Auta elektryczne na celowniku hakerów. Kto kontroluje nasze dane?

Karol Byzdra, Energetyka24.com: W ciągu ostatniej dekady sektor pojazdów elektrycznych odnotował znaczący rozwój. Zaobserwowaliśmy zmiany choćby w kształcie nadwozia i zasięgu baterii. Ale co z cyberbezpieczeństwem tych pojazdów? Czy ono również ewoluowało? 

Yehuda Kaufman, wiceprezes ds. doradztwa i badań, Argus Cyber Security: Ogólnie rzecz biorąc, pojazdy elektryczne są pod wieloma względami podobne do tradycyjnych samochodów. Tu kwestie cyberbezpieczeństwa nie odbiegają od siebie znacząco, choć warto wskazać na dwie główne różnice. 

Po pierwsze, pojazdy elektryczne oferują nowy interfejs V2G (ang. vehicle-to-grid), który umożliwia wykorzystanie ich jako mobilne magazyny energii. Po drugie, znane marki samochodów są większe, bardziej ugruntowane na rynku, mają większe doświadczenie w branży motoryzacyjnej i dysponują solidnymi metodami cyberbezpieczeństwa. Tymczasem na globalny rynek pojazdów elektrycznych wchodzi wiele nowych marek, co może stwarzać potencjalne ryzyko dla nowych producentów. 

KB: Zatem jakie dane gromadzą obecnie samochody? 

Y. Kaufman: Nowoczesne samochody gromadzą dziś znaczne więcej danych niż byśmy się tego spodziewali. Są one wyposażone w liczne czujniki monitorujące zachowanie kierowcy, kamery, GPS i mają także możliwość podłączenia smartfonów, które potencjalnie mogą przesyłać nawet dane finansowe. Generuje to obszerną bazę informacji, do której producenci mają dostęp i którą mogą zarządzać, choć wątpliwości budzą niekiedy metody przechowywania danych o kierowcach. Jak wynika z niedawnej ankiety przeprowadzonej przez Mozillę, producenci samochodów są w posiadaniu znacznej ilości prywatnych informacji, które nie zawsze są odpowiednio chronione.  

KB: A gdzie te dane trafiają później? Kto ma nad nimi kontrolę? 

Y. Kaufman: Zazwyczaj dane trafiają do producentów i często są przechowywane w ich strukturach. A ci następnie zarządzają już nimi zgodnie ze swoimi potrzebami, wykorzystując je do wewnętrznych celów takich jak analiza wyników pozwalająca wykryć z wyprzedzeniem nieprzewidziane awarie, czy też opracowanie pewnych funkcji, które mogą zostać następnie zaoferowane kierowcom.  

Oskar Klimczuk, CyberDefence24: Czy może nam Pan powiedzieć, jak te dane są zabezpieczone? 

Y. Kaufman: Jako specjalista ds. cyberbezpieczeństwa, muszę powiedzieć, że absolutne bezpieczeństwo danych nigdy nie jest zagwarantowane. Niemniej jednak istnieją regulacje, które mogą ograniczyć ryzyko nieuprawnionego ujawnienia naszych informacji. Ogólne rozporządzenie o ochronie danych (RODO, przyp. red.) stanowi podstawowe ramy ochrony prywatności, choć istnieją również inne istotne rozporządzenia w tym zakresie. Takim przykładem może być inicjatywa Europejskiej Komisji Gospodarczej, która wprowadziła rozporządzenie UNR155 dotyczące bezpieczeństwa oraz cyberbezpieczeństwa, podkreślając ścisły związek między tymi sektorami.  

Pomimo obowiązujących przepisów, przypadki niewłaściwego zarządzania danymi miały miejsce i nadal będą się nadal zdarzać. Obserwowaliśmy przypadki, w których producenci samochodów sprzedawali później te dane firmom ubezpieczeniowym i innym podmiotom. Obecnie, oprócz zgody na RODO, kierowcy muszą zazwyczaj wyrazić zgodę na sposób wykorzystywania ich danych przez producentów. Uważam jednak, że mechanizm zgody w branży motoryzacyjnej nadal ewoluuje i to nie zawsze w tak bezpieczny sposób, jak byśmy sobie wyobrażali. 

