Современный автомобиль и зарядная станция — это уже не просто «железо», а сложные программно-аппаратные продукты. В статье разберём базовые термины, архитектуру, ключевые фреймворки и типовые риски с точки зрения Product Security.
EV, connected car, software-defined vehicle и зарядная инфраструктура сегодня находятся на стыке embedded-разработки, облачных сервисов, мобильных приложений, телематики, OTA-обновлений и эксплуатации в реальном мире. Поэтому и модель безопасности здесь отличается от классического веб-приложения.
Если в обычном SaaS мы чаще думаем об утечке данных, сломанной авторизации или уязвимой библиотеке, то в автомобильной и EV-среде последствия могут быть шире: нарушение работы систем, компрометация OTA-обновления, злоупотребление удалёнными командами, потеря доступности зарядной инфраструктуры или масштабная operational-проблема на уровне парка устройств.
Product Security в этой области — это не только поиск багов. Это управление доверием, архитектурой, жизненным циклом ПО, облачными и встроенными компонентами, а также безопасностью операций.

Зачем вообще нужен отдельный разговор про Product Security в автомобилях и EVSE?
Порасуждаем вместе.
Автомобиль и зарядная станция сегодня — это не один компонент, а целая экосистема:
встроенное ПО и ECU;
внутренние шины и сети автомобиля;
телематика и удалённая связь;
мобильные приложения и веб-порталы;
облачный backend;
OTA-обновления;
аналитика и мониторинг;
поставщики аппаратных и программных компонентов;
эксплуатация и field-operations.
Именно поэтому вопрос «есть ли у нас уязвимость?» недостаточен.
Гораздо полезнее спрашивать так:
Может ли эта слабость повлиять на архитектуру доверия, жизненный цикл продукта или операционную безопасность?
Это уже язык Product Security.
1. Что такое современный автомобиль с программным управлением
Часто говорят, что современный автомобиль — это «компьютер на колёсах». В этом есть большая доля правды.
Внутри автомобиля работают десятки электронных блоков управления — ECU (Electronic Control Units). Они отвечают за разные функции:
движение и управление;
торможение и устойчивость;
комфорт и кузовные системы;
инфотейнмент;
телематику;
ADAS и автопилот-подобные функции;
управление батареей в EV.
Для Product Security важно понимать: автомобиль — это не только один ECU и не только прошивка. Это связанная система, где hardware, firmware, сети, облако, мобильный клиент и эксплуатационные процессы образуют единый продукт.
2. Что такое EVSE и почему это тоже Product Security-задача
EVSE (Electric Vehicle Supply Equipment) — это не только «зарядка как стойка». На практике речь идёт о связанной инфраструктуре:
зарядные станции;
прошивки и настройки устройств;
протоколы связи с backend;
операторский портал;
мобильное приложение клиента;
биллинг и тарифы;
управление сессиями зарядки;
OTA-обновления;
мониторинг и телеметрия.
С точки зрения Product Security это значит, что защита нужна не только веб-части или API, но и всему operational-контуру: устройствам, идентичности станции, удалённым командам, обновлениям и процессам восстановления.
3. Из чего состоит архитектура современного автомобиля и EV-экосистемы
Для вводной статьи удобно смотреть на систему в четырёх крупных слоях:
Пользовательский слой — водитель, пассажиры, мобильное приложение.
Автомобиль — ECU, инфотейнмент, телематика, ADAS, батарея и внутренние функции.
Сети и соединения — CAN/LIN/FlexRay, Automotive Ethernet, 4G/5G, Wi‑Fi/Bluetooth, GNSS.
Облако и сервисы — OTA, аналитика, удалённые команды, API, хранилища данных.

Эта модель полезна тем, что показывает: риски и контрольные меры распределены по нескольким уровням, а не только по «железу» или только по backend.
4. Базовые термины, которые стоит понимать
Ниже — набор терминов, без которых сложно говорить о теме предметно.
ECU (Electronic Control Unit)
Электронный блок управления, который отвечает за конкретную функцию автомобиля.
TCU (Telematics Control Unit)
Телематический блок, обеспечивающий связь автомобиля с внешним миром и облачными сервисами.
ADAS
Advanced Driver Assistance Systems — системы помощи водителю.
OTA (Over-the-Air)
Удалённая доставка обновлений программного обеспечения без физического посещения сервиса.
Infotainment
Системы мультимедиа, навигации, пользовательского интерфейса и цифрового опыта водителя/пассажира.
OCPP
Один из ключевых протоколов взаимодействия зарядной станции и backend-системы в экосистеме EVSE.
Firmware
Встроенное программное обеспечение устройств и блоков управления.
CAN / LIN / FlexRay / Automotive Ethernet
Ключевые автомобильные шины и сети для обмена данными между блоками.
SBOM
Software Bill of Materials — структурированный перечень компонентов, входящих в состав программного артефакта.
TARA
Threat Analysis and Risk Assessment — подход к анализу угроз и оценке рисков, распространённый в automotive security.
5. На что именно смотрит Product Security в этой области
Product Security в автомобилях и EVSE — это про то, как защищается продукт как система. Обычно внимание концентрируется вокруг нескольких тем.
5.1 Границы доверия и trust boundaries
Где система принимает внешние данные? Где кончается доверенная зона? Какие компоненты связывают автомобиль, облако, мобильное приложение и зарядную инфраструктуру?
5.2 Идентичность и аутентификация
Как устройство доказывает, что оно именно то, за кого себя выдаёт? Как аутентифицируется зарядная станция? Как защищаются привилегированные пользователи, администраторы и support-процессы?
5.3 Сегментация и архитектура
Могут ли менее доверенные компоненты повлиять на более чувствительные? Есть ли разумные границы между infotainment, телематикой, safety-adjacent и cloud-компонентами?
5.4 Обновления и жизненный цикл ПО
Как планируется, разрабатывается, тестируется, подписывается и выкатывается ПО? Как проходит OTA? Что будет при rollback? Как выглядит evidence-цепочка релиза?
5.5 Телеметрия, мониторинг и восстановление
Сумеет ли команда увидеть аномалию? Отличить outage от security-инцидента? Понять, какое обновление дошло до какой когорты устройств? Быстро откатить rollout?
6. Зоны доверия и границы безопасности
Один из лучших способов быстро понять систему — разложить её по trust zones.

Упрощённо модель выглядит так:
Внешний мир — интернет, атакующие, вредоносные сайты, сторонние приложения.
Пограничные системы — телематика, VPN/TLS, firewall, IDS/IPS.
Внутренние сети автомобиля — CAN FD, FlexRay, LIN, Automotive Ethernet, ECU по доменам.
Облако и backend — API gateway, сервисы аутентификации, OTA, аналитика.
Для Product Security здесь критично не просто «закрыть доступ», а понять, как перемещается доверие и где нужна сегментация, микросегментация, проверка идентичности и мониторинг.
7. Жизненный цикл ПО и OTA-обновлений
Product Security почти всегда должен смотреть на продукт не только в рантайме, но и по всему SDLC.

Типовой поток выглядит так:
Планирование и требования безопасности.
Разработка и secure coding.
Сборка и SBOM / анализ зависимостей.
Тестирование, включая security testing.
Подписание артефактов и контроль целостности.
Выпуск и одобрение релиза.
Доставка OTA по когортам.
Эксплуатация, телеметрия и обратная связь.
Почему это важно? Потому что в software-defined vehicle и EVSE мирe релиз — это уже не просто кнопка deploy. Ошибка в release governance может превратиться в масштабную проблему в field.
8. Ключевые фреймворки и ориентиры
Для вводного уровня полезно знать несколько ориентиров, которые регулярно всплывают в реальной практике.
ISO/SAE 21434
Один из ключевых отраслевых стандартов по automotive cybersecurity engineering.
UNECE R155
Регуляторная основа, которая продвинула идею системного управления кибербезопасностью автомобиля на уровне процессов и жизненного цикла.
UNECE R156
Связана с управлением обновлениями ПО и организацией software update management.
TARA
Подход к анализу угроз и рисков: что атакуемо, каковы последствия, каков приоритет контрмер.
Secure SDLC / DevSecOps
Критично для backend, cloud, mobile apps, CI/CD, OTA и цифровых платформ вокруг автомобиля или EVSE.
Zero Trust / Least Privilege
Полезны как принципы для аутентификации, сервисных аккаунтов, облачных ролей и управления доступом.
9. Типовые риски и сценарии атак
Ниже — типовые категории рисков, о которых стоит думать Product Security-команде.

