Samochody autonomiczne to temat, który w ostatnim czasie przyciąga uwagę na całym świecie. Jednak nim w pełnym wymiarze zaczniemy korzystać z nowych technologii, eksperci z dziedziny cyberbezpieczeństwa – wskazując na zagrożenia związane z potencjalnym wykorzystaniem samochodów autonomicznych do celów przestępczych – sugerują zwiększenie troski o ich cyfrowe bezpieczeństwo. U progu ery autonomicznych pojazdów firmy z branży motoryzacyjnej powinny podjąć działania minimalizujące ryzyko ataków hakerów – informuje Aleksander Kostuch, ekspert bezpieczeństwa Stormshield, europejskiego wytwórcy rozwiązań z obszaru bezpieczeństwa IT.
Jak wskazuje stosowane obecnie rozwiązania nie są wystarczające.
Wraz z rozwojem technologii, samochody stają się coraz bardziej zautomatyzowane i inteligentne. Już obecnie implementacja systemów cyfrowych przynosi wiele korzyści. Kolejnym etapem w rozwoju motoryzacji jest autonomiczność, która zmieni oblicze transportu i sposobów w jakich podróżujemy.
Firmy takie jak Google, Tesla, Waymo czy Uber coraz śmielej testują samojezdne pojazdy na drogach publicznych. Wkład w rozwój technologii mają również polskie firmy, na przykład start-up Blees z Gliwic, która buduje autonomiczny autobus. Wraz z testami pojawiają się prognozy dotyczące tego segmentu rynku motoryzacyjnego. Według International Data Corporation do 2040 roku liczba autonomicznych pojazdów przekroczy 30 milionów i będą one spotykanie nie tylko w Kalifornii – będącej kolebką autonomicznej jazdy – lecz na całym świecie.
Podłączenie pojazdów do sieci otwiera pole do działania dla cyberprzestępców. Pierwsze przypadki ataków hakerskich na systemy samochodowe miały miejsce już kilka lat temu. W 2015 roku, dwóch hakerów w ramach eksperymentu w łatwy sposób przejęło kontrolę nad Jeepem Cherokee, wykorzystując exploit w oprogramowaniu. W wyniku ataku, hakerzy mieli kontrolę nad systemami klimatyzacji, hamulcami, pedałem gazu oraz radiem. Ten incydent stał się punktem zwrotnym w kwestii bezpieczeństwa samochodów i spowodował wzrost świadomości potencjalnych zagrożeń związanych z pojazdami autonomicznymi.
W połowie maja 2023 Toyota poinformowała o incydencie. Od 6 Listopada 2013 do 17 kwietnia 2023 roku był dostępny zasób chmurowy niewymagający autoryzacji żadnym hasłem, który zawierał ID samochodu, lokalizację auta oraz czas, w którym został wykonany pomiar. Dodatkowo zawierał on nagrania z zewnętrznych kamer samochodów (od listopada 2016 roku do kwietnia 2023 roku). Mogło to dotyczyć aż 2 mln samochodów, którzy subskrybowali usługi: T-Connect/G-Link/G-Link Lite/G-BOOK.
Ważne, aby mieć świadomość, że nie mówimy tu o zagrożeniu dla funkcjonowania firmy czy linii produkcyjnych fabryki. Wobec tych przypadków kluczową kwestią staje się zabezpieczenie przed cyberprzestępstwami pojazdu będącego w rękach użytkownika, z myślą o jego bezpieczeństwie – podkreśla Aleksander Kostuch, inżynier Stormshield.
Obecna sytuacja geopolityczna na świecie pokazuje potencjał możliwości nowych, autonomicznych technologii. W konflikcie w Ukrainie drony są stałym elementem pola walki zbrojnej. Z kolei w mediach pojawiają się fake newsy tworzone w oparciu o sztuczną inteligencję i deep fake, które nie rzadko nie sposób prawidłowo ocenić. Samojezdne pojazdy mogą oferować ogromne możliwości na polu walki i poza nim. Nietrudno sobie wyobrazić auto przewożące ładunki wybuchowe lub inne niebezpieczne materiały do miejsca przeznaczenia. Cyberprzestępcy mogą również wykorzystać samochody do przemytu narkotyków lub broni, a nawet przeprowadzać ataki na ludzi lub obiekty Wreszcie przejęty przez hakerów samochód może stać się narzędziem do szpiegowania i monitorowania.
