Kodėl automobiliai tampa nauju taikiniu?
Šiuolaikinis transportas yra gyvybiškai svarbi mūsų kasdienio gyvenimo dalis. Automobiliai nuveža mus į darbą, mokyklą, laisvalaikio pramogas. Daugelyje šalių jie tapo pagrindine susisiekimo priemone, keičiančia miestų veidą bei mūsų įpročius. Automobilio turėjimas dažnai ne tik patogumas, bet ir būtinybė.
Per pastaruosius kelis dešimtmečius automobiliai stipriai pasikeitė – iš mechaninių mašinų virto į įrenginius, kuriuos valdo elektronika. Šiandien kiekviename automobilyje, pagamintame per pastaruosius 10–15 metų, yra kompiuteris, o vidutiniškai vienas automobilis turi apie 1000 lustų.
Tai sukūrė patogesnę, išmanesnę vairavimo patirtį, bet kartu atvėrė duris kibernetiniams nusikaltėliams. Automobilių vagystės visada buvo dažnas reiškinys, o dabar dėl automobilių įsilaužimų rizika dar didesnė.
Nauji grėsmės šaltiniai: ką taikosi kibernetiniai nusikaltėliai?
„Bluetooth“, išmanūs raktai ir nuotolinis valdymas
Automobiliuose diegiami „Bluetooth“, Wi-Fi moduliai, išmanūs raktai, kodiniai užraktai. Visa tai – patogūs sprendimai, bet ir puikūs įrankiai hakeriams. Naujausių tyrimų metu įsilaužėliai pademonstravo, kaip per paprastą „Bluetooth“ ryšį galima gauti prieigą prie „Tesla Model 3“ vidaus kodų. Jei tai įmanoma su tokiu technologijų milžinu, kyla klausimas: kiek saugūs likusieji automobiliai?
Dar viena grėsmė – įkrovimo stotelės, ypač elektromobiliams. Per jas galima į automobilius įrašyti kenkėjišką kodą. Išmanieji raktai (fobai) taip pat tampa įsilaužimo taikiniu – hakeriai atkartoja jų siunčiamus radijo signalus, taip atrakindami ir užvesdami transporto priemonę.
Nauji ES reglamentai: ką privalo žinoti gamintojai?
UN R155 – apie saugumo valdymo sistemas
Šis reglamentas įsigaliojo 2021 m. Jis įpareigoja automobilių gamintojus sukurti kibernetinio saugumo valdymo sistemą (CSMS). Tai reiškia: identifikuoti, įvertinti ir valdyti visas kibernetines grėsmes per visą automobilio gyvavimo ciklą – nuo projektavimo iki eksploatacijos.
UN R156 – apie saugius programinės įrangos atnaujinimus
Kadangi automobiliuose vis daugiau funkcijų priklauso nuo programinės įrangos, šis reglamentas reikalauja turėti patikimą programinės įrangos atnaujinimo valdymo sistemą (SUMS). Gamintojai turi užtikrinti, kad programos būtų atnaujinamos saugiai, kad nebūtų galimybių neteisėtai kištis į jų kodą.
Kada šios taisyklės įsigalioja?
- Nuo 2022 m. liepos mėn. – visiškai naujiems automobilių modeliams, siekiantiems tipo patvirtinimo.
- Nuo 2024 m. liepos mėn. – visiems automobiliams, įskaitant jau gaminamus modelius.
Tai reiškia, kad po 2024 metų be šių standartų tipo patvirtinimo negaus nė vienas automobilis, norintis būti parduodamas ES rinkoje.
Kaip tai paveiks automobilių gamintojus?
Daugelis gamintojų jau investavo į saugumo ekspertus, įrankius bei naujas gamybos praktikas. Europoje ryškėja tendencija – „saugumas pagal projektą“ (security by design). Automobiliai turi būti saugūs dar jų kūrimo stadijoje.
Kai kurie gamintojai nusprendė išvis nutraukti kai kurių modelių gamybą, nes pritaikyti naujus standartus būtų per brangu. Net 2025 metų automobiliai jau brangs dėl papildomų investicijų į kibernetinę saugą.
Kodėl tai ilgainiui naudinga?
Nors iš pradžių reikia investicijų, ilgainiui tai leis gamintojams kurti patikimesnius automobilius, išvengti brangių atšaukimų bei apsaugoti savo reputaciją. Be to, klientai vis labiau rūpinasi duomenų ir savo saugumu – todėl kibernetinis saugumas tampa nauju kokybės ženklu.
Papildomi pavojai ir kas mūsų dar laukia
Kas dar gresia?
- Nuotolinis vairo valdymas („steer-by-wire“) be mechaninio ryšio, valdomas tik kompiuteriu, gali tapti lengvu grobiu programišiams.
- Prenumeratos funkcijos (pvz., šildomos sėdynės) reikalauja nuolatinio ryšio su gamintojo serveriais. Tai dar vienas potencialus „įėjimo taškas“ hakeriams.
- Saugumo spragos įkrovimo infrastruktūroje gali būti išnaudotos įsilaužti į elektromobilių sistemas.
Ką daro patys vairuotojai?
Kol kas nėra „automobilių antivirusų“, todėl vairuotojai gali saugotis taip pat, kaip saugo savo telefonus ar kompiuterius:
- Visada įsidiek naujausius gamintojo siūlomus atnaujinimus.
- Įkrauk elektromobilį tik žinomose, patikimose įkrovimo stotelėse.
- Neleisk atsitiktiniams specialistams „perrašinėti“ automobilio valdymo programų.
Žvilgsnis į ateitį: kibernetinis saugumas taps automobilių standartu
Nauji ES reglamentai R155 ir R156 yra tik pradžia. Tikėtina, kad netolimoje ateityje daug šalių priims panašius teisės aktus, o tai reiškia, jog automobilių kibernetinis saugumas taps universaliu standartu visame pasaulyje.
Gamintojams tai – proga jau dabar pasiruošti ir užsitikrinti konkurencinį pranašumą. O vairuotojams – galimybė rinktis automobilius, kurie pasirūpins jų saugumu ne tik avarijos atveju, bet ir apsaugos nuo virtualių pavojų.
Realių kibernetinių atakų prieš automobilius pavyzdžiai
Kaip įsilaužėliai jau išnaudojo automobilių silpnybes?
- Jeep Cherokee (2015 m.) atvejis: turbūt garsiausias eksperimentas, kai saugumo ekspertai Charlie Miller ir Chris Valasek pademonstravo, kaip per internetą gali visiškai perimti automobilio valdymą – įskaitant vairo ir stabdžių kontrolę. Jie pasinaudojo „Uconnect“ multimedijos sistemos spraga. Šis tyrimas privertė „Fiat Chrysler“ atšaukti net 1,4 mln. automobilių ir diegti saugumo atnaujinimus.
- Tesla atvejai: net kelis kartus etiniai hakeriai įrodė, kad galima įsilaužti į „Tesla“ sistemas. 2020 m. Kinijos tyrėjai iš „Keen Labs“ parodė, kaip galima nuotoliniu būdu atrakinti automobilio dureles, mirksėti šviesomis, stabdyti ar net valdyti vairo pasukimą.
- BMW, Mercedes-Benz, Audi: įvairių komandų tyrimai atskleidė pažeidžiamumus jų infotainment sistemose, kurios buvo prijungtos prie CAN tinklo (automobilio vidaus kompiuterinio tinklo), suteikdamos prieigą prie svarbiausių funkcijų.
Kas laukia ateityje? Naujos kryptys ir pavojai
1. Automatiniai „over-the-air“ atnaujinimai
Vis daugiau automobilių gamintojų diegia programinės įrangos atnaujinimus nuotoliniu būdu. Tai patogu – nereikia vykti į servisą. Tačiau tai reiškia, kad automobiliui reikia nuolatinės duomenų prieigos, o įsilaužėliams – dar viena galimybė įvesti kenksmingą kodą.
2. Auganti elektromobilių dalis
Kuo daugiau elektromobilių – tuo daugiau rizikų dėl įkrovimo infrastruktūros saugumo. Kai kurie tyrimai jau parodė, kaip „nulaužtos“ viešos įkrovimo stotelės gali platinti kenkėjišką kodą.
3. Automatinio vairavimo sistemos
Lygiams 3–4 automatinio vairavimo sprendimai (kai automobilis dalį laiko važiuoja visiškai be žmogaus įsikišimo) atveria naujas grėsmes. Juk čia jau nebėra vien infotainment – užvaldžius tokį automobilį, galima kelti realią pavojų eismo dalyviams.
Paprasti patarimai vairuotojams, kaip būti saugesniems
- Nenaudok nežinomų servisų, kurie „programuoja raktus“, „išjungia imobilizatorių“ ir pan. – jie gali netyčia (ar tyčia) palikti užpakalines duris tavo automobilio sistemose.
- Atidžiai skaityk gamintojo rekomendacijas apie atnaujinimus. Niekada neatidėliok programinės įrangos atnaujinimų – jie dažnai ištaiso rastas saugumo spragas.
- Venk atidaryti neaiškių el. laiškų ar SMS su nuorodomis į „automobilių valdymo programėles“ – tai gali būti phishing atakos.
- Perkant naują automobilį, klausk salone apie kibernetinį saugumą: ar gamintojas įgyvendina R155 / R156, kokios priemonės naudojamos, ar yra garantuota OTA (over-the-air) atnaujinimų apsauga.
- Jei automobilis pradeda elgtis keistai (atsidaro langai, įsijungia šviesos, mirksi ekranas) be priežasties, nedelsiant kreipkis į oficialų servisą.
Kodėl tai svarbu ne tik didiesiems miestams?
Neretai manoma, kad kibernetinio saugumo klausimai aktualūs tik didmiesčiams, kur daugiau elektromobilių ir įkrovimo stotelių. Tačiau viskas greitai keičiasi: Lietuvoje elektromobilių parkas jau artėja prie 20 tūkst., daugėja ir modernių „connected car“ sprendimų net paprastuose automobiliuose su degimo varikliais.
Taigi, nauji ES reikalavimai (R155 ir R156) palies ne tik Vokietiją ar Prancūziją – tai bus standartas visoje Europoje. Todėl gamintojai bus priversti investuoti į saugumo architektūrą, o vairuotojai – labiau domėtis, kokias saugos technologijas iš tikrųjų turi jų automobiliai.
Galutinis akcentas: tai ne panika, o sąmoningumas
Nors atrodo baugu, svarbu suprasti, kad:
- didžioji dalis tokių įsilaužimų yra laboratoriniai eksperimentai;
- dauguma gamintojų dabar investuoja milijardus į naujus saugumo protokolus;
- pats svarbiausias žingsnis – būti informuotam, atnaujinti automobilio programinę įrangą ir netaupyti saugumo sąskaita.