Otomotiv Sektöründe Siber Güvenlik ve Bağlantılı Araç Testi: Kapsamlı Uyum Rehberi
Bir otomobil artık sadece mekanik bir araç değil. Tipik bir 2025 model araçta 100 milyondan fazla satır yazılım kodu çalışıyor ve onlarca Elektronik Kontrol Ünitesi frenden klimaya, gaz pedalından kapı kilidine kadar her sistemi yönetiyor. Bu dönüşüm aracı daha akıllı yapıyor; ama aynı zamanda hacklenebilir de kılıyor.
UNECE WP.29 R155 regülasyonu ile artık Avrupa pazarına araç satan her üretici ve tedarikçi, sertifikalı bir Siber Güvenlik Yönetim Sistemi kurmak zorunda. Bu yazıda araç güvenliğinin neden önemli olduğunu, tehdit modelini, gerçek dünya vakalarını ve OEM ile tedarikçi firmaların nasıl uyum sağlayacağını ele alıyoruz.
Temel risk: CAN bus, Wi-Fi, Bluetooth, OTA güncelleme ve EV şarj portları
aracı dışarıya açan saldırı yüzeyleri oluşturuyor.
Yasal çerçeve: UNECE R155, Avrupa pazarına araç satmak için CSMS
sertifikasyonunu zorunlu kılıyor.
Test periyodu: Yaşam döngüsü boyunca sürekli; her büyük güncellemeden sonra.
Türkiye bağlantısı: Togg dahil Avrupa’ya ihracat yapan tüm OEM ve tedarikçiler kapsam içinde.
1. Modern Araçlar Neden Hacklenebiliyor?
1990’lı yıllarda araç içi elektronik sistemler kapalı devre çalışıyordu. Kontrolör Alan Ağı (CAN bus), ECU’ların birbirleriyle haberleşmesini sağlayan tescilli bir protokoldü; dışarıya açık kapısı yoktu, dolayısıyla kimlik doğrulama veya şifreleme ihtiyacı da duyulmuyordu. Bugün bu tablo tamamen değişti.
Modern araçlar 4G/5G modem, Wi-Fi, Bluetooth, V2X iletişim modülü, telematik hizmetleri, OTA güncelleme altyapısı ve EV şarj portundan oluşan çoklu bağlantı katmanlarıyla donatılıyor. Her bağlantı noktası, araç içi ağa potansiyel bir giriş kapısı anlamına geliyor. Sorun şu ki CAN bus hâlâ büyük ölçüde güvenlik önlemi olmadan çalışıyor ve bu protokol artık internete açık bilgi-eğlence sistemleriyle aynı araç içinde bir arada bulunuyor.
Sonuç: Bilgi-eğlence sistemine sızılabilirse, buradan CAN bus’a geçmek ve kritik sürüş sistemlerine komut göndermek mümkün hale geliyor. 2015 Jeep Cherokee vakasında tam olarak bu gösterildi ve 1,4 milyon araç geri çağırıldı.
Başlıca Saldırı Yüzeyleri
| Giriş Noktası | İşlevi | Potansiyel Risk | Risk Seviyesi |
|---|---|---|---|
| Wi-Fi / Bluetooth | Telefon bağlantısı, müzik yayını | Yakın mesafeden sisteme sızma | Yüksek |
| 4G/5G Modem | Uzaktan bağlantı, harita güncellemeleri | Kilometrelerce uzaktan erişim | Kritik |
| OTA Güncelleme | Uzaktan yazılım güncelleme | Sahte güncelleme ile zararlı yazılım yükleme | Kritik |
| EV Şarj Kablosu | Elektrikli araç şarjı | Şarj istasyonu üzerinden veri sızdırma veya komut enjeksiyonu | Yüksek |
| OBD-II Portu | Servis teşhis girişi | Fiziksel erişimle tam kontrol imkânı | Yüksek |
| V2X İletişimi | Diğer araç ve yol altyapısıyla mesajlaşma | Sahte trafik sinyalleri, sensör yanıltma | Orta |
| USB / Medya Portu | Müzik ve navigasyon verisi aktarma | Zararlı içerikli USB ile sisteme sızma | Orta |
Elektrikli Araç Şarj Altyapısı Özel Bir Risk Alanı
Elektrikli araç şarj istasyonları yalnızca elektrik aktarmıyor; araçla iki yönlü veri alışverişi yapıyor. Şarj oturumu bilgileri, araç kimliği ve ödeme verileri bu iletişimin bir parçası. V2G (Vehicle-to-Grid) teknolojisinin yaygınlaşmasıyla birlikte bu bağlantı şebekeye kadar uzanıyor.