9.1 Компрометация цепочки поставок
Уязвимые зависимости, подмена артефактов, небезопасные поставщики, слабые процессы подписи и сборки.
9.2 Уязвимости ECU и прошивки
Ошибки в embedded-компонентах, небезопасная логика обновлений, проблемы с целостностью firmware.
9.3 Атаки на сети автомобиля
Неправильная сегментация, слабые точки на boundary-компонентах, избыточное доверие между доменами.
9.4 Компрометация OTA
Недостаточно защищённая цепочка release → signing → delivery → rollout → rollback.
9.5 Облачные угрозы
Слабая авторизация, избыточные IAM-права, ошибки в API, проблемы с secrets и CI/CD.
9.6 Физический доступ
Доступ к диагностическим интерфейсам, локальным портам, устройствам, стендам, станции или внутренней инфраструктуре.
Типовые последствия при этом тоже выходят за рамки «утечки данных»:
потеря управления отдельными функциями;
нарушение работы систем;
недоступность сервиса;
финансовые потери;
репутационный ущерб;
риск безопасности людей.
10. Практические кейсы, которые повлияли на индустрию
Кейc 1. Исследования удалённой компрометации connected car
Публичные исследования, показавшие возможность удалённого воздействия на connected car через внешнюю поверхность атаки, сильно повлияли на индустрию. Они наглядно продемонстрировали, что проблема не ограничивается одной прошивкой или одним ECU: уязвимость в boundary-компоненте или телематическом контуре может иметь большие последствия.
Почему это было важно:
стала очевиднее необходимость security-by-design;
усилилось внимание к сегментации и boundary-компонентам;
выросла роль процессов OTA, мониторинга и coordinated response.
Кейc 2. Relay-атаки и злоупотребление цифровым доступом
Даже если атака не выглядит как «взлом прошивки», она всё равно может менять восприятие модели риска. Кейсы с relay-атаками и злоупотреблением системами доступа показали, что автомобиль — это не только software bug, но и продуктовая модель доверия.
Что это изменило:
вырос интерес к layered security;
стало важнее смотреть на пользовательские сценарии злоупотребления;
Product Security пришлось теснее работать с hardware, UX и operational-командами.
Кейc 3. EVSE и exposed charging infrastructure
В экосистеме зарядных станций исследователи неоднократно показывали, что слабые настройки, дефолтные учётные данные, неправильная аутентификация или проблемы на backend-стороне способны повлиять не только на данные, но и на реальные charging operations.
Почему это важно:
зарядная станция — это cyber-physical asset;
backend API, cloud, support-процессы и device identity становятся критичными;
одна ошибка может масштабироваться сразу на парк устройств.
11. Как мыслит Product Security-лид в этой теме
Хороший Product Security-подход в automotive и EVSE обычно задаёт такие вопросы:
Какие компоненты являются crown jewels?
Где находятся boundary-системы?
Какие удалённые действия вообще разрешены?
Как защищается release path?
Можно ли доказать происхождение артефакта?
Какие действия требуют step-up authentication или dual control?
Есть ли безопасный rollback?
Достаточно ли telemetry и detection?
Как быстро команда поймёт, что происходит в field?
Эти вопросы переводят разговор из «есть ли CVE» в «можем ли мы безопасно управлять продуктом». Именно это и есть язык Product Security.
12. С чего начать новичку или лидеру, который входит в тему
Если тебе нужно быстро сориентироваться в теме, я бы рекомендовал идти в такой последовательности:
Понять базовую архитектуру автомобиля, EVSE и cloud-экосистемы.
Разобраться с жизненным циклом ПО и OTA.
Освоить базовые термины: ECU, TCU, ADAS, OCPP, OTA, SBOM, TARA.
Посмотреть на trust boundaries и product authority.
Разобрать 3–5 типовых attack-chain сценариев.
Понять, как сочетаются embedded, cloud, mobile и operational controls.
Научиться говорить о риске не только языком уязвимостей, но и языком воздействия, обнаружения и восстановления.
13. Final thought
Безопасность автомобиля, software-defined vehicle и зарядной инфраструктуры — это уже давно не только задача embedded-инженеров и не только задача AppSec.
Это область, где встречаются:
архитектура;
безопасная разработка;
cloud security;
OTA governance;
identity и trust;
supply chain;
device security;
operational resilience.
Именно поэтому Product Security здесь особенно полезен: он помогает смотреть на продукт не как на набор разрозненных компонентов, а как на систему, которую нужно безопасно проектировать, выпускать, обновлять, эксплуатировать и восстанавливать.
Авторская заметка
Эта статья — вводный обзор и часть более крупной работы, которую я сейчас финально полирую: брошюры по безопасности электромобилей и зарядных станций. В полной версии материал глубже раскрывает архитектуру, attack-chain thinking, Product Security operating model, OTA governance, OTA/EVSE риски, практические контрольные меры и управленческий взгляд на тему.
Также я публикую полезные материалы, заметки и ссылки по кибербезопасности в моём Telegram-канале White2Hack https://t.me/w2hack