Bezpieczeństwo inteligentnych pojazdów – wyzwania, normy i praktyki w erze nowoczesnej motoryzacji
Biorąc pod uwagę rosnącą złożoność produkcji motoryzacyjnej, cyberbezpieczeństwo to wyzwanie numer jeden dla producentów.
W ostatnich latach sektor motoryzacyjny przechodzi dynamiczny rozwój i szereg zmian, zwłaszcza w obszarze inteligentnych samochodów, samochodów połączonych, autonomicznych pojazdów i floty, a także całego systemu inteligentnego transportu. W Polsce autonomiczne samochody mogą pojawić się na drogach już w 2030 roku oraz jak prognozuje Instytutu Transportu Samochodowego zmniejszyć liczbę wypadków o 33%. Kluczowe w tych zmianach jest jednak cyberbezpieczeństwo, które jest priorytetem od momentu planowania produktu do samego końca jego cyklu życia. Co warto wiedzieć?
Inteligentne pojazdy – jak wygląda dzisiejszy rynek?
Rynek inteligentnych pojazdów dynamicznie się zmienia. Współczesny samochód to przede wszystkim jeżdżący i zaawansowany komputer, którego zadaniem jest zadbanie o bezpieczeństwo i komfort pasażerów. Jak pokazują statystyki sam rynek samochodów połączonych (connected cars) może być wart blisko 200 mld dolarów pod koniec 2025 roku. Z kolei globalny rynek inteligentnych wyświetlaczy samochodowych w 2020 roku był wyceniony na 11,4 mld dolarów! Rośnie zapotrzebowanie na zaawansowane rozwiązania dedykowane takim pojazdom – od nawigacji, poprzez systemy multimedialne, systemy wspomagania, a także komunikacji z kierowcą. Osobny fragment rynku to pojazdy autonomiczne, które mogą jeździć bez kierowcy, przy wykorzystaniu AI.
Wraz z tymi rozwiązaniami rośnie także potrzeba zadbania o ich cyberbezpieczeństwo! Zwłaszcza, że inteligentne samochody to także szereg innowacji, które dotyczą także zarządzania ruchem w miastach i poza, sposobów łączności z Internetem, czy chociażby rozwiązań umożliwiających przesyłanie ogromnej ilości danych w bezpieczny sposób. Już w 2020 roku ponad 50% sprzedanych samochodów podłączonych była do Internetu. W przypadku samochodów autonomicznych transfer danych może wynosić nawet 400 GB do 5 TB na godzinę!
Najważniejsze wyzwania, przykłady ataków i zagrożeń
Głównym zadaniem nowych pojazdów ma być dbanie o bezpieczeństwo pasażerów, poprawa jakości życia w smart cities, zmniejszenie korków, czasu dojazdu, a także ilości wydzielanych spalin. W teorii autonomiczne pojazdy na drogach mogą zmniejszyć ilość śmiertelnych wypadków, ponieważ w 90% zawodzi człowiek, nie sprzęt. Jednak zaawansowane rozwiązania technologiczne idą w parze z zagrożeniami! Wśród tych najbardziej oczywistych są:
- możliwa kradzież samochodu, który jest otwierany na karty czy z aplikacji
- całkowita utrata kontroli nad pojazdem lub manipulacja jego zachowaniem w trakcie jazdy
- naruszanie prywatności użytkownika oraz danych na jego temat
Niestety, hakerzy są często od krok w przód przed specjalistami i stosują tricki, dzięki którym mogą złamać systemy producentów. Sami badacze sprawdzali podatności inteligentnych samochodów i demonstrowali, co mogą zrobić po włamaniu. W Jeepie Cherokee została wyłączona skrzynia biegów podczas jazdy z prędkością ponad 70 kilometrów na godzinę, co zmusiło producenta do wycofania ponad 1 miliona pojazdów z rynku!
Atakowane testowo były także zdalne kamery, czujniki przestrzeni i inne sensory w samochodzie aby go zmanipulować. Narysowanie białego koła kredą wokół niektórych pojazdów uniemożliwiało im ruszenie! Inne wektory ataku to chociażby system nawigacyjny i funkcje korzystające z AI. Ataki na komponenty samochodu mogą prowadzić do wycieków danych (i kar!), unieruchomienia samochodu, wypadków drogowych, strat finansowych czy zagrożenia życia i bezpieczeństwa użytkowników.