2025 Pwn2Own Automotive yarışmasında güvenlik araştırmacıları, Tesla Wall Connector dahil birçok büyük markanın şarj cihazını ele geçirdi. Kullanılan yöntemlerden birinde şarj kablosunun kontrol hattına sahte sinyal enjekte edilerek cihazın yönetici kimlik bilgileri elde edildi; ardından eski ve açıklı bir yazılım versiyonu yüklenerek tam kontrol sağlandı. Tüm bu adımlar birkaç saat içinde tamamlandı.
2. Gerçek Dünya Vakaları: Teori Değil, Fiili Tehdit
Otomotiv siber güvenliği tartışmaları çoğu zaman teorik düzeyde kalıyor. Oysa bu alandaki en köklü değişiklikler, araştırmacıların veya saldırganların gerçek sistemlere müdahale etmesiyle hayata geçti. İşte sektörü temelden sarsan iki kritik vaka.
2015 Jeep Cherokee Vakası: Her Şeyin Değiştiği An
Güvenlik araştırmacıları Charlie Miller ve Chris Valasek, otoyolda 110 km/s hızla giden bir Jeep Cherokee’yi uzaktan kontrol edebileceklerini göstermek için bir deney tasarladı. Wired dergisi için yapılan bu deneyde araç, araştırmacıların gözetiminde bir sürücüyle birlikte yola çıktı.
Saldırının başlangıç noktası, aracın Uconnect bilgi-eğlence sistemiydi. Sistemin Wi-Fi şifresi, aracın açıldığı andaki fabrika zaman damgasına göre üretiliyordu. Bu tahmin edilebilir yapı, şifrenin çok kısa sürede kırılmasına olanak tanıdı. Wi-Fi ağına girdikten sonra araştırmacılar, sistemde açık bırakılmış bir iletişim servisi üzerinden CAN bus’a ulaştı. Oradan gaz, fren ve şanzımana komut göndermek artık mümkündü.
Araçtaki sürücü pedallara basmayı bıraktı çünkü müdahalesi hiçbir işe yaramıyordu. Araç yol kenarına savruldu. Üretici Fiat Chrysler 1,4 milyon aracı geri çağırmak zorunda kaldı. Bu vaka, CAN bus gibi köklü ama güvensiz protokollerin artık dışa açık sistemlerle birlikte çalıştığını ve bunun ölümcül sonuçlar doğurabileceğini tescilledi.
Pwn2Own Automotive 2025: EV Şarj Cihazlarına Zincir Saldırı
Trend Micro Zero Day Initiative tarafından düzenlenen Pwn2Own Automotive yarışmasında 2025 yılında 76’dan fazla yeni güvenlik açığı keşfedildi ve katılımcılara 1 milyon doların üzerinde ödül dağıtıldı. Yarışma artık yalnızca araçlarla değil EV şarj altyapısıyla da ilgileniyor.
