Avtomobili vse pogostejša vaba za kriminalce

Avtomobili že dolgo niso več mehanska prevozna sredstva, ampak čedalje bolj postajajo računalniki na kolesih. To odpira tudi nove dimenzije kriminala, posledice nepooblaščenih vdorov v sisteme pa so lahko nepredstavljive in tudi nevarne. Zato proizvajalci in tudi regulatorji temu področju namenjajo veliko pozornosti.

S porastom povezljivih sistemov v avtomobilih avtonomne in delno avtonomne vožnje je vprašanje zaščite v avtomobilski industriji vse pomembnejše. Večina proizvajalcev dodaja povezljivost z internetom kot dodatno funkcionalnost v avtomobilih – najpogosteje gre za tako imenovane multimedijske sisteme. Vsaka nova funkcionalnost prinaša tudi določena nova tveganja, možnost vdora nepo-oblaščenih oseb, zlorabo osebnih podatkov in podobno, uporabnik pa pričakuje, da je sistem varen in da deluje.

Za zagotavljanje tega je odgovoren proizvajalec, pojasnjujejo v Slovenskem institutu za kakovost in meroslovje (SIQ Ljubljana), kjer za avtomobilsko industrijo opravljajo varnostne preglede informacijske infrastrukture in aplikacij, revizijske preglede informacijskega sistema, preglede programske opreme, zagotavljajo storitve odkrivanja morebitnih varnostnih pomanjkljivosti in ranljivosti informacijskega sistema povezljivih naprav.

Vaba so tudi električne polnilnice

Mednarodne raziskave kažejo, da se je število kibernetskih napadov v avtomobilski industriji v treh letih povečalo za več kot 200 odstotkov, kar 85 odstotkov pa jih kriminalci izvedejo na daljavo. V 40 odstotkih primerov so tarča zaledni strežniki, vsak četrti napad pa predstavlja nepooblaščeno odklepanje vozila na daljavo (brez ključa). V Veliki Britaniji je bil leta 2021 na ta način ukraden vsak drugi avtomobil. Lani je bil tarča napada z nepooblaščenim vstopom v omrežje podjetja eden največjih proizvajalcev tehnologij in komponent za avtomobilsko industrijo, zaradi česar je bila prekinjena povezava z okuženimi napravami. Po ocenah je bilo ukradenih 1,4 terabajta podatkov.

O kibernetski varnosti tudi v Digitalni Sloveniji 2030

Z raziskavami in etičnimi vdori v sisteme je bilo lani dokazano, da so električne polnilnice vabljiva tarča za manipulacijo tako fizično kot na daljavo. Izpostavljenost zlorabam in napadom lahko zmanjša hitrost polnjenja ali v celoti ustavi njegovo delovanje. »Bilo je že dokazano, da z zlorabo ranljivosti in vdorom prek multimedijskega sistema potencialni napadalec lahko pridobi dostop tudi do vitalnih funkcij vozila, kot so nadzor nad zavorami, linijo vožnje ter tempomatom,« pravijo tudi v SIQ Ljubljana.

Avtomobilska industrija bi zaradi kibernetskih napadov do leta 2024 lahko izgubila 505 milijard dolarjev, pravijo avtorji raziskav na tem področju.

Že med oblikovanjem je treba misliti na zaščito

V McKinseyju so trg informacijske varnosti v avtomobilski industriji, ki bo po njihovi oceni ob pričakovani sedemodstotni letni rasti do leta 2030 dosegel vrednost 9,7 milijarde dolarjev, razdelili na tri dele. Čeprav so proizvajalci še pred nekaj leti največ pozornosti namenjali implementaciji novih regulativnih zahtev ter procesom in rešitvam na področju kibernetske varnosti – kot so monitoring vozil s pomočjo varnostnih operativnih centrov, upravljanje tveganj in odzivanje na incidente, aktivnosti na področju sledljivosti programske opreme, njene kompatibilnosti in ocene vplivov ter sledljivost upravljanja – z razvojem v ospredje vse bolj prihajajo prizadevanja za razvoj programske opreme, ki bi otežila delo kriminalcev.

