Producenci samochodów odrobili publicznie kilka bolesnych i szeroko nagłośnionych lekcji. Choć niektóre mechanizmy udało się zdemaskować i zbudować odpowiednie zabezpieczenia – nowe scenariusze cyberataków na motoryzację wciąż się piszą. Jak wygląda aktualny krajobraz cyberzagrożeń wymierzonych w branżę?
W branży motoryzacyjnej przyspieszenie technologiczne postępuje jak chyba w żadnej innej, ale z taką samą dynamiką narastają także niebezpieczeństwa. Zagrożenia związane z hackowaniem samochodów, o których kiedyś mówiło się jako o futurystycznych scenariuszach – zdążyły się ziścić w rzeczywistości. Dołączyły do nich nowe, wynikające z przetwarzania coraz bardziej szczegółowych danych kierowców.
Coraz więcej zaawansowanych rozwiązań, coraz bardziej skomplikowana elektronika i coraz większe możliwości zbierania i przetwarzania danych – to droga, którą branża automotive podąża już od dawna. Eksperci nie mają wątpliwości – każdy nasz kolejny, nowszy samochód będzie posiadał jeszcze więcej funkcjonalności opartych o systemy IT oraz dostęp do sieci. Niestety, wraz z technologiami przyspieszają także cyberprzestępcy. Mimo tego, producenci nadal nie zawsze traktują to zagrożenie poważnie.
– Koncerny samochodowe od wielu lat intensywnie rozwijają nowe rozwiązania z pogranicza motoryzacji i IT, wręcz prześcigając się w innowacjach. Niestety im bardziej nowatorskie rozwiązanie, tym większe także ryzyko błędów, które mogą zdemaskować hakerzy. O ile w kwestii bezpieczeństwa użytkowników producenci samochodów nie mogą iść na kompromis, o tyle bezpieczeństwo ich danych bywa niestety czasem zaniedbywane. Można zaryzykować stwierdzenie, że technologiczne przyspieszenie w motoryzacji wciąż często odbywa się bez hamulców bezpieczeństwa IT. Tymczasem potencjalnych mechanizmów ataków jest sporo – komentuje Kamil Sadkowski, starszy specjalista ds. cyberbezpieczeństwa ESET.
Dyskusja na temat hackowania samochodów trwa od wielu lat. Już na starcie mariażu motoryzacji z IT specjaliści ds. cyberbezpieczeństwa przestrzegali, że rozwiązania takie jak elektroniczne kluczyki czy aplikacje zintegrowane z silnikiem pokładowym pojazdów mogą być dogodnymi „punktami wejścia” dla cyberprzestępców. Jednym z pierwszych koncernów, który potraktował te zagrożenia poważnie była Tesla, która już dawno temu rozwinęła swój program tzw. bug bounty – zachęcający etycznych hakerów do łamania swoich systemów i wykrywania podatności nowych modeli w zamian za wysokie nagrody pieniężne.
Szerokim echem w branży i mediach odbił się także eksperyment, jaki przeprowadzili w 2015 roku specjaliści ds. zabezpieczeń Charlie Miller oraz Chris Valasek. Udało im się przedostać do systemu audio samochodu kierowanego przez dziennikarza Wired, Andy’ego Greenberga i przejąć kontrolę m.in. nad klimatyzacją, hamulcami i układem kierowniczym. Ten przykład przyczynił się do poprawy zabezpieczeń marki Jeep.
Niemal dekadę później wciąż jednak słyszymy cyklicznie nie tylko o kolejnych atakach typu car hacking, ale także o kolejnych podatnościach wykrywanych przez specjalistów ds. cyberbezpieczeństwa i tzw. etycznych hakerów w nowych modelach uznanych marek. To zagrożenie zdecydowanie nie odeszło do lamusa.
Kierunek 2: nadużycia danych kierowców?
Nowoczesne pojazdy zbierają coraz więcej danych o użytkownikach: gdzie i kiedy jeżdżą, gdzie się zatrzymują, kiedy tankują pojazd, czy jeżdżą zgodnie z ograniczeniami prędkości itp. Wszystkie te informacje mogą zostać użyte przeciwko kierowcom np. jeśli dojdzie do wycieku i wpadną w niepowołane ręce. Dlatego eksperci podkreślają, że wiarę w nowe technologie warto uzupełnić ostrożnością i dobrymi praktykami, takimi jak monitorowanie aktualności oprogramowania na urządzeniach, którym umożliwiamy dostęp do komputera pokładowego pojazdu i uważna kontrola stanu zabezpieczeń podczas przeglądów. Należy także zwracać uwagę na wszelkie podejrzane, nieprzewidziane sytuacje, takie jak samoistne włączanie się radia czy wycieraczek. Mogą świadczyć o próbie ataku.
Przetwarzanie danych osobowych w ruchu samochodowym to także dziedzina, która podlega od dłuższego czasu zaawansowanym regulacjom prawnym, m.in. z zakresu RODO. Mimo tego, nie tylko użytkownicy, ale także dostawcy systemów oraz producenci samochodów popełniają jeszcze w tej kwestii nierzadko błędy. Niektóre z nich są proceduralne, inne – mogą doprowadzić do naruszenia bezpieczeństwa danych kierowców. Przykładowo w ubiegłym roku w Dolnej Saksonii nałożono karę na Volkswagen A.G. który, w ramach testów nowego systemu wspomagającego dla kierowców, zbierał dane za pośrednictwem wyposażonego w czujniki pojazdu testowego. Sąd uznał, że odbywało się to niezgodnie z zasadami RODO i nie dopełniono szeregu niezbędnych formalności. Dodatkowego kontekstu kwestii przetwarzania danych osobowych użytkowników pojazdów dodaje dyskusja na temat celowości i zasad dostępu do takich danych podmiotom zewnętrznym, takim jak np. ubezpieczyciele.
Kierunek 3: ataki na koncerny przetwarzające informacje?
Komentarze (0)