Tesla Wall Connector’ın ele geçirilmesinde kullanılan saldırı zinciri birden fazla adımdan oluştu. İlk adımda şarj kablosunun kontrol hattına özel bir sinyal simülatörü bağlanarak CAN ve UDS ağ trafiği enjekte edildi. İkinci adımda UDS protokolündeki ReadDataByIdentifier komutu üzerinden yönetim panelinin ağ adı ve güvenlik anahtarı elde edildi. Üçüncü adımda cihaza, bilinen açıklar barındıran eski bir yazılım versiyonu yüklendi. Son adımda UDS güvenlik erişimi basit bir XOR algoritması kullanılarak geçildi ve cihaz üzerinde tam kontrol sağlandı.
3. ISO 21434 ve UNECE R155: Uyum Artık Zorunluluk
Siber güvenlik artık otomotiv sektöründe iyi bir uygulama olmaktan çıktı; yasal zorunluluk hâline geldi. Özellikle Avrupa pazarına yönelik üretim yapan ve ihracat eden firmalar için bu kurallar hukuki bağlayıcılık taşıyor.
Bu alandaki standartlar ile regülasyonları ayırt etmek önemli. Standartlar, endüstri üyelerinin bir araya gelerek oluşturduğu referans mühendislik çerçeveleridir. Regülasyonlar ise hükümetler veya uluslararası organlar tarafından çıkarılan, uyulmaması durumunda pazar erişiminin engellendiği yasal direktiflerdir. ISO/SAE 21434 bir standart, UNECE R155 ise yasal bağlayıcılığı olan bir regülasyon.
Üç Temel Düzenlemenin Karşılaştırması
| Düzenleme | Odak Noktası | Yaptırım | Temel Gereksinim |
|---|---|---|---|
| UNECE R155 | Siber Güvenlik Yönetim Sistemi (CSMS) | Tip onayı verilmez, araç satılamaz | CSMS sertifikasyonu, 3 yılda bir yenileme, bağımsız denetim |
| UNECE R156 | Havadan yazılım güncellemeleri (OTA) | Güncelleme mekanizmaları onaylanmaz | Geri alma yeteneği, SBOM, kriptografik doğrulama, DoS koruması |
| ISO/SAE 21434 | Yaşam döngüsü güvenlik mühendisliği | Gönüllü standart; ancak R155 uyumu için referans çerçeve | TARA analizi, tasarım aşamasında güvenlik (secure-by-design) |
UNECE R155 Pratikte Ne Anlama Geliyor?
UNECE R155, yeni tip onayı almak isteyen araç üreticilerinin sertifikalı bir Siber Güvenlik Yönetim Sistemi’ne sahip olmasını zorunlu kılıyor. Bu yükümlülük yalnızca OEM’leri değil, tedarik zincirinin tamamını etkiliyor. Eğer Türkiye’deki bir tedarikçi firma Avrupa’daki bir OEM’e elektronik kontrol ünitesi, bilgi-eğlence bileşeni veya telematik modül üretiyorsa, o ürünün güvenlik gereksinimlerini karşılaması gerekiyor.
R155 kapsamında CSMS sertifikasyonunun geçerlilik süresi üç yıl. Bu süre içinde üreticiler, siber güvenlik duruşlarını ulusal makamlara düzenli olarak raporlamak ve sistemin kesintisiz işlediğini doğrulamak zorunda. Sertifikanın yenilenmemesi veya uyumsuzluğun tespit edilmesi, söz konusu pazarlarda araç satış hakkının kaybedilmesi anlamına geliyor.
ISO/SAE 21434 ve TARA Analizi
ISO/SAE 21434, siber güvenliği aracın ömrünün yalnızca üretim aşamasıyla değil, kavram geliştirmeden hurdaya ayırmaya kadar uzanan tüm yaşam döngüsüyle ilişkilendiriyor. Bu standardın temel aracı TARA, yani Tehdit Analizi ve Risk Değerlendirmesi.
TARA şu soruları sistematik biçimde yanıtlıyor: Bu sisteme kim saldırabilir, hangi yollarla saldırabilir, başarılı olursa ne kadar zarar verebilir ve bu riski kabul edilebilir düzeye indirmek için ne yapılmalı? Bu analiz geliştirme sürecinin en erken aşamasında yapılmalı ve ürün ömrü boyunca güncellenmelidir.