Tretji del investicij se nanaša na implementacijo strojne opreme. Po nekaterih podatkih sicer veliko večino trga, več kot 80 odstotkov, informacijske varnosti v avtomobilski industriji predstavljajo osebna vozila, eden od pomembnih trendov pa je nastajanje partnerstev med proizvajalci avtomobilov in industrijo informacijsko-komunikacijskih tehnologij.

V Veliki Britaniji je bil leta 2021 vsak drugi avtomobil ukraden z nepooblaščenim odklepanjem na daljavo. FOTO: Voronaman/Shutterstock

V SIQ Ljubljana pojasnjujejo, da sta ustrezna zaščita ter načelo upoštevanja standardov dobrih praks kibernetske varnosti že na stopnji razvoja komponent ključna. To je pristop detajlnega načrtovanja kibernetske varnosti med razvojem (ang. cyber security by design), kar je najboljši pristop v boju s kibernetskim kriminalom, česar pa vsi proizvajalci in razvijalci aplikacij zdaj še ne obvladujejo dobro.

Obeti nove zakonodaje

Ideja regulatorjev v EU je, da bo zahteva po tem pristopu implementirana v prihajajočo evropsko zakonodajo na tem področju, prek svojega dela v SIQ zaznavajo spremembe.

»Zakonodaja preverjanje ustreznosti kibernetske varnosti aplikacij in komponent prepušča proizvajalcem. To jim sicer daje določeno svobodo, težava pa nastane, ker postopki preverjanja niso vedno standardizirani ter konsistentni. V prihodnjih letih prihajajo nove regulative v EU, ki bodo tudi na to področje prinesle več jasnosti ter definiranih postopkov. Lahko pričakujemo, da bodo proizvajalci bolj zavezani k opravljanju preizkusov kibernetske varnosti,« napovedujejo.

Odgovornost tudi v rokah uporabnikov

Avtomobilska industrija se sicer spopada s specifičnimi izzivi na področju informacijskih tveganj. Najpomembnejši je, da se vse več vozil povezuje med seboj, kar lahko drastično poveča vpliv potencialnega kibernetskega vdora. Pred dvema letoma je kriminalni združbi uspelo, da je z nepooblaščenim vstopom v krmilno enoto motorja v enem od avtomobilov na daljavo izklopila pogonske sklope in servo volane pri povezanih vozilih.

Drugi izziv izvira iz kompleksnosti. Vozilo je sestavljeno iz več deset tisoč komponent ter iz desetin krmilnikov, ki jih praviloma razvijajo in proizvajajo številni podizvajalci v avtomobilski verigi. Gre za ogromno dobaviteljsko mrežo, ki jo je zelo težko nadzorovati, sploh z vidika kibernetske varnosti, pojasnjujejo v SIQ Ljubljana. Tretji problem pa je dolga življenjska doba avtomobilov. Vozilo naj bi v isti konfiguraciji delovalo več kot desetletje, medtem ko potencialne vdore in napredovanje kibernetskega kriminala merimo v dnevih.

Posamezniki se morajo zavedati, da tudi sami močno vplivajo na izpostavljenost informacijskemu kriminalu. »Pomembno je, da skrbno in smotrno ravnamo s svojimi osebnimi podatki, gesli in povezljivimi napravami. Zavedati se moramo, da se tudi v vozilu beleži vse več osebnih podatkov, kot so telefonski imeniki in sporočila, ki se prek povezave bluetooth samodejno prenesejo v vozilo. Tudi gesla do aplikacij, ki jih nalagamo na mobilne telefone, so nepridipravom lažje dostopna,« opozarjajo na previdnost.

Poglejmo primer zlorabe podatkov lokacije GPS v vgrajenih navigacijskih sistemih vozila. S potencialnim vdorom samo v ta segment je zelo enostavno pridobiti vzorec posameznikovih dnevnih migracij. Ta podatek se lahko zlorabi za morebitne odtujitve vozila ali lastnine v hiši, ko nekdo na ta način izve, ob kateri uri nas praviloma ni doma.