W branży motoryzacyjnej w szybkim tempie pojawiają się nowe technologie, ale wraz z nimi przybywa także nieznanych wcześniej zagrożeń. Te związane z hakowaniem samochodów, o których kiedyś mówiło się jako o futurystycznych scenariuszach, zdążyły się już ziścić w rzeczywistości. Jednak dołączyły do nich nowe, wynikające z przetwarzania coraz bardziej szczegółowych danych kierowców.
Coraz więcej zaawansowanych rozwiązań, coraz bardziej skomplikowana elektronika i coraz większe możliwości zbierania i przetwarzania danych – to droga, którą branża motoryzacyjna podąża już od dawna. Eksperci nie mają wątpliwości – każdy nasz kolejny, nowszy samochód będzie miał jeszcze więcej funkcjonalności opartych o systemy IT oraz dostęp do sieci. Niestety, wraz z technologiami przyspieszają także cyberprzestępcy. Mimo to, producenci nadal nie zawsze traktują tego zagrożenia poważnie.
– Koncerny samochodowe od wielu lat intensywnie pracują nad nowymi rozwiązaniami z pogranicza motoryzacji i IT, wręcz prześcigając się w innowacjach. Niestety, im bardziej nowatorskie rozwiązanie, tym większe także ryzyko błędów, które mogą zdemaskować hakerzy. O ile w kwestii bezpieczeństwa użytkowników producenci samochodów nie mogą iść na kompromis, o tyle bezpieczeństwo ich danych bywa niestety czasem zaniedbywane. Można zaryzykować stwierdzenie, że technologiczne przyspieszenie w motoryzacji wciąż często odbywa się bez hamulców bezpieczeństwa IT. Tymczasem potencjalnych mechanizmów ataków jest sporo – tłumaczy Kamil Sadkowski, starszy specjalista ds. cyberbezpieczeństwa ESET.
Cyber-kradzież samochodów jest możliwa
Dyskusja na temat hakowania samochodów trwa od wielu lat. Już na starcie mariażu motoryzacji z IT specjaliści ds. cyberbezpieczeństwa przestrzegali, że rozwiązania takie jak elektroniczne kluczyki czy aplikacje zintegrowane z silnikiem pokładowym pojazdów mogą być dogodnymi „punktami wejścia” dla cyberprzestępców. Jednym z pierwszych koncernów, który potraktował te zagrożenia poważnie była Tesla, która już dawno temu rozwinęła swój program tzw. bug bounty – zachęcający etycznych hakerów do łamania swoich systemów i wykrywania podatności nowych modeli w zamian za wysokie nagrody pieniężne.
Szerokim echem w branży i mediach odbił się także eksperyment, jaki przeprowadzili w 2015 roku specjaliści ds. zabezpieczeń Charlie Miller oraz Chris Valasek. Udało im się przedostać do systemu audio samochodu kierowanego przez dziennikarza Wired, Andy’ego Greenberga i przejąć kontrolę m.in. nad klimatyzacją, hamulcami i układem kierowniczym. Ten przykład przyczynił się do poprawy zabezpieczeń w autach marki Jeep. Niemal dekadę później wciąż jednak słyszymy o kolejnych próbach uzyskania dostępu do systemów informatycznych w samochodach. Nie dość tego, co raz specjaliści ds. cyberbezpieczeństwa wykrywają w nowych modelach uznanych marek luki podatne na ataki hakerów. To zagrożenie zdecydowanie nie odeszło do lamusa.
Naruszenia RODO
Nowoczesne pojazdy zbierają coraz więcej danych o użytkownikach: gdzie i kiedy jeżdżą, gdzie się zatrzymują, kiedy tankują pojazd, czy jeżdżą zgodnie z ograniczeniami prędkości itp. Wszystkie te informacje mogą zostać użyte przeciwko kierowcom np. jeśli dojdzie do wycieku i wpadną w niepowołane ręce. Dlatego eksperci podkreślają, że wiarę w nowe technologie warto uzupełnić ostrożnością i dobrymi praktykami, takimi jak monitorowanie aktualności oprogramowania na urządzeniach, którym umożliwiamy dostęp do komputera pokładowego pojazdu i uważna kontrola stanu zabezpieczeń podczas przeglądów. Należy także zwracać uwagę na wszelkie podejrzane, nieprzewidziane sytuacje, takie jak samoistne włączanie się radia czy wycieraczek. Mogą one świadczyć o próbie ataku.
Przetwarzanie danych osobowych w ruchu samochodowym to także dziedzina, która podlega od dłuższego czasu zaawansowanym regulacjom prawnym, m.in. z zakresu RODO. Mimo tego, nie tylko użytkownicy, ale także dostawcy systemów oraz producenci samochodów popełniają jeszcze w tej kwestii nierzadko błędy. Niektóre z nich są proceduralne, inne – mogą doprowadzić do naruszenia bezpieczeństwa danych kierowców. Przykładowo, w ubiegłym roku w Dolnej Saksonii nałożono karę na koncern Volkswagen, który, w ramach testów nowego systemu wspomagającego
kierowców, zbierał dane za pośrednictwem wyposażonego w czujniki pojazdu testowego. Sąd uznał, że odbywało się to niezgodnie z zasadami RODO i nie dopełniono szeregu niezbędnych formalności. Dodatkowego kontekstu kwestii przetwarzania danych osobowych użytkowników pojazdów dodaje dyskusja na temat celowości i zasad dostępu do takich danych podmiotom zewnętrznym, takim jak np. ubezpieczyciele.
Ataki na koncerny przetwarzające informacje
Na celowniku cyberprzestępców znajdują się nie tylko kierowcy, ale także same koncerny samochodowe. Nigdy wcześniej w historii, producenci samochodów nie przechowywali i nie przetwarzali tak wielu szczegółowych danych swoich klientów. To informacje, które hakerzy mogą, np. sprzedawać następnie w tzw. darknecie. Zyskują one zdecydowanie na atrakcyjności w połączeniu z wiedzą, iż dotyczą ludzi o określonym potencjale finansowym, np. takich, których stać na pojazdy będące wyznacznikiem pewnego statusu. Mechanizm takiego ataku wykorzystali niedawno m.in. cyberprzestępcy biorący na celownik koncern Ferrari podczas ataku typu ransomware. W marcu 2023 roku Ferrari NV, spółka macierzysta producenta luksusowych samochodów z siedzibą w Maranello, podała do publicznej wiadomości informacje o tym, że padła ofiarą ataku. Cyberprzestępcy zwrócili się do niej z żądaniem okupu w zamian za wykradzione dane klientów. Firma przeprosiła poszkodowanych, informując jednocześnie, że faktycznie wykradziono informacje takie jak imiona, nazwiska, adresy, adresy e-mail i numery telefonów, ale nie dane finansowe, szczegóły dotyczące transakcji czy inne wrażliwe informacje. Koncern zadeklarował, że nie wchodzi w żadną komunikację z cyberprzestępcami i koncentruje się na wzmocnieniu systemów IT, aby zapobiec takim sytuacjom w przyszłości.
– Hakerzy o złych intencjach mogą wyrządzić wiele szkód nawet ułamkiem danych, które wyciekły. Często nie zdajemy sobie sprawy ze znaczenia skradzionych informacji i tego, co można z nimi zrobić. Warto mieć świadomość, że nawet szczątkowe informacje, jeśli zostaną użyte w połączeniu z innymi, mogą stać się wartościowym materiałem dla przestępców działających w darknecie i na czarnym rynku obrotu danymi. Cyberprzestępcy mogą np. sprytnie i szybko tworzyć komunikaty phishingowe skierowane do osób, których dane wyciekły, aby w razie potrzeby wydobyć jeszcze więcej informacji. Informacja o statusie majątkowym ofiar także może mieć dla nich dużą wartość i otworzyć kolejne możliwości wyrafinowanych ataków – podsumowuje Kamil Sadkowski.
Źródło: IBRM Samar