R156 ve OTA Güncelleme Güvenliği
Pek çok modern araç artık servis gerektirmeden kablosuz yazılım güncellemesi alabiliyor. Bu büyük bir kolaylık; ancak aynı zamanda yeni bir tehdit vektörü. R156 regülasyonu bu riski doğrudan hedef alıyor. Her güncelleme paketinin kriptografik imzayla doğrulanması, hatalı güncelleme durumunda önceki sürüme otomatik geri dönüş mekanizmasının bulunması ve araçtaki her yazılımın kaynağını gösteren Yazılım Malzeme Listesi (SBOM) tutulması R156’nın temel gereksinimleri arasında.
4. Araç Güvenliği Nasıl Test Edilir?
ISO/SAE 21434 ve UNECE R155 gereksinimlerini karşılamak için tek bir test türü yeterli olmuyor. Araç güvenliği, geliştirme döngüsünün her aşamasında birbirini tamamlayan yöntemler gerektiriyor.
Statik Kod Analizi
Geliştirme döngüsünün en erken evresinde gerçekleştirilen statik analiz, yazılım kaynak kodunu çalıştırmadan inceliyor. Bellek sızıntıları, güvensiz işaretçi kullanımı, eşzamanlılık hataları ve sıfıra bölme olasılıkları gibi dinamik testlerin yakalaması çok zor olan yüzlerce mantık hatasını otomatik olarak tespit edebiliyor.
Otomotiv yazılımları için geçerli kodlama standartları arasında MISRA C/C++, CERT C/C++ ve ISO/IEC 17961 sayılabiliyor. Polyspace, Coverity ve Axivion Suite gibi araçlar bu standartlara uyumu büyük kod tabanlarında otomatik olarak denetliyor. Polyspace gibi matematiksel temele dayanan gelişmiş araçlar ise belirli çalışma zamanı hatalarının asla gerçekleşmeyeceğini biçimsel doğrulama tekniğiyle ispatlayabiliyor.
Fuzzing Testleri
Fuzzing, çalışan bir sisteme otomatik olarak beklenmedik, geçersiz veya rastgele veri paketleri göndererek sistemin çökmesini, bellek sızıntısı vermesini veya anormal tepkiler üretmesini hedefleyen dinamik bir güvenlik testi. Araç güvenliğinde CAN bus mesajları, UDS teşhis komutları, Bluetooth paketleri ve Automotive Ethernet trafiği üzerinde özellikle etkili.
Günümüzde yapay zeka destekli fuzzing araçları UDS gibi protokollerin semantiğini anlayarak klasik rastgele yaklaşımdan çok daha fazla güvenlik açığı buluyor. Örneğin UDS’de bir “Güvenlik Erişimi” komutuna sistemin verdiği yanıta göre bir sonraki test parametreleri akıllıca seçilip kod kapsamı artırılabiliyor.
Araç Sızma Testi
Otomatik araçların tespit edemediği mantıksal açıkları bulmak ve gerçek bir saldırganın davranış kalıplarını simüle etmek için uzman mühendisler devreye giriyor. Bir otomotiv sızma testinin beş temel aşaması var: bilgi toplama, ağ taraması, zafiyet değerlendirmesi, istismar ve raporlama. İstismar aşamasında bulunan açıkların gerçekten kullanılabilir olup olmadığı test ediliyor; ECU donanımına sahte yazılım yükleme veya CAN ağına komut enjeksiyonu bu aşamanın tipik örnekleri.
