Diogelu'r Car Trydan A'r Car wedi'i Ddiffinio gan Feddalwedd

“Putin yw pen ***. Gogoniant i Wcráin.”

Dyna a ddarllenodd gwefrwyr cerbydau trydan hacio ymhlith pethau eraill mewn gorsafoedd gwefru anabl ger Moscow yn ddiweddar. Ac yn gymaint â'i fod yn dod â gwên i wynebau llawer ledled y byd, mae'n tynnu sylw at bwynt a wnaed gan nifer o ymchwilwyr a datblygwyr a ymgynnull yr wythnos diwethaf yn escar 2022 (cynhadledd sy'n canolbwyntio ar ddatblygiadau dwfn, technegol mewn seiberddiogelwch modurol bob blwyddyn): mae haciau modurol ar gynnydd. Yn wir, per Adroddiad Upstream Automotive, mae amlder ymosodiadau seiber wedi cynyddu 225% syfrdanol o 2018 i 2021 gydag 85% yn cael eu cynnal o bell a 54.1% o haciau 2021 yn ymosodwyr “Black Hat” (aka maleisus).

Yng nghanol gwrando ar adroddiadau amrywiol o’r byd go iawn yn y gynhadledd hon, daeth ychydig o bethau i’r amlwg: mae newyddion da a newyddion drwg yn seiliedig ar y ffocws gofynnol yn y maes hollbwysig hwn.

Y Newyddion Drwg

Yn syml iawn, y newyddion drwg yw bod datblygiadau technolegol ond yn gwneud y tebygolrwydd o ddigwyddiadau Diwrnod Un yn fwy tebygol. “Mae cerbydau trydan yn creu mwy o dechnoleg, sy’n golygu bod mwy o fygythiadau ac arwynebau bygythiad,” meddai Jay Johnson, Prif Ymchwil o Sandia National Laboratories. “Mae yna eisoes 46,500 o wefrwyr ar gael erbyn 2021, ac erbyn 2030 mae galw’r farchnad yn awgrymu y bydd tua 600,000.” Aeth Johnson ymlaen i amlinellu’r pedwar rhyngwyneb diddordeb sylfaenol ac is-set ragarweiniol o wendidau a nodwyd ynghyd ag argymhellion, ond roedd y neges yn glir: mae angen “galwad i arfau” barhaus. Dyna, mae'n awgrymu, yw'r unig ffordd i osgoi pethau fel yr ymosodiadau Gwrthod Gwasanaeth (DoS) ym Moscow. “Mae ymchwilwyr yn parhau i nodi gwendidau newydd,” dywed Johnson, “ac mae gwir angen dull cynhwysfawr o rannu gwybodaeth am anghysondebau, gwendidau a strategaethau ymateb er mwyn osgoi ymosodiadau cydgysylltiedig, eang ar seilwaith.”

Nid ceir trydan a'u gorsafoedd gwefru cysylltiedig yw'r unig dechnolegau a bygythiadau newydd. Mae'r “cerbyd a ddiffinnir gan feddalwedd” yn blatfform pensaernïol lled-newydd (* gellir dadlau ei fod wedi'i gyflogi 15+ mlynedd yn ôl gan General MotorsGM
ac OnStar) bod rhai gweithgynhyrchwyr yn mynd i'r afael â'r biliynau o ddoleri yn cael eu gwastraffu ar ailddatblygu pob cerbyd yn barhaus. Mae'r strwythur sylfaenol yn cynnwys cynnal llawer o ymennydd y cerbyd oddi ar y llong, sy'n caniatáu ar gyfer ailddefnyddio a hyblygrwydd o fewn y meddalwedd ond hefyd yn cyflwyno bygythiadau newydd. Yn ôl yr un adroddiad Upstream, roedd 40% o'r ymosodiadau dros yr ychydig flynyddoedd diwethaf wedi targedu gweinyddwyr pen ôl. “Peidiwn â thwyllo ein hunain,” rhybuddiodd Juan Webb, Rheolwr Gyfarwyddwr o Kugler Maag Cie, “mae yna lawer o leoedd ar draws y gadwyn fodurol lle gall ymosodiadau ddigwydd yn amrywio o weithgynhyrchu i ddelwriaethau i weinyddion oddi ar y bwrdd. Ble bynnag mae’r cyswllt gwannaf yn bodoli dyna’r rhataf i dreiddio iddo gyda’r goblygiadau ariannol mwyaf, dyna lle bydd yr hacwyr yn ymosod.”

Yno, rhan o'r hyn a drafodwyd yn escar oedd newyddion drwg-newyddion da (yn dibynnu ar eich safbwynt) y Rheoliad UNECE yn dod i rym yr wythnos hon ar gyfer pob math o gerbyd newydd: rhaid i weithgynhyrchwyr ddangos System Rheoli Seiberddiogelwch (CSMS) a System Rheoli Diweddaru Meddalwedd (SUMS) gadarn ar gyfer cerbydau i'w hardystio i'w gwerthu yn Ewrop, Japan ac yn y pen draw Corea. “Nid ymdrech fach yw paratoi ar gyfer yr ardystiadau hyn,” dywed Thomas Liedtke, arbenigwr seiberddiogelwch hefyd o Kugler Maag Cie.

Y Newyddion Da

Yn gyntaf ac yn bennaf, y newyddion gorau yw bod cwmnïau wedi clywed y waedd ralio ac wedi dechrau cyn lleied â phosibl i osod y trylwyredd angenrheidiol i frwydro yn erbyn gelynion Black Hat y soniwyd amdanynt uchod. “Yn 2020-2022, rydym wedi gweld cynnydd yn nifer y corfforaethau sydd eisiau cynnal Dadansoddiad Bygythiad ac Asesiad Risg neu TAR.AR
A,” dywed Liedtke. “Fel rhan o’r dadansoddiadau hynny, yr argymhelliad fu canolbwyntio ar fathau o ymosodiadau a reolir o bell gan fod y rhain yn arwain at werthoedd risg uwch.”

Ac mae'n ymddangos bod yr holl ddadansoddi a thrylwyredd hwn yn cael effaith i ddechrau. Yn ôl adroddiad a ddarparwyd gan Samantha (“Sam”) Isabelle Beaumont o IOActive, dim ond 12% o’r gwendidau a ddarganfuwyd yn eu profion treiddiad yn 2022 a ystyriwyd yn “Effaith Critigol” yn erbyn 25% yn 2016, a dim ond 1% oedd yn “Debygolrwydd Critigol” yn erbyn 7% yn 2016. “Rydym yn gweld strategaethau adfer risg presennol yn dechrau talu ar ei ganfed,” dywed Beaumont. “Mae’r diwydiant yn gwella o ran adeiladu’n well.”

A yw hynny'n golygu bod y diwydiant yn cael ei wneud? Yn sicr ddim. “Mae hyn i gyd yn broses barhaus o galedu’r dyluniadau yn erbyn ymosodiadau seibr sy’n datblygu,” mae Johnson yn awgrymu.

Yn y cyfamser, byddaf yn dathlu'r darn olaf o newyddion da a gefais: mae hacwyr Rwseg yn brysur yn hacio asedau Rwseg yn hytrach na'm porthiant cyfryngau cymdeithasol.