Właśnie dlatego tak ważne jest, aby branże wykorzystujące autonomiczne technologie, w tym przemysł motoryzacyjny, miały świadomość konieczności większej niż dotychczas dbałości o bezpieczeństwo cybernetyczne. Nadchodząca era pojazdów autonomicznych wymaga szczególnej uwagi w tym zakresie. W sytuacji, gdy samochody mogą być zdalnie kontrolowane, cyberprzestępcy mogą chcieć wykorzystać je do własnych celów – komentuje ekspert Stormshield.
Zapewnienie bezpieczeństwa w branży motoryzacyjnej zawsze było jednym z najważniejszych aspektów. Jednak wraz z upowszechnianiem pojazdów autonomicznych, pojawia się wiele nowych wyzwań. Hakerzy, którzy potencjalnie przejmą kontrolę nad systemami pojazdów, mogą nie tylko zagrażać zdrowiu i życiu pasażerów, ale także stanowić zagrożenie dla ruchu drogowego. Dlatego konieczne jest opracowanie nowych polityk, które pozwolą na stworzenie bardziej bezpiecznej przestrzeni w branży motoryzacyjnej.
Aby osiągnąć ten cel niezbędne są nowe regulacje oraz wdrażanie ulepszonych środków bezpieczeństwa przez producentów samochodów. Regulacje prawne powinny określać jasno określone odpowiedzialności producentów za cyberbezpieczeństwo pojazdów autonomicznych, a także za zabezpieczenia systemów oraz zapewnienie aktualizacji i łatek oprogramowania w przypadku wykrycia zagrożeń.
Wymaga to współpracy między producentami samochodów, dostawcami oprogramowania oraz organami regulacyjnymi. Konieczne jest ustanowienie standardów bezpieczeństwa, audytów i testów, które będą obowiązywać dla wszystkich producentów samochodów. Bezpieczeństwo powinno być wprowadzane już na etapie projektowania i produkcji samochodów, a nie tylko w formie reakcji na istniejące zagrożenia. Wprowadzenie zabezpieczeń nie tylko fizycznych i technologicznych, lecz również takich jak systemy wykrywania i ochrony przed atakami, aktualizacje zdalnego oprogramowania, separacja systemów wewnątrz pojazdu, powinno być integralną częścią procesu tworzenia samochodów – podkreśla Aleksander Kostuch, ekspert Stormshield.
Wskazuje przy tym trzy kluczowe obszary, które powinny być w takim planowaniu uwzględnione:
Aby uniknąć zagrożeń, producenci samochodów i organy rządowe muszą wyprzedzać rozwój technologii, tworząc nowe rozwiązania zabezpieczające i opracowując regulacje prawne. Te regulacje powinny obejmować wymogi procedur audytów i testów, które muszą być przeprowadzane na etapie projektowania, produkcji i użytkowania pojazdów pod kątem zagrożeń cybernetycznych w celu minimalizacji ryzyka cyberataków.
Tylko w ten sposób będziemy mogli zminimalizować ryzyko, jakie niosą ze sobą nowe technologie. Najwyższy czas, aby spojrzeć na te kwestie z większą uwagą i zabezpieczyć się na przyszłość, która nadchodzi wielkimi krokami – mówi Aleksander Kostuch.
Funkcjonujący obecnie Audyt IATF 16949 (będący międzynarodowym standardem jakości stosowanym w branży motoryzacyjnej) uwzględnia elementy związane z cyberbezpieczeństwem, choć nie jest to główny obszar dokonywanej oceny. Audyt obejmuje sekcję, w której znajdują się wymagania dotyczące systemów informacji, w tym cyberbezpieczeństwa.
Edukacja i świadomość cyberbezpieczeństwa powinny być promowane zarówno wśród konsumentów, jak i pracowników branży motoryzacyjnej. Kierowcy powinni być uświadamiani co do zagrożeń, dostosowania się do procedur związanych z odpowiednimi praktykami bezpieczeństwa. Z kolei pracownicy motoryzacyjni powinni być odpowiednio przeszkoleni w zakresie identyfikacji i zarządzania ryzykiem cybernetycznym. Moim zdaniem sensowne byłoby utworzenie wspólnych platform i mechanizmów wymiany informacji na temat zagrożeń i incydentów cyberbezpieczeństwa w branży motoryzacyjnej – podsumowuje ekspert Stormshield, europejskiego wytwórcy rozwiązań z obszaru bezpieczeństwa IT.
Źródło: Stormshield