HIL ve SIL Test Ortamları
Araç yazılımının yalnızca sanal ortamda çalışması, donanımla birleştiğinde ortaya çıkacak elektriksel davranışı ve zamanlama sorunlarını öngörmek için yeterli değil. HIL, gerçek bir ECU’nun aracın geri kalanını elektronik olarak taklit eden bir simülatöre bağlanması işlemi. Motor ısısı, tekerlek dönüş hızı veya radar sinyalleri yapay elektriksel uyarılar olarak ECU’ya gönderilerek donanımın gerçek koşullardaki tepkileri laboratuvarda tekrarlanabiliyor. ISO 26262 standardı, adaptif hız sabitleyici veya otonom frenleme gibi emniyet kritik sistemlerin doğrulanmasında HIL kullanımını öneriyor.
| Test Yöntemi | Yaklaşım | Kullanılan Araçlar | Kullanım Evresi |
|---|---|---|---|
| Statik Kod Analizi | Kodu çalıştırmadan denetleme; kodlama standartları uyumu | Polyspace, Coverity, Axivion Suite | Erken geliştirme, CI/CD süreçleri |
| Fuzzing | Rastgele ve mutasyonlu veri yükleyerek çökme ve açık tespiti | Synopsys Defensics, CI Fuzz, AFL++ | Yazılım entegrasyonu, bellenim ve protokol testleri |
| Sızma Testi | Uzman mühendis tarafından gerçek tehdit simülasyonu | Manuel analiz, özel donanım ve ağ araçları | Ürün doğrulama ve periyodik testler |
| HIL/SIL | Gerçek donanım ve simülatör entegrasyonu ile güvenlik doğrulama | dSPACE, Vector CANoe, PlaxidityX | Donanım entegrasyonu ve emniyet kritik sistem testleri |
5. Savunma Mekanizmaları ve Güncel Yaklaşımlar
Testler güvenlik açıklarını ortaya koyuyor; ama asıl hedef bu açıkları kapatmak ve gelecekteki saldırılara karşı dirençli bir mimari kurmak. Sektörün benimsediği başlıca savunma katmanları şunlar.
Donanım Güvenlik Modülü (HSM)
Modern araç mikrokontrolörlerinin içine gömülü olan HSM, ana işletim sisteminden fiziksel olarak izole edilmiş, yalnızca kriptografik operasyonlara ayrılmış özel bir donanım kasası. Şifreleme anahtarlarını cihazın hafızasından asla çıkarmadan kendi yongasında barındırıyor; ana işletim sistemi hacklenmiş olsa dahi bu anahtarlar elde edilemiyor.
Araç kontak açıldığında sistemin manipüle edilmediğini doğrulayan güvenli başlatma, kod imzalama ve araç içi iletişim doğrulama gibi kritik güvenlik mekanizmaları doğrudan HSM yongasında işleniyor. AUTOSAR standartları gereğince ECU’lar arasındaki iletişim, AES CMAC tabanlı mesaj kimlik doğrulama kodlarından geçirilerek sinyali gönderenin gerçek bir iç modül mü yoksa sahte bir cihaz mı olduğu teyit ediliyor.
Araç İçi Saldırı Tespit Sistemi (IDS)
Harici iletişim kanallarındaki güvenlik bariyerleri aşıldığında devreye giren yapı, araç ağında dolaşan veri trafiğini sürekli izleyen IDS sistemleri. AUTOSAR’ın belirlediği standart mimaride üç temel bileşen var: ağ trafiğini izleyen güvenlik sensörleri, sensör uyarılarını filtreleyen IDS Yöneticisi ve olayları OEM’in güvenlik operasyon merkezine ileten IDS Raporlayıcı. Makine öğrenimi destekli anomali tespiti, ağın “normal” davranış kalıbını öğrenerek bu kalıbın dışına çıkan her türlü mesajı milisaniyeler içinde tespit ediyor.
Hareketli Hedef Savunması (MTD)
Geleneksel güvenlik sistemleri statik bir yapıda kurgulanıyor: IP adresleri, iletişim portları ve bellek yapıları sabit. Bu durum, sisteme sızan bir saldırgana ağı haritalayıp açığı bulması ve sömürü kodunu hazırlaması için zaman tanıyor.
Hareketli Hedef Savunması bu mantığı tersine çeviriyor. Yapay zeka kullanılarak araç ağının konfigürasyonu, servis konumları ve bellek blokları sürekli ve rastgele değiştiriliyor. Saldırgan bir zafiyeti sömürmek üzere harekete geçtiğinde hedef çoktan değişmiş oluyor. Ancak bunu yaparken emniyet kritik frenleme veya direksiyon sistemlerinde milisaniye düzeyinde gecikmelere yol açmamak kritik önem taşıyor.
6. Sık Sorulan Sorular
UNECE R155 yalnızca büyük üreticileri mi kapsıyor?
Hayır. R155 tedarik zincirinin tamamını etkiliyor. Bir Türk firması Avrupalı bir OEM’e elektronik kontrol ünitesi, bilgi-eğlence bileşeni veya yazılım katmanı üretiyorsa o ürünün güvenlik gereksinimlerini karşılaması gerekiyor. Gereksinimler karşılanmazsa OEM söz konusu bileşeni kullanamıyor; bu da ihracat pazarına erişimi doğrudan etkiliyor.
TARA analizi kim tarafından yapılmalı?
TARA, hem otomotiv hem de siber güvenlik konusunda deneyimli uzmanlık gerektiriyor. ISO/SAE 21434 bu analizi geliştirme sürecinin en erken aşamasında başlatılması ve ürün ömrü boyunca güncellenmesi gerektiğini söylüyor. Büyük OEM’ler bu analizi iç ekiplerle yapıyor; tedarikçi firmalar genellikle bağımsız güvenlik firmaları ile çalışmayı tercih ediyor.
Araçlara yönelik güvenlik testleri ne sıklıkla yapılmalı?
R155 kapsamında CSMS sertifikasının her üç yılda bir yenilenmesi zorunlu. Ancak iyi uygulama açısından her büyük yazılım güncellemesinden sonra ve yeni özellikler devreye alınmadan önce testlerin tekrarlanması gerekiyor. Araç yazılımı sürekli evrildiği için güvenlik testi de tek seferlik bir eylem değil, sürekli bir süreç olarak planlanmalı.
EV şarj altyapısı ayrı bir test kapsamı gerektiriyor mu?
Evet. Şarj istasyonları araçla iki yönlü veri alışverişi yapıyor ve V2G teknolojisiyle şebekeye kadar uzanan bir bağlantı zinciri oluşturuyor. Bu altyapı için araç testlerinden bağımsız olarak, şarj protokollerine özgü fuzzing ve sızma testleri yapılması gerekiyor. Özellikle ISO 15118 protokolündeki kimlik doğrulama mekanizmaları kritik test alanları.
HIL testi olmadan sızma testi yeterli mi?
Sızma testi ve HIL birbirini tamamlayan yöntemler. Sızma testi mantıksal açıkları, yanlış yapılandırmaları ve zayıf kimlik doğrulama mekanizmalarını buluyor. HIL ise gerçek donanımın elektriksel davranışını, zamanlama sorunlarını ve donanım-yazılım entegrasyonundaki güvenlik açıklarını ortaya çıkarıyor. ISO 26262 uyumu gerektiren emniyet kritik sistemler için HIL zorunlu.
Togg’a bileşen üreten Türk firmalar bu kapsamda mı?
Togg Avrupa pazarına yönelik üretim yaptığı için hem R155 hem de R156 kapsamında. Togg’a bileşen üreten Türk tedarikçi firmalar da kendi ürünleri için gerekli güvenlik doğrulamalarını yapmak zorunda. Bu yükümlülük aynı zamanda Türkiye’nin otomotiv yazılım ekosistemi için büyük bir fırsat. Yerli IDS sistemleri, HSM optimizasyonları ve güvenlik test altyapısına yönelik talep büyüyor.
