Samochody to dziś komputery na kołach – zwłaszcza te elektryczne i za chwilę autonomiczne. Choć to przyszłość motoryzacji, o ich podatności na ataki hakerskie wciąż mówi się zaskakująco mało. Dlaczego? Oto kilka możliwych powodów.
Mała świadomość kierowców: Większość z nas nie myśli o aucie jak o urządzeniu, które ktoś może zhakować. Komputery i telefony? Owszem. Ale samochody? Raczej nie.
Brak spektakularnych przypadków w mediach: Były już głośne przypadki, jak przejęcie kontroli nad Jeepem Cherokee w 2015 roku, ale to wciąż rzadkość. A producenci? Wolą unikać rozgłosu, żeby nie psuć sobie wizerunku.
Temat dla wtajemniczonych: Cyberataki na samochody to technicznie skomplikowana sprawa, poza zasięgiem przeciętnego hakera. No i trudno o proste wytłumaczenie, które każdy zrozumie.
Prawo też nie nadąża: Globalne przepisy, takie jak UNECE WP.29, zaczynają obowiązywać, ale ich wdrażanie w branży motoryzacyjnej to proces długotrwały. Mamy tam regulacje dotyczące cyberbezpieczeństwa aut, takie jak R155 i R156, ale ich wdrożenie wymaga od producentów czasu, inwestycji i zmian technologicznych.
Niewidoczne zagrożenie: Nie chodzi tylko o przejęcie kontroli nad autem. Nowoczesne samochody zbierają dane o stylu jazdy, lokalizacji czy choćby nawykach kierowcy. W niewłaściwych rękach te informacje mogą stać się narzędziem inwigilacji.
Głośne przypadki, które dały do myślenia.
Jeep Cherokee (2015): Charlie Miller i Chris Valasek udowodnili, iż mogą zdalnie sterować Jeepem Cherokee, korzystając z luki w komputerze infotaimentu, który działa na zmodyfikowanym Linuxie. Finalnie uzyskali pełny dostęp do magistrali CAN. Jest ona wewnętrzną siecią pojazdu, która łączy ze sobą wszystkie najważniejsze elementy auta: silnik, skrzynię biegów, czujniki itp., czyli wszystko. Motyw przejęcia Jeepa trafił też do książki Jakuba Szamałka „Cokolwiek wybierzesz”, gdzie jeden z bohaterów ginie w tym aucie, które zostało zhakowane.
Tesla Model S (2016): Chiński zespół Keen Security Lab przejął kontrolę nad Teslą, manipulując hamulcami, drzwiami i systemem multimedialnym. Tesla gwałtownie załatała lukę aktualizacją OTA. Podobny motyw pokazano w filmie „Zostaw świat za sobą” („Leave the World Behind”), gdzie Tesle samodzielnie jadą w jedno miejsce.
Pociągi Newag (2023): Choć to przykład spoza motoryzacji, pokazuje skalę problemu. Pociągi Impuls po serwisie w niezależnych warsztatach nagle odmawiały posłuszeństwa. Grupa Dragon Sector odkryła w oprogramowaniu nieudokumentowany system blokad.
Co czeka nas dalej?
Warszawa stawia na autonomiczne autobusy: Miasto planuje zakup 90 pojazdów, które same będą poruszać się po zajezdni. Czy będą odporne na cyberataki? Zobaczymy.
Chińskie auta w natarciu: Coraz więcej chińskich marek wjeżdża na europejskie drogi. Co wysyłają i do kogo? Tego nikt do końca nie wie, a transparentność w zakresie bezpieczeństwa danych wciąż pozostawia wiele do życzenia.
W najbliższych latach to, jak dobrze auto jest zabezpieczone pod względem oprogramowania, może być ważniejsze niż jego osiągi. Managerowie legacy marek motoryzacyjnych niechętnie poruszają ten temat. Oficjalnie ich auta są bezpieczne, ale w prywatnej rozmowie jeden z nich przyznał: „Może dlatego, iż jak dotąd nikomu nie udało się zhakować auta na oczach mediów?”. Gdy przypomniałem mu o przypadku Jeepa, usłyszałem tylko: „O, nie wiedziałem o tym.”
Pytanie brzmi: jak długo niewiedza będzie jeszcze wystarczającym usprawiedliwieniem?
