Журнал "Системы Безопасности" № 6‘2025

S E C U R I T Y A N D I T M A N A G E M E N T 113 l внедрение персональных помощников на базе искусственного интеллекта для удобства вождения; l беспроводные обновления бортового про- граммного обеспечения; l рыночные услуги безопасности, определяе- мые региональными требованиями. Расширение поверхности атак Вместе с расширением удобства и сервисов растет и поверхность атак. В настоящее время в мире приняты три основ- ных стандарта в области кибербезопасности транспортных средств: l R155 – управление киберрисками у произво- дителей (Cyber Security Management System, CSMS). Это нормативный акт ООН, устанав- ливающий требования к кибербезопасности для транспортных средств. l R156 – безопасные обновления ПО (Software Update Management System, SUMS) и иденти- фикация версий. Этот нормативный акт ООН, устанавливающий требования к обеспечению безопасности программных обновлений. l ISO/SAE 21434 – международный стандарт, уста- навливающий требования к инженерии кибербе- зопасности для дорожных транспортных средств, разработанный совместно ISO и SAE International в 2021 г. Он охватывает весь жизненный цикл электроники и программного обеспечения авто- мобиля, от разработки до эксплуатации и утили- зации, чтобы снизить риски кибератак. Стандарт обеспечивает единый подход к управлению кибербезопасностью и помогает компаниям соот- ветствовать требованиям UN R155. В ЕС соответствие этим нормам уже обязатель- ное, что является фильтром доступа на рынок. Важно, что все эти три документа требуют одного и того же – прослеживаемости, то есть каждое решение должно компенсировать конкретный риск, реализовывать конкретное требование, а его реализация должна завершаться проверкой. На практике это означает наличие программ и методик, отчетов испытаний, регламентов управ- ления изменениями и внутреннего аудита. Для одобрения типа транспортного средства про- изводитель предоставляет доказательную базу – материалы, которые подтверждают, что процессы налажены и обеспечивают требуемый результат. Проблемы законодательной базы В настоящее время в нашей стране в сфере кибербезопасности автотранспорта в законо- дательной базе существуют такие проблемы, как несогласованность инициатив и отсутствие единых процессов и ответственности. Это при- водит к росту рисков инцидентов и экономи- ческих потерь, а также наносит ущерб доверию граждан и снижает экспортный потенциал отрасли. Сегодня в России нет обязательных прямых аналогов R155 и R156, поэтому мы можем ускориться за счет формирования националь- ного документа, опираясь на международный опыт и ISO/SAE 21434 как методологическую основу – это во-первых. Во-вторых, нам сроч- но нужна унифицированная методика анали- за защищенности программного обеспечения электронных блоков управления, с четкими шагами, критериями приемки мер защиты и перечнем подтверждающих документов. В третьих, требуется институциональная опора – центр компетенций отрасли, который обеспечит методики испытаний, реализацию функций мониторинга и сопровождение про- изводителей и поставщиков по вопросам кибербезопасности. ОАО "НИИАТ" сформулировало следующие инициативы по упорядочению разрозненных инициатив и центрам ответственности: 1. Разработка национального стандарта/регла- мента на основе R155, R156, ISO 21434. 2. Формирование методики анализа защищен- ности ПО ЭБУ. 3. Введение процедуры сертификации CSMS и SUMS для российских производителей под- ключаемых автомобилей. 4. Создание отраслевого центра компетенций по кибербезопасности транспорта. Роли участников процесса Для эффективного решения вопросов кибербе- зопасности автотранспорта мы предлагаем рас- пределить роли следующим образом. Минт- ранс и Минпромторг должны осуществлять гос- регулирование и разрабатывать нормативно- правовые акты. Росстандарт – разрабатывать и утверждать соответствующие ГОСТы. Орган одобрения типа транспортного средства прове- ряет CSMS/SUMS при сертификации. Аккреди- тованные испытательные центры создают мето- дики и тесты. Отраслевой центр компетенций/VSOC занимается мониторингом, аналитикой, созданием и ведением базы уязви- мостей, взаимодействует с производителями и поставщиками. Первоочередные меры Итак, можно выделить следующие первооче- редные ключевые меры, необходимые для успешного развития сферы кибербезопасности автотранспорта в нашей стране: l формирование единой государственной политики в данной области; l внедрение управляемых процессов на уровне отрасли; l обеспечение соответствия законодательной базы международным практикам. Это позволит использовать инженерный и тех- нологический потенциал России для устойчиво- го развития отечественного автопрома и страны в целом. Вопрос кибербезопасности автотранспорта под- нимался на Транспортной неделе 2025 г. на сес- сии "Кибербезопасность автотранспорта". Участники сессии отметили необходимость сле- дующих мер: 1. Разработка и внедрение национальных нормативов, гармонизированных с междуна- родными требованиями (R155, R156, ISO/SAE 21434). При этом международный опыт нужно адаптировать к российским реалиям, чтобы учитывать специфику локальной инфраструкту- ры связи. 2. Создание Национального центра серти- фикации систем кибербезопасности под- ключаемых транспортных средств для проверки новых моделей автомобилей на соответствие обязательным требованиям. Центр будет слу- жить инструментом поддержки отечественных автопроизводителей и обеспечит контроль импортируемой техники. 3. Формирование полигона для тестирова- ния киберустойчивости автомобилей для отработки кибератак и разработки методиче- ских рекомендаций и тестовых сценариев с привлечением автопроизводителей и учетом международного опыта. 4. Создание Единого центра мониторинга и реагирования (VSOK) в автомобильной отрасли, включая формирование единой базы инцидентов, обмен информацией об уязвимостях, круглосуточный мониторинг киберугроз и организацию экстренного реаги- рования. 5. Организация центров обучения специа- листов по автомобильной кибербезопасно- сти. Подготовка кадров в профильных вузах, повышение квалификации инженерных и ИТ- специалистов автопрома. 6. Проведение информационной кампании о важности кибербезопасности с целью повышения осведомленности производителей и водителей. n Иллюстрации предоставлены автором. www.secuteck.ru декабрь 2025 – январь 2026 СПЕЦПРОЕКТ ТРАНСПОРТНАЯ БЕЗОПАСНОСТЬ Ваше мнение и вопросы по статье направляйте на ss @groteck.ru Рис. 3. Объем рынка встроенных телематических систем OEM 1 1 Из отчета "Глобальный рынок телематических решений для автомобильной промышленности".