Samochody autonomiczne to temat, który w ostatnim czasie przyciąga uwagę na całym świecie. Jednak nim w pełnym wymiarze zaczniemy korzystać z nowych technologii, eksperci z dziedziny cyberbezpieczeństwa — wskazując na zagrożenia związane z potencjalnym wykorzystaniem samochodów autonomicznych do celów przestępczych — sugerują zwiększenie troski o ich cyfrowe bezpieczeństwo.
U progu ery autonomicznych pojazdów firmy z branży motoryzacyjnej powinny podjąć działania minimalizujące ryzyko ataków hakerów – informuje Aleksander Kostuch, ekspert bezpieczeństwa Stormshield, europejskiego wytwórcy rozwiązań z obszaru bezpieczeństwa IT. Jak wskazuje, stosowane obecnie rozwiązania nie są wystarczające.
Autonomiczna motoryzacja: świetlana przyszłość czy zagrożenie?
Wraz z rozwojem technologii, samochody stają się coraz bardziej zautomatyzowane i inteligentne. Już obecnie implementacja systemów cyfrowych przynosi wiele korzyści. Kolejnym etapem w rozwoju motoryzacji jest autonomiczność, która zmieni oblicze transportu i sposobów, w jakich podróżujemy.
Firmy takie jak Google, Tesla, Waymo czy Uber coraz śmielej testują samojezdne pojazdy na drogach publicznych. Wkład w rozwój technologii mają również polskie firmy, na przykład start-up Blees z Gliwic, która buduje autonomiczny autobus. Wraz z testami pojawiają się prognozy dotyczące tego segmentu rynku motoryzacyjnego. Według International Data Corporation do 2040 roku liczba autonomicznych pojazdów przekroczy 30 milionów i będą one spotykanie nie tylko w Kalifornii – będącej kolebką autonomicznej jazdy – lecz na całym świecie.
Ataki hakerskie na samochody nie są nowym zjawiskiem
Podłączenie pojazdów do sieci otwiera pole do działania dla cyberprzestępców. Pierwsze przypadki ataków hakerskich na systemy samochodowe miały miejsce już kilka lat temu. W 2015 roku, dwóch hakerów w ramach eksperymentu w łatwy sposób przejęło kontrolę nad samochodem marki Jeep Cherokee, wykorzystując exploit w oprogramowaniu. W wyniku ataku hakerzy mieli kontrolę nad systemami klimatyzacji, hamulcami, pedałem gazu oraz radiem. Ten incydent stał się punktem zwrotnym w kwestii bezpieczeństwa samochodów i spowodował wzrost świadomości potencjalnych zagrożeń związanych z pojazdami autonomicznymi.
W połowie maja 2023 Toyota poinformowała o incydencie. Od 6 Listopada 2013 do 17 kwietnia 2023 roku był dostępny zasób chmurowy niewymagający autoryzacji żadnym hasłem, który zawierał ID samochodu, lokalizację auta oraz czas, w którym został wykonany pomiar. Dodatkowo zawierał on nagrania z zewnętrznych kamer samochodów (od listopada 2016 roku do kwietnia 2023 roku). Mogło to dotyczyć aż 2 mln samochodów, którzy subskrybowali usługi: T-Connect/G-Link/G-Link Lite/G-BOOK.
Ważne, aby mieć świadomość, że nie mówimy tu o zagrożeniu dla funkcjonowania firmy czy linii produkcyjnych fabryki. Wobec tych przypadków kluczową kwestią staje się zabezpieczenie przed cyberprzestępstwami pojazdu będącego w rękach użytkownika, z myślą o jego bezpieczeństwie, – podkreśla Aleksander Kostuch, inżynier Stormshield.
Śmiercionośny potencjał autonomicznych technologii
Obecna sytuacja geopolityczna na świecie pokazuje potencjał możliwości nowych, autonomicznych technologii. W konflikcie w Ukrainie drony są stałym elementem pola walki zbrojnej. Z kolei w mediach pojawiają się fake newsy tworzone w oparciu o sztuczną inteligencję i deep fake, które nie rzadko nie sposób prawidłowo ocenić. Samojezdne pojazdy mogą oferować ogromne możliwości na polu walki i poza nim. Nietrudno sobie wyobrazić auto przewożące ładunki wybuchowe lub inne niebezpieczne materiały do miejsca przeznaczenia. Cyberprzestępcy mogą również wykorzystać samochody do przemytu narkotyków lub broni, a nawet przeprowadzać ataki na ludzi lub obiekty Wreszcie przejęty przez hakerów samochód może stać się narzędziem do szpiegowania i monitorowania.
Właśnie dlatego tak ważne jest, aby branże wykorzystujące autonomiczne technologie, w tym przemysł motoryzacyjny, miały świadomość konieczności większej niż dotychczas dbałości o bezpieczeństwo cybernetyczne. Nadchodząca era pojazdów autonomicznych wymaga szczególnej uwagi w tym zakresie. W sytuacji, gdy samochody mogą być zdalnie kontrolowane, cyberprzestępcy mogą chcieć wykorzystać je do własnych celów. – komentuje ekspert Stormshield.
Cybernetyczne wyzwanie dla branży motoryzacyjnej
Zapewnienie bezpieczeństwa w branży motoryzacyjnej zawsze było jednym z najważniejszych aspektów. Jednak wraz z upowszechnianiem pojazdów autonomicznych, pojawia się wiele nowych wyzwań. Hakerzy, którzy potencjalnie przejmą kontrolę nad systemami pojazdów, mogą nie tylko zagrażać zdrowiu i życiu pasażerów, ale także stanowić zagrożenie dla ruchu drogowego. Dlatego konieczne jest opracowanie nowych polityk, które pozwolą na stworzenie bardziej bezpiecznej przestrzeni w branży motoryzacyjnej.