KB: Wygląda na to, że decydenci również dostrzegli istotny problem przekazywania danych producentom, a następnie ich niekontrolowanego dalszego udostępniania. W Europie wprowadzono rozporządzenie DORA, które wraz z wcześniej wspomnianymi już rozporządzeniami ONZ nr 155 i 156 dotyczącymi cyberbezpieczeństwa i aktualizacji oprogramowania, ma na celu rozwiązanie tych obaw. Zastanawiam się jednak, czy te przepisy są wystarczające, aby chronić nasze informacje w cyberświecie. 

Rachel Pekin, wiceprezes ds. marketingu, Argus Cyber Security: Przepisy bardzo poważnie podchodzą do polityki ochrony danych. Za ich nieprzestrzeganie czy też niewłaściwie obchodzenie się z danymi, na producentów samochodów mogą zostać nałożone znaczne kary finansowe, co może znacząco odbić się na ich marce.  

Y. Kaufman: Europa przoduje w rozwoju przepisów dotyczących motoryzacji. Od lipca 2022 roku każdy nowy samochód musi być zgodny z regulacjami dotyczącymi cyberbezpieczeństwa. Dodatkowo, od lipca 2024 roku wszystkie samochody będą musiały spełniać te standardy, co stanowi drugą fazę wdrażania tych przepisów.  

KB: Wszystkie samochody, nie tylko elektryczne?

Y. Kaufman: Tak, wszystkie nowe samochody bez wyjątku. Przepisy nie rozróżniają ich na spalinowe i elektryczne. Europa podjęła również godne pochwały działania w ramach RODO w celu wspierania i utrzymania prywatności danych. Nakazują one korzystanie z lokalnych usług w chmurze i zapobiegają przesyłaniu danych do innych regionów takich jak Chiny, zapewniając, że informacje pozostaną w Europie. 

KB: Czy to oznacza, że wszystko zostało już zrobione w kwestii wdrażania przepisów? Mam wrażenie, że jest jeszcze sporo do poprawienia. 

Obecnie wdrażane są liczne regulacje mające na celu zwiększenie prywatności. Wspomniana DORA stanowi kluczowy akt prawny dotyczący cyberbezpieczeństwa, a rozporządzenia ONZ nr 155 i 156, regulujące aktualizacje oprogramowania, weszły już w życie. Inne przepisy rozwijają się wolniej, ale ostatecznie zostaną włączone do ogólnej struktury regulacyjnej. Niemniej jednak, w tym zakresie wciąż pozostaje wiele do zrobienia. 

OK: To jak kierowcy mogą mieć pewność, że ich dane są bezpieczne? 

Rządy tworzą regulacje i infrastrukturę, ale kierowcy też mają obowiązek dbania o bezpieczeństwo. Dodając zabezpieczenia do swoich pojazdów, mogą zwiększyć poziom ochrony. Przepisy wspierają zarządzanie i ochronę danych, lecz użytkownicy mogą dodatkowo chronić się, korzystając choćby z aplikacji zabezpieczających przed zagrożeniami z zewnątrz. 

OK: O jakich rodzajach zagrożeń mowa?

Y. Kaufman: W branży motoryzacyjnej wyzwaniem jest to, że nowy samochód, który trafia na rynek, jest już wyposażony w technologię sprzed 2 do 5 lat, podczas gdy oczekuje się, że będzie funkcjonować przez około 10-15 lat. Wyobraźmy sobie, że technologia, która dzisiaj wydaje się nowoczesna, za 5 lat stanie się przestarzała, a za 15 lat będzie niemal archaiczna. Z biegiem czasu jej ochrona będzie coraz trudniejsza. Dziś hakerzy są motywowani różnymi celami ataków, od kradzieży informacji i pieniędzy, po powodowanie wypadków. Z perspektywy cyberbezpieczeństwa, pojazd elektryczny to skomplikowany system składający się z licznych komponentów i węzłów. Uzyskanie dostępu do takiego pojazdu może umożliwić atakującemu manipulację różnymi funkcjami samochodu, takimi jak hamowanie, kierowanie czy obraz z kamer. Co więcej, elektryki są szczególnie narażone na ataki ze względu na ich otwartą sieć poprzez port ładowania, który bezpośrednio łączy się z całą infrastrukturą pojazdu. W nowoczesnych samochodach znajduje się obecnie do 100 różnych komponentów obliczeniowych, z których każdy stanowi potencjalny cel ataku. Obejmują one systemy zarządzające dostępem do pojazdu oraz aplikacje wspierające różne funkcje samochodu, które są często wykorzystywane przez złodziei samochodów. 

KB: Dziś tradycyjne metody kradzieży samochodów, takie jak wybicie szyby czy użycie wytrycha, stają się coraz rzadsze.

Y. Kaufman: W nowoczesnych samochodach systemy wejściowe są szczególnie podatne na ataki. Rodzaj hakowania, czy to zdalnego, czy zbliżeniowego, ma znaczenie, a fizyczny dostęp do pojazdu znacznie ułatwia przeprowadzenie ataku. Coraz częściej spotykamy się z kradzieżami samochodów, w których złodzieje łączą się z magistralą CAN, wgrywając fałszywe sygnały i kradną pojazd bez potrzeby łamania czegokolwiek. Jeśli możliwe jest wprowadzenie takich sygnałów, można przeprowadzić wiele innych szkodliwych działań. 

KB: Wspomniał Pan o aplikacjach chroniących nasze dane. Czy to naprawdę jedyny sposób na zabezpieczenie naszych danych?

Y. Kaufman: Oczywiście, że nie. Przede wszystkim ważne jest świadome zarządzanie zgodą na wykorzystanie danych, np. przy podłączaniu telefonu do pojazdu lub konfigurowaniu profilu kierowcy. Ponadto, warto zadbać o bezpieczeństwo domowej instalacji ładowania. Jeśli nie jest odpowiednio zabezpieczona, może stanowić potencjalny wektor ataku na pojazd przez sieć domową. Dlatego użytkownicy pojazdów elektrycznych powinni upewnić się, że ich domowa sieć IoT jest dobrze chroniona. Istotny jest też wybór renomowanego producenta, który priorytetowo traktuje cyberbezpieczeństwo. Sprawdzenie czy producent wdrożył odpowiednie środki ochrony, może znacząco zwiększyć bezpieczeństwo pojazdu elektrycznego i naszą prywatność.  

OK: Jak możemy ocenić zużycie energii elektrycznej przez pojazdy elektryczne w Europie? Czy jesteśmy w stanie zmierzyć, ile energii pochłaniają i jak dużą część tej energii stanowią źródła odnawialne?

Y. Kaufman: To skomplikowany temat, gdyż ocena wpływu pojazdów elektrycznych na środowisko wymaga uwzględnienia wielu czynników. Teraz możemy jedynie weryfikować, czy informacje podawane przez producentów są rzetelne. Niestety, kwestie związane z cyberbezpieczeństwem nie mogą wpłynąć na dokładność tych pomiarów, a rzeczywiste wyniki często nie są przez nas samodzielnie monitorowane. 

OK: Czy programy bug bounty są skuteczne w branży motoryzacyjnej? 

Y. Kaufman: Tak, są bardzo skuteczne. 

OK: To bardzo dobra informacja dla naszego bezpieczeństwa. Czy możemy zatem uznać, że cyberbezpieczeństwo stało się priorytetem w branży motoryzacyjnej? 

Y. Kaufman: Tak, jest zdecydowanym priorytetem. Z najnowszej ankiety wynika, że obecnie stanowi ono główne wyzwanie przy projektowaniu nowych pojazdów, podczas gdy w ubiegłym roku znajdowało się na dziewiątej pozycji. Branża motoryzacyjna przechodzi rewolucję ze względu na przejście w kierunku pojazdów definiowanych programowo, a firmy starają się również ograniczyć wydatki.