке применения предлагаемых норм на практике. Ожидается, что после окончательной доработки новые стандарты будут приняты и внедрены в 2025 финансовом году.
В альянс автопроизводителей Auto-ISAC помимо японских и американских компаний также входят европейские концерны, например, Mercedes-Benz. J-Auto-ISAC уже начал координировать свою деятельность с североамериканским партнёром Automotive ISAC, который взял на себя ведущую роль в разработке единых отраслевых правил для инвентаризации ПО.