AutoMoto 5 kwietnia 2020
Przemysł motoryzacyjny stanął przed zupełnie nieznanym zagrożeniem. Nie tylko prywatne samochody, ale również rządowe stały się celem ataków cyberterrorystycznych. Implementowane systemy bezpieczeństwa nie zapewniają odpowiedniej ochrony, o ile w ogóle producent takowe przewidział.
W 2018 roku dwóch hakerów: Charlie Miller i Chris Valasek włamało się do prywatnego samochodu należącego do dziennikarza Wired, Andy’ego Greenberga. Włamanie odbywało się w warunkach kontrolowanych przez właściciela, jednak specjaliści udowodnili, iż można przejąć pełną kontrolę nad autem. Eksperyment został zakończony w momencie, kiedy za pomocą pada od konsoli do gier hakerzy sterowali samochodem dziennikarza. W tym przypadku był to Jeep Cherokee, który mimo zaawansowania technologicznego, pozostaje dość archaiczny w porównaniu do systemów wykorzystywanych w nowych samochodach, zwłaszcza klasy premium.
Sami zapraszamy do ataku
Systemy bezpieczeństwa w samochodach postrzegane były dotychczas przez pryzmat systemów wspomagających hamowanie czy układu kontroli jazdy, strefy kontrolowanego zgniotu, dużej liczby poduszek powietrznych czy kurtyn. Tymczasem postęp technologiczny sprawił, że przemysł motoryzacyjny – zwłaszcza samochody klasy wyższej i premium, której użytkownikami są VIPy – działa w oparciu o cyfrowe systemy, m.in. wspomagania układu hamulcowego, układu kierowniczego itp.
W ocenie analityków KPMG tylko w samochodach klasy premium stosuje się 150 milionów różnego rodzaju linijek kodów oprogramowania cyfrowego – o 12 razy więcej niż w przypadku konstrukcji samolotu bojowego F-35 czy pasażerskiego Boeinga 787. Tak skomplikowana konstrukcja cyfrowa generuje wiele luk, które są wykorzystywane do ataku.
Produkowane dzisiaj samochody opierają swoje systemy o powszechnie dostępne oprogramowanie znane z telefonów, jak np. Android, który sam w sobie stanowi łatwy cel. Nieświadomym pomocnikiem hakera jest sam użytkownik samochodu, który parując telefon z pojazdem, otwiera kolejne furtki dla włamywaczy.
– Nasze społeczeństwo jest nieświadome wielu występujących zagrożeń. Trudno zrozumieć, że tak dużo osób nie dba o zachowanie swojej prywatności. Tymczasem hakerzy, którzy infekują np. urządzenia mobilne do wykradania danych osobowych (haseł, pieniędzy, danych z telefonów), będą ulepszać złośliwe oprogramowanie. Aplikacje zabezpieczające urządzenia są tylko jednym z elementów układanki prawidłowo funkcjonujących zasad i reguł bezpieczeństwa. To człowiek powinien być tarczą ochronną danych własnych i firmowych. Jeśli zawiedzie najsłabsza linia obrony, czyli kierowca, zawiedzie cały system. Dostawcy oprogramowania antywirusowego mają więc ciężki orzech do zgryzienia – podkreśla Wojciech Głażewski z Check Point Polska. – Zewnętrzna łączność jest również odzwierciedlona w systemach sterowania samochodami. Nawet podstawowe pojazdy używają teraz wielu elektronicznych jednostek sterujących, zawierających miliony linii kodu, kontrolujących wszystkie aspekty samochodu, od zarządzania silnikiem po układy hamulcowe, kierownicze i rozrywki. Jednak – mimo przyspieszonego rozwoju technologicznego – bezpieczeństwo pozostało w tyle – dodaje.
Systemy bezpieczeństwa? Nie znam tematu
Producenci stosują złożone systemy bezpieczeństwa i przeciwkradzieżowe. O ile nadążają w swoistym wyścigu zbrojeń, zmniejszając emisję spalin, zwiększając moc, zmniejszając spalanie – przegrywają z kretesem w zakresie bezpieczeństwa sieciowego. Producenci zaś stosują podstawowe oprogramowanie, które dla osób chcących dokonać ataku są co najwyżej mierną przeszkodą. Wysłaliśmy pytania do producentów aut pytania o to, jakie systemy stosują i jaki jest ich stopień zaawansowania – pytania pozostały bez odpowiedzi.
