Przemysł motoryzacyjny na celowniku hakerów

Celem cyberprzestępców mogą być systemy komputerowe powszechnie stosowane w branży motoryzacyjnej i zastraszenie producentów przed implementacją nowych technologii.

Przemysł motoryzacyjny prawdopodobnie stanie w niedalekiej przyszłości przed wieloma zagrożeniami cybernetycznymi i złośliwymi działaniami, ponieważ ogromna ilość danych gromadzonych przez pojazdy połączone z Internetem i pojazdy autonomiczne stają się bardzo cenionym celem podmiotów państwowych i motywowanych finansowo– ostrzegają autorzy raportu.

Raport nie precyzuje kto stoi za atakami oraz czy są wspierane przez jakieś państwo.

Ofiarami działań hakerów mogą opaść nie tylko pojazdy autonomiczne, nad którymi widnieje ryzyko przejęcia kontroli. Rośnie liczba samochodów połączonych z siecią i komunikujących się między sobą i wydaje się, że nie ma od tego trendu odwrotu…Instalowanie technologii internetu rzeczy ma na celu poprawę komfortu i bezpieczeństwa podróżowania.

Systemy bezpieczeństwa w samochodach postrzegane były dotychczas przez pryzmat systemów wspomagających hamowanie, układu kontroli jazdy, strefy kontrolowanego zgniotu, dużej ilości poduszek powietrznych czy kurtyn. Tymczasem, postęp technologiczny sprawił, że przemysł motoryzacyjny – zwłaszcza klasy wyższej i premium (poruszają się nimi osoby VIP) działa w oparciu o cyfrowe systemy m.in wspomagania układu hamulcowego, układu kierowniczego etc.

W ocenie analityków KPMG, tylko w samochodach klasy premium stosuje się 150 milionów różnego rodzaju linijek kodów oprogramowania cyfrowego – 12 razy więcej niż w przypadku konstrukcji samolotu bojowego F-35 czy pasażerskiego Boeinga 787.

W motoryzacji stosuje się tradycyjne systemy operacyjne, które zarządzają również naszym komfortem (klimatyzacja, audio, rozmowy), które są często parowane ze osobistymi smartfonami – bardzo podatnymi na ataki hakerów – podkreśla Polskie Stowarzyszenie Dziennikarzy Motoryzacyjnych analizując cyberzagrożenia dla przemysłu motoryzacyjnego.

Warto sobie zatem zadać pytanie, czy samochody są bezpieczne pod kątem cyfrowym i odporne na ataki hakerskie?

Obawy polskich ekspertów motoryzacyjnych potwierdzają dane izraelskiej firmy bezpieczeństwa – Check Point. Jej analitycy zwracają uwagę na dwa rodzaje zagrożeń dla Inteligentnych Aut podłączonych Online (Connected Car), których liczba rośnie z roku na rok w ekspresowym tempie (według danych IDATE DiGiWorld w 2020 roku na ulicach będzie jeździło 420 milionów tego typu pojazdów).

Po pierwsze – uważają analitycy Check Point – producenci muszą zabezpieczyć systemy nawigacji, do których mogą przeniknąć wirusy. Po drugie, należy zabezpieczyć systemy komunikacji wewnętrznej w samochodach, odpowiedzialne za takie funkcje jak wspomaganie kierownicy, ustawienia kamery cofania lub lusterek przy cofaniu pojazdu.

Eksperci Check Point współpracują z branżą motoryzacyjną, pomagając producentom samochodów unikać takich zagrożeń, wdrażając różne poziomy dostępu do aplikacji i procesów w samochodowych systemach elektronicznych. Technika „separacji uprawnień” uniemożliwia hakerom, