Podobně jako počítače nebo telefony fungují i moderní auta jako potenciální „vysavače“ informací o jejich uživatelích – jsou tak častým cílem hackerů. Z pohledu legislativy bylo toto minové pole až dosud prakticky legislativně neorané. Seriózní povinnost zajistit ochranu před kybernetickými útoky na vyráběná vozidla budou mít automobilky až od letošního července.
Při pohybu na internetu zabezpečují uživatelé svou spotřební elektroniku antivirovým programem či firewallem, protože jde o účinné štíty, které je ušetří mnoha starostí. Operační systémy našich počítačů a mobilních telefonů jsou navíc pravidelně aktualizovány a hlídány. U aut ale dosud zdaleka tak přísná ochrana v praxi nefunguje.
ČTĚTE TAKÉ: Kybernetický útok na českou policii. Hackeři vyřadili její webové stránky
„Hackeři mohou kupříkladu u firemních vozů klidně zablokovat celou flotilu a požadovat ‚výkupné‘ tak, jako se to děje v případě útoků na počítačové sítě velkých firem či státních institucí. Může jít také o nenápadnější útoky, například krádež citlivých dat – geolokace vozu, telefonní kontakty či zprávy a další citlivé údaje,“ vyjmenovává možné scénáře Vladislav Kocián, vedoucí laboratoře kybernetické bezpečnosti TÜV SÜD Czech z Bezděčína, která je jednou z mála na světě s certifikací homologovat ochranné mechanismy proti kyberútokům na automobily.
Konečně legislativa
Počet napadení aut hackery dlouhodobě stoupá, ale ochranu svých modelů řešily automobilky dosud individuálně a hlavně dobrovolně – konkrétní legislativa totiž prakticky neexistovala. To se od letošního července mění.
Podle evropského nařízení UNECE R 156 bude v EU povinné všechny nově registrované vozy od července 2024 homologovat proti kyberútokům. Nařízení chtějí přijmout i další země, jako je Jižní Korea či Japonsko. U aut se tak konečně dočkáme podobně robustní ochrany jako u počítačů nebo telefonů.
„V praxi musí být zajištěna jak ochrana jednotlivých součástek, tak i to, aby jejich prostřednictvím nebyl napaden automobil jako celek. Zcela zásadní je dokumentace, která potvrzuje, že již při vývoji byly zvoleny správné technologie a postupy,“ vysvětluje Vladimír Kocián.
Příliš chytrá auta
Moderní auta jsou doslova prošpikovaná elektronickými systémy – čím dražší model, tím jsou složitější a „chytřejší“. Jejich majitelé většinou vůbec netuší, jakým rizikům může být vůz vystaven. Auta dnes běžně využívají až 100 milionů řádků softwarového kódu, a jejich počet každým rokem ve velkém přibývá. V praxi to znamená zapojení desítek až stovek řídicích jednotek, jejichž výpočetní výkon roste raketovým tempem.
Čím více ale připomínají auta počítače, tím více přebírají i jejich slabiny. Pro profesionální hackery je „nabourání“ těchto systémů výzvou. Nejde přitom vůbec jen o osobní údaje posádky, ale třeba také o cílené zásahy do řízení, jejichž důsledky mohou být fatální.
„Pokrok“ už došel tak daleko, že auto vybavené příslušnou parkovací aplikací je dnes teoreticky možné „ukrást“ z pohodlí obývacího pokoje. Rozvoj systémů autonomního řízení a spojení s auty přes mobilní telefony je v tomto směru nesmírně vděčným terčem.
Zvláštní pozornost proto bezděčínská laboratoř věnuje aktivním prvkům, jež mohou zasáhnout přímo do řízení. U nich je vyžadována zvýšená úroveň zabezpečení.
Důležité jsou tzv. vektory útoku, tedy cestičky, kterými si hackeři hledají cestu do systémů vozu. Bezpečnostní agentura Upstream Security každoročně vydává zprávu o nejčastějších způsobech napadení nezabezpečených vozů. Z analýzy 1173 případů lze vyčíst nejcitlivější místa současných automobilů.
Zvláštní stupeň ochrany proti kyberútoku vyžadují různé parkovací aplikace a systémy autonomního řízení. Zdroj: se svolením společnosti BMW Group
Zákeřná konektivita
Automobilky ve velkém vyvíjí stále širší možnosti konektivity, tj. připojení auta k různým internetovým aplikacím. Právě tento nezvratný trend dělá ale současně největší vrásky „ochráncům“ automobilových dat.
Klíčovou částí aktivních zkoušek jsou proto tzv. simulované útoky. Při vývoji vozu je provádí sama automobilka, která má primární zájem na tom, aby její vůz mohl získat homologaci. Jedná se o exaktní a zopakovatelné postupy, jejichž účelem je ověření eliminace či zmírnění potenciálních rizik.
Již zmíněný předpis č. 155 konkrétně uvádí jako příklady sedmdesát problematických míst – ale jde pouze o rámcové doporučení, protože změny se v této oblasti dějí rychle a neustále.
„Nejčastěji zneužívanou slabinou je v současnosti nedostatečně šifrovaná komunikace mezi autem a jeho řídicími jednotkami nebo i vzdálenými servery. Následuje protokol, kterým komunikuje vůz a jeho elektronický klíč, dále pak sběrnice ovládající samotné řídicí jednotky. Ale také palubní infotainment, který často připojujeme skrz mobilní sítě či Wi-Fi do okolního světa. Nebo ho propojíme s mobilním telefonem plným aplikací, čímž vystavíme vůz dalším potenciálním útokům zvenčí,“ shrnuje Vladislav Kocián závěry pravidelně zveřejňovaných bezpečnostních analýz.
Prevence je základ
Bez ohledu na systémovou ochranu lze kybernetickým útokům bránit i osobní prevencí. Začněte u renomované značky mobilního telefonu, kterým se k palubním systémům vozu pravidelně připojujete. Pravidelné aktualizace jeho softwaru by měly případné útoky do značné míry eliminovat. Připlaťte si také za speciální ochranné programy ve stylu firewallu přímo u mobilního operátora.
Vyvarujte se neznačkových gadgetů objednaných z internetu (nejrůznější OBD čtečky a USB flashdisky od čínských výrobců). Nestahujte také různé zdarma distribuované „zázračné“ aplikace s podezřelými účely.
A jezděte pokud možno jen do autorizovaných autoservisů, které disponují potřebným softwarovým vybavením pro aktualizaci ochrany vozidla.