Tymczasem globalni liderzy zajmujący się bezpieczeństwem sieciowym zwracają uwagę na istotę narastającego problemu. – Samochody są coraz bardziej powiązane ze światem zewnętrznym. Funkcje, które kiedyś były dostępne tylko w luksusowych markach premium, są teraz udostępniane we wszystkich modelach producentów, w podstawowych samochodach miejskich. Funkcje te obejmują łączność Bluetooth do parowania telefonów komórkowych, nawigację GPS, hotspoty Wi-Fi, systemy unikania kolizji, zdalną diagnostykę i wiele innych. Dzięki tym możliwościom samochody szybko stają się sieciami danych na kołach – zaznacza przedstawiciel Check Point Software Technologies, Wojciech Głażewski.
Gdy łączność w pojazdach stale się rozwija, a nowe technologie stają się dostępne, musimy zająć się zagrożeniami w zakresie cyberbezpieczeństwa. Skuteczne zabezpieczenie samochodu przed atakami hakerów nie jest jedynie opcją. Jest gwarantem ochrony kierowców, innych użytkowników pojazdów i pieszych.
VIP pod kontrolą
Limuzyny, którymi poruszają się członkowie rządu czy VIP, mają cały szereg zabezpieczeń, głównie przed fizycznym atakiem. Kuloodporne szyby, wzmocnione podwozie, cała gama rozwiązań mających zapewnić bezpieczeństwo osób wewnątrz auta. – Niektóre instytucje zgodnie z ustawą mogą wykorzystywać „urządzenia uniemożliwiające telekomunikację na określonym obszarze”. Odnośnie do systemów bezpieczeństwa montowanych w samochodach fabrycznie, to zgodnie ze specyfikacją zamówienia takowe są montowane w dedykowanych pojazdach. Natomiast największym zagrożeniem dla systemu bezpieczeństwa jest „nieświadomy użytkownik” – podkreśla generał Andrzej Pawlikowski, szef Biura Ochrony Rządu (obecnie SOP). – Zagrożenia spowodowane podłączeniem urządzenia mobilnego do systemu multimedialnego stanowią poważne zagrożenie, biorąc pod uwagę fakt, iż w dzisiejszych czasach jest coraz większe zaufanie do urządzeń mobilnych, przez co więcej danych jest na nich gromadzonych. Dlatego przede wszystkim trzeba zwracać uwagę na prewencję, profilaktykę i świadomość użytkowników – podsumowuje generał.
Samochody stały się łatwym łupem z dwóch, jak się okazuje, błahych powodów. Przede wszystkim z powodu braku zrozumienia problemu przez samych producentów, którzy – owszem – skupiają się na bezpieczeństwie użytkowników auta i minimalizują utratę zdrowia i życia poprzez cały szereg rozwiązań technicznych. Pozostawiają jednak przestrzeń, która może być wykorzystana do tragicznych w skutkach celów.
Kolejnym ogniwem, o którym wspomina były szef Biura Ochrony Rządu, są sami użytkownicy, którzy za pośrednictwem smartfona dają pełny dostęp do kierowanych przez siebie pojazdów. Nieświadomie udostępniają nie tylko system multimedialny czy ogrom danych zgromadzonych w samym urządzeniu, ale przede wszystkim układ kierowniczy czy hamulcowy. A to w ruchu drogowym może doprowadzić do niewyobrażalnej w skutkach katastrofy. W przypadku ataku cyfrowego na samochody rządowe, dotychczas stosowane zabezpieczenia na niewiele się zdają. Udowodnili to wspomniani hakerzy, którzy przejęli pełną kontrolę nad autem, a do sterowania wykorzystali pada od konsoli.
Specjaliści jednogłośnie podkreślają, że wiele zależy od nas samych, a błędy producentów możemy niwelować poprzez świadomość tych zagrożeń. – Nadal stoję na stanowisku, iż instytucje państwowe oraz podmioty prywatne powinny mieć w swoich strukturach osoby / specjalistów odpowiadających za bezpieczeństwo, tj. inspektora ochrony danych osobowych, inspektora BTI, audytora czy osobę odpowiedzialną za cyberbezpieczeństwo – mówi generał Andrzej Pawlikowski.
Problemem jest również fakt, że władze firm motoryzacyjnych doskonale znają temat. Jednak z uwagi na brak odpowiednich przepisów międzynarodowych, temat jest bagatelizowany. Jednostki unijne i ONZ planują wprowadzić w nadchodzących latach przepisy, które mają zobowiązać producentów do implementacji cyfrowych systemów bezpieczeństwa. Póki co samochody, zwłaszcza te najbardziej zaawansowane technologicznie, stoją otworem do ataku.