Dowiedz się wiecej o bezpieczeństwie w Twojej organizacji
Zaciekawił Cię ten temat? Sprawdź naszą usługę testów penetracyjnych.
Cyberbezpieczeństwo inteligentnych pojazdów a prawo
Biorąc pod uwagę rosnącą złożoność produkcji motoryzacyjnej, złożoność łańcucha dostaw w branży motoryzacyjnej, rosnącą liczbę ataków czy zmieniające się przepisy – cyberbezpieczeństwo to wyzwanie numer jeden dla producentów. Ważny jest każdy etap powstawania pojazdu, a także wiarygodność partnerów! Regularne audyty i odpowiednie zapisy w kontraktach powinny dotyczyć całego łańcuch dostaw.
W walkę o to zaangażowała się chociażby Międzynarodowa Organizacja Normalizacyjna (ISO), która w 2021 roku opublikowała nową normę ISO/SAE 21434:2021 – Pojazdy drogowe – Inżynieria bezpieczeństwa cybernetycznego. Norma została opracowana z Globalnym Stowarzyszeniem Inżynierów (SAE International) i ma pomóc producentom być na bieżąco ze standardami technologicznymi oraz zagrożeniami, które się z nimi wiążą. Również według regulacji Organizacji Narodów Zjednoczonych producenci samochodów są zobowiązani do zabezpieczania pojazdów przed cyberatakami. Nowe rozporządzenie w sprawie cyberbezpieczeństwa obowiązuje od 2022 roku; w Unii Europejskiej wszystkie nowe typy pojazdów będą musiały być bezpieczne, istotna jest dyrektywa NIS, a także NIS2.
Jednak to nie jedyne regulacje! Producenci samochodów muszą także pamiętać, że gromadzenie dużej ilości danych osobowych wiąże się z koniecznością zapewnienia zgodności z przepisami dotyczącymi prywatności. RODO sugeruje wdrażanie takich rozwiązań jak privacy by design (prywatność uwzględniona na etapie projektowania) and privacy by default (domyślna ochrona prywatności). Firmy powinny maksymalnie dbać o transparentny model zarządzania prywatnością przez użytkownika oraz zbierać jak najmniejszą ilość danych wrażliwych na jego temat.
Cyberbezpieczeństwie inteligentnych pojazdów – dobre praktyki
Amerykański Urząd ds. Bezpieczeństwa Ruchu Drogowego (NHTSA) w publikacji pod tytułem Cybersecurity For Modern Vehicles (2022) kładzie nacisk na kulturę cyberbezpieczeństwa w całym cykl życia produktu. Powinna ona obejmować etapy od koncepcji, przez projekt, produkcję, sprzedaż, użytkowanie, konserwację, odsprzedaż i wycofania z eksploatacji. Rozwijane systemy elektroniczne powinny być starannie wybierane, testowane, wdrażane, a także atestowane, by zapewnić pełną ochronę użytkownika.
Praktyka ta powinna dotyczyć sensorów, sprzętu, i używanego oprogramowania. Wykorzystanie najlepszych rozwiązań kryptograficznych, autoryzacji dostępu, czy sprzętu diagnostycznego to także podstawa. Obowiązkowe są testy penetracyjne jeszcze w fazie produkcji, a nawet prototypowania auta! Tak samo istotna jest pełna dokumentacja stosowanych zabezpieczeń oraz zbieranie informacji na temat incydentów, które miały miejsce oraz udostępnienia ich innym producentom w branży. Zarządzanie ryzykiem i regularne audyty powinny powodować cykliczną aktualizację architektury bezpieczeństwa.
Aby zapewnić stały rozwój motoryzacji, producenci powinni nie tylko korzystać z wytycznych opublikowanych przez SAE International, ISO, NHTSA, Agencję Bezpieczeństwa Infrastruktury Cyberbezpieczeństwa (CISA), NIST, stowarzyszenia branżowe, czy inne organy, ale także współpracować ze sobą w celu poprawy standardów, zabezpieczeń i aktualizacji najlepszych praktyk! O w pełni bezpieczną, inteligentną przyszłość warto zadbać.
Bądźmy w kontakcie
Chcesz porozmawiać o cyberbezpieczeństwie w Twojej organizacji i wspólnych możliwościach? Wypełnij formularz poniżej lub skontaktuj się z nami bezpośrednio.
Co jeszcze warto wiedzieć na temat cyberbezpieczeństwa?
