Automobiliai renka apie mus viską – ką tai reiškia tau?
Šiandien automobiliai tampa ne tik transporto priemone, bet ir duomenų kaupimo fabriku. Tai nauja valiuta automobilių pramonėje – jau seniai mokame ne vien tik pinigais. Kiekvienas tavo važiavimas, sustojimas ar net tai, ką klausai, yra renkami duomenys. Gamintojai tvirtina, kad tai padeda kurti saugesnius ir išmanesnius automobilius, bet ar tavo duomenys tikrai saugūs?
Kokius duomenis apie tave kaupia automobilis?
Stebima tiesiog viskas
Kaip teigia „GuardKnox“ generalinis direktorius Moshe Shlisel, automobilių technologijų saugumo srityje dirbantis su „Porsche“ ir „Daimler“, „stebima viskas“.
- Navigacija visada seka tavo maršrutus
- Elektriniai automobiliai registruoja kiekvieną įkrovimą ir net mokėjimo sandorius
- Renka tavo vidutinį greitį, mėgstamas muzikos stotis ir įprastus maršrutus
Ir tai tik pradžia. Artėjant autonominių automobilių amžiui, šių duomenų vertė dar labiau auga – jie būtini mokant dirbtinį intelektą „vairuoti“.
O ką mato automobilio „jutikliai“?
Modernūs automobiliai pasaulį mato per kameras, radarus, sonarus ir lidarus. Jie fiksuoja:
- eismo sąlygas aplink
- slėgio jutikliai sėdynėse seka keleivių skaičių
- infraraudonieji davikliai stebi, ar vairuotojas žiūri į kelią
- padangų ir pakabos davikliai vertina kelio dangą
Visa tai sukuria milžinišką kiekį duomenų – apie 25 GB per valandą, daugiau nei reikia „Blu-ray“ 4K filmui!
Kaip visa ši informacija apsaugoma automobilyje?
Vidinis duomenų tinklas reikalauja didelio saugumo
Naujos kartos automobilių tinkluose naudojami tokie protokolai kaip MACsec (IEEE 802.1AE), kurie saugo nuo:
- „per vidurį“ atakų, kai trečiosios šalys bando įterpti melagingus duomenis
- neteisėto duomenų modifikavimo ar sekimo
Tai reiškia, kad net jei kas nors bandytų įterpti klaidingus GPS ar radarų signalus, MACsec tai sustabdytų.
Kodėl tai svarbu?
Įsivaizduok, kas nutiktų, jei kenkėjiška programa pakreiptų tavo automobilio GPS duomenis ar „nematytų“ artėjančios kliūties. Dėl skaitmeninio parašo ir šifravimo technologijų galima užtikrinti, kad duomenys liktų autentiški ir patektų tik ten, kur reikia.
Kaip saugomi duomenys siunčiami per internetą?
Automobiliai turi savo „interneto modemą“
Daugiau nei 91 % naujų automobilių turi integruotus 4G LTE ar 5G modemus. Tai reiškia, kad jie gali tiesiogiai prisijungti prie interneto ir siųsti arba gauti duomenis.
Šią komunikaciją valdo telematikos valdymo blokas (TCU), kuris užšifruoja ir iššifruoja duomenis naudojant panašias technologijas kaip tavo banko operacijos internete. Tad jei kas nors bandytų „paklausyti“ šio srauto, matytų tik beprasmes skaitmenis.
Kaip duomenys saugomi automobilių gamintojų serveriuose?
„Trijų taisyklė“: konfidencialumas, vientisumas ir prieinamumas
Kai duomenys patenka į automobilių gamintojų serverius, jie yra saugomi remiantis trimis kibernetinio saugumo principais:
- Konfidencialumas – prieiga tik tiems, kam būtina. Pvz., lizingo skyrius neturės prieigos prie tavo GPS istorijos.
- Vientisumas – užtikrinama, kad niekas neteisėtai nepakeistų duomenų.
- Prieinamumas – tie, kam reikia duomenų (pvz., servisas), juos turi gauti laiku.
Ar „anonimizacija“ iš tikrųjų veikia?
Gamintojai mėgsta sakyti, kad viskas „anonimizuota“. Tai reiškia, kad duomenys susieti su unikaliu ID, bet ne su tavo vardu. Deja, realybėje neretai įmanoma nustatyti konkretų žmogų.
Ką dėl to daro Europa? GDPR ir nauji kibernetinio saugumo įstatymai
GDPR keičia žaidimo taisykles
Nuo 2018 metų Europos Sąjungoje galioja Bendrasis duomenų apsaugos reglamentas (GDPR). Tai reiškia:
- įmonės privalo aiškiai pasakyti, kokius duomenis renka ir ką su jais daro
- vartotojai gali prašyti ištrinti jų duomenis
- už pažeidimus gresia milijoninės baudos
Todėl kiekvieną kartą, kai Europoje atidarai svetainę ir tau rodo „priimti slapukus“, tai būtent dėl GDPR. Automobilių gamintojai taip pat turi laikytis šių reikalavimų.
Tačiau JAV tokios griežtos tvarkos dar nėra. Tai reiškia, kad tavo duomenys, jei laikomi JAV serveriuose, teoriškai gali būti saugomi be galiojimo pabaigos.
O kaip dėl konkrečių automobilių kibernetinio saugumo standartų?
UN R155 – „kibernetinis crash testas“ tavo automobiliui
Jau nuo 2024 metų liepos įsigalioja Jungtinių Tautų reglamentas UN R155, pagal kurį visi nauji automobiliai turės įrodyti, kad atitinka tam tikrus kibernetinio saugumo standartus.
Gamintojai privalės:
- įdiegti kibernetinio saugumo valdymo sistemą (CSMS)
- pasiruošti auditams, kuriuos atliks valstybinės institucijos
- dokumentuoti, kaip apsaugoti nuo įsilaužimų, manipuliacijų ar duomenų vagysčių
Kaip sako Moshe Shlisel iš „GuardKnox“, tai „taps tuo pačiu, kuo šiandien yra crash testai saugumo pagalvėms.“
Ar tavo automobilis saugus jau dabar?
Gamintojai nelabai mėgsta viešai kalbėti apie tai, kaip saugo tavo duomenis. „General Motors“ pavyzdžiui, atsakė labai diplomatiškai:
„Klientų saugumas ir privatumas mums yra prioritetas. Investuojame į kibernetinio saugumo komandas, įrankius ir partnerystes.“
O „Mobileye“, kurie tiekė pirmąją „Tesla Autopilot“ versiją, tik lakoniškai patvirtino:
„Renkame tik minimalią, anonimizuotą informaciją apie kelius ir eismą, atitinkančią GDPR.“
Tai rodo, kad didžioji dalis automobilių pramonės dar tik mokosi viešai komunikuoti apie tavo duomenų saugumą.
Ką tai reiškia tau – kaip vairuotojui?
Kodėl turėtum rūpintis?
Tavo automobilis kasdien kaupia daugiau duomenų nei tavo telefonas: apie tai, kur važiuoji, kaip dažnai stoji, kiek greitai įsibėgėji. Jei šie duomenys pakliūtų į netinkamas rankas:
- galėtų būti sudarytas tavo gyvenimo žemėlapis
- kibernetiniai nusikaltėliai galėtų taikytis į tavo finansinius sandorius, pvz., per įkrovimo stoteles
- net teoriškai įmanoma valdyti kai kurias automobilio funkcijas iš išorės (pvz., atidaryti duris ar stabdžius)
Todėl automobilių saugumas – tai jau ne tik airbag‘ai ar ABS. Tai ir klausimas: ar tavo automobilis „hackinamas“?
Kaip gali apsisaugoti pats?
Praktiniai patarimai
- Diegk programinės įrangos atnaujinimus. Gamintojai nuolat lopina spragas, todėl atnaujinimai yra tavo pirmas gynybos sluoksnis.
- Nejunk automobilio prie nežinomų tinklų. Viešose įkrovimo stotelėse būk atsargus dėl „USB charging attacks“.
- Domėkis gamintojo politika. Klausk atstovų, kaip jie saugo tavo duomenis ir ar laikosi tarptautinių standartų.
Žvilgsnis į ateitį: kaip tai keis mūsų vairavimą?
Iki 2030 m. miestuose bus dar daugiau susietų automobilių ir „išmaniojo eismo“ sprendimų. Tai reiškia:
- tavo automobilis bendraus su šviesoforais ir kitais automobiliais
- didės poreikis realiu laiku saugoti šią informaciją nuo įsilaužimų
- įsigalės standartai panašūs į GDPR ir UN R155 visame pasaulyje