Aby osiągnąć ten cel niezbędne są nowe regulacje oraz wdrażanie ulepszonych środków bezpieczeństwa przez producentów samochodów. Regulacje prawne powinny określać jasno określone odpowiedzialności producentów za cyberbezpieczeństwo pojazdów autonomicznych, a także za zabezpieczenia systemów oraz zapewnienie aktualizacji i łatek oprogramowania w przypadku wykrycia zagrożeń.
Wymaga to współpracy między producentami samochodów, dostawcami oprogramowania oraz organami regulacyjnymi. Konieczne jest ustanowienie standardów bezpieczeństwa, audytów i testów, które będą obowiązywać dla wszystkich producentów samochodów. Bezpieczeństwo powinno być wprowadzane już na etapie projektowania i produkcji samochodów, a nie tylko w formie reakcji na istniejące zagrożenia. Wprowadzenie zabezpieczeń nie tylko fizycznych i technologicznych, lecz również takich jak systemy wykrywania i ochrony przed atakami, aktualizacje zdalnego oprogramowania, separacja systemów wewnątrz pojazdu, powinno być integralną częścią procesu tworzenia samochodów. – podkreśla Aleksander Kostuch, ekspert Stormshield.
Wskazuje przy tym trzy kluczowe obszary, które powinny być w takim planowaniu uwzględnione:
1. Wprowadzenie ścisłej separacji systemów w pojazdach autonomicznych. Każdy system, zarówno ten związany z jazdą autonomiczną, jak i systemy komunikacji i rozrywki, powinien być odizolowany od siebie, aby zapobiec potencjalnemu przenoszeniu się ataków z jednego systemu na drugi. W trakcie użytkowania systemów rozrywki często jest możliwość korzystania z zewnętrznych nośników, które mogą nieść zagrożenie. Bezpośrednie połączenie z siecią Internet w trakcie słuchania muzyki, nawigacji czy streamingu również sprzyja bezpośrednim atakom. Jednym z przykładów może być tzw. „sandboxing”, czyli izolowanie poszczególnych systemów wewnątrz pojazdu, co zapobiega przepływowi informacji między nimi. W sierpniu 2022 japoński programista ogłosił, że udało mu się uruchomić własne oprogramowanie w pokładowym systemie rozrywkowym IVI (In-Vehicle Infotainment) w samochodzie Hyundai Ioniq SEL z 2021 r. Odkrył on, że producent pojazdu zabezpieczył system Hyundai Mobis za pomocą kluczy, które były publicznie znane i dostępne w Internecie.
2. Procedury wprowadzania aktualizacji oprogramowania. Systemy te powinny być zaprojektowane w taki sposób, aby były bezpieczne i niepodatne na ataki w trakcie procesu aktualizacji. Jeżeli zostanie wykryta luka w zabezpieczeniach, należy mieć możliwość sprawnego informowania i szybkiego reagowania na nowe zagrożenia. W 2017 roku (publicznie ta informacja pojawiła się we wrześniu 2020) badacz podatności odkrył, jak samochody Tesli łączyły się do sieci, z wykorzystaniem OpenVPN. Okazało się, że klucze były uniwersalne i dawały dostęp do połączenia z każdego samochodu. Korzystając z API (tego samego co aplikacje mobilne Tesli), można było np. lokalizować, otwierać czy uruchamiać dowolny samochód Tesli. Tym razem lukę jako pierwszy odkrył, za wynagrodzeniem, badacz.
3. Implementowanie zaawansowanych systemów monitorowania i wykrywania zagrożeń cybernetycznych. Systemy te powinny być w stanie identyfikować nietypowe aktywności, próby ataków oraz sytuacje, które mogą wskazywać na próby kompromitacji systemu.
Scenariusze nie do końca nieprawdopodobne
Aby uniknąć zagrożeń, producenci samochodów i organy rządowe muszą wyprzedzać rozwój technologii, tworząc nowe rozwiązania zabezpieczające i opracowując regulacje prawne. Te regulacje powinny obejmować wymogi procedur audytów i testów, które muszą być przeprowadzane na etapie projektowania, produkcji i użytkowania pojazdów pod kątem zagrożeń cybernetycznych w celu minimalizacji ryzyka cyberataków.
Tylko w ten sposób będziemy mogli zminimalizować ryzyko, jakie niosą ze sobą nowe technologie. Najwyższy czas, aby spojrzeć na te kwestie z większą uwagą i zabezpieczyć się na przyszłość, która nadchodzi wielkimi krokami. – mówi Aleksander Kostuch.
Funkcjonujący obecnie Audyt IATF 16949 (będący międzynarodowym standardem jakości stosowanym w branży motoryzacyjnej) uwzględnia elementy związane z cyberbezpieczeństwem, choć nie jest to główny obszar dokonywanej oceny. Audyt obejmuje sekcję, w której znajdują się wymagania dotyczące systemów informacji, w tym cyberbezpieczeństwa.
Edukacja i świadomość cyberbezpieczeństwa powinny być promowane zarówno wśród konsumentów, jak i pracowników branży motoryzacyjnej. Kierowcy powinni być uświadamiani co do zagrożeń, dostosowania się do procedur związanych z odpowiednimi praktykami bezpieczeństwa. Z kolei pracownicy motoryzacyjni powinni być odpowiednio przeszkoleni w zakresie identyfikacji i zarządzania ryzykiem cybernetycznym. Moim zdaniem sensowne byłoby utworzenie wspólnych platform i mechanizmów wymiany informacji na temat zagrożeń i incydentów cyberbezpieczeństwa w branży motoryzacyjnej – podsumowuje ekspert Stormshield, europejskiego wytwórcy rozwiązań z obszaru bezpieczeństwa IT.