Kibernetski napadi so med letoma 2022 in 2024 povzročili približno za milijardo evrov škode. To je pokazala študija ponudnika rešitev za kibernetsko varnost za avtomobilsko industrijo VicOne. Število varnostnih vrzeli je v avtomobilski industriji leta 2024 doseglo rekordno raven, več kot 77 odstotkov vrzeli pa so odkrili v vgrajenih ali omrežnih sistemih samih vozil.
Na resno grožnjo kibernetskih napadov opozarjajo tudi pri ameriškem podjetju Green Hills Software. Navajajo, da so vozila danes povezana z oblaki, preko katerih podjetja strankam ponujajo različne storitve, kot so prometne informacije v realnem času ter pretakanje vsebin ali posodobitve programske opreme po zraku.
Pri VicOne so leta 2024 zabeležili 215 incidentov v zvezi s kibernetsko varnostjo vozil. Hekerji so napade najpogosteje izvedli preko vrzeli v oblakih, pojavljali so se tudi napadi z izsiljevalsko programsko opremo, kršitve varovanja podatkov in napadi z lažnim predstavljanjem. Posledice so bile ugrabitve vozil, ranljivosti v dobavni verigi, napadi na sisteme za vstop brez ključa in napadi na elektroniko vozil.
Neposredni napadi redki
O tem, kaj meni s kibernetski varnosti vozil, kako ocenjuje število kibernetskih napadov na vozila in kako pogosto se to po njihovih podatkih dogaja pri nas, smo vprašali Antona Galuna iz podjetja Galun Elektronika, ki se srečuje tudi s takšno problematiko.
Galun pravi, da so neposredni spletni napadi na vozila zelo redki. Bistveno pogostejši so masovni napadi na aplikacije, aplikacijske vmesnike, storitve v oblakih, zaledne strežnike, polnilno infrastrukturo za električna vozila, telematske sisteme in sisteme za upravljanje flot.
Anton Galun pravi, da lastnik lahko ob prodaji rabljenega vozila v njem pusti vrsto osebnih, psevdonimiziranih in anonimiziranih podatkov, ki jih lahko vozila tudi izmenjujejo v kibernetskem prostoru. Določeni podatki so v vozilih shranjeni trajno (npr. podatki o trkih v EDR sistemu), določene pa lahko zbriše uporabnik oziroma serviser ali pa se po določenem času zbrišejo samodejno. V vozilu sicer najdemo telefonske številke, sporočila, dnevnike, medijske in pretočne vsebine, seznanjene naprave in omrežja, uporabniške račune in profile, lokacijske podatke, vozniške profile in navade, diagnostične in obratovalne podatke vozila, podatke senzorike asistenčnih sistemov in še kaj.
Aktualna uredba EU o homologaciji vozil sicer predpisuje zaščito osebnih in gospodarskih vozil ter priklopnikov pred kibernetskimi napadi, pravi Galun. To pomeni, da od 6. julija 2022 ni več možna homologacija novega modela vozila, od 7. julija 2024 pa prva registracija vozila, ki ne ustreza predpisom o kibernetski varnosti.
Do uveljavitve predpisa so proizvajalci bolj ali manj sledili dobri praksi in uveljavljenim standardom, manjka pa upravljanje kibernetske varnosti v celotnem življenjskem ciklusu vozila, ki vključuje načrtovanje, proizvodnjo, uporabo in razgradnjo vozila.
Galun voznikom in uporabnikom vozil, ki bi radi poskrbeli za svojo kibernetsko varnost priporoča, naj uporabljajo zgolj aplikacije in storitve v oblakih preverjenih ponudnikov. Na vozilu naj ne izvajajo neavtoriziranega spreminjanja programske opreme, kot so "chip tuning" ali maniupulacije sistemov za nadzor emisij. Na vozila naj tudi ne vgrajujejo neoriginalnih elektronskih nadomestnih delov in elektronskih dodatkov, ki niso vredni zaupanja. Uporabljajo naj močna gesla in večstopenjsko avtentifikacijo ter v infotainment sistemu nastavijo ustrezno raven zasebnosti. Deaktivirajo naj nepotrebne povezave.
Galun našteva, da lahko napadalci v vozilu shranjene podatke izkoristijo za izvajanje tatvin vozil, ponarejanje ključev in poverilnic za dostop, onemogočanje ali oviranje uporabe vozila, nezakonito sledenje in geofencing, posredovanje podatkov tretjim osebam za oglaševalske namene, profiliranje voznika in sopotnikov glede na vozniške profile in navade, krajo identitete pri povezanih računih, zlorabo plačilnih sistemov, izsiljevanje na osnovi komunikacijskih podatkov (telefonske številke, sporočila, multimedijske vsebine), zloraba biometričnih podatkov (pri vozilih z notranjo kamero) itd.
Poskrbijo naj za redne popravke in posodobitve programske opreme elektronskih sistemov vozila, ter njegovo vzdrževanje zaupajo zaupanja vrednemu servisu, ki upošteva merila informacijske in kibernetske varnosti in na vozilo priključi diagnostično opremo zaupanja vrednih proizvajalcev.
Ranljiva infrastruktura EV
Pri podjetju VicOne menijo, da hitra širitev električnih vozil povzroča tudi kritične varnostne ranljivosti v infrastrukturi za polnjenje njihovih baterij. Te segajo od nezanesljivih plačilnih protokolov do zastarelih komunikacijskih standardov, prizadenejo pa lahko tako vozila kot tudi električna omrežja. Opozarjajo tudi, da se avtomobilska industrija v tem pogledu na splošno podaja na neznano področje.
Tudi kibernetski napadi na dobavne verige postajajo vse bolj kompleksni in uničujoči. Kriminalci so jasno ciljali na dobavitelje in zunanje ponudnike komponent, kar predstavlja veliko ranljivost panoge, ki je med seboj tesno povezana. Samo napad z izsiljevalsko opremo na enega od ponudnikov programske opreme za prodajalce avtomobilov je junija 2024 ohromil delovanje več kot 15.000 severnoameriških avtomobilskih salonov.
Briga jih naša varnost, gre za dobiček!
Velik problem je tudi padec standardov pri razvoju programske opreme, hitrost s katero bi se naj oprema razvijala in nenazadnje tudi AI s katerim bi radi nadomestili izkušene razvijalce. Postajamo instant družba z instant rešitvami.
Jbg, tehnološki "napredek" ima svojo ceno. Lahko ti rudarijo preko avta, pralnega stroja...in treba je priznat, živimo v oblaku in pod pretvezo napredka smo bedarijam dali nov pomen. Skratka, človek je postal neumen in prav zato potrebuje pametne aparate. Le… ...prikaži več kdo si ne želi samovozeče vozilo, pametni hladilnik, pametni pralni stroj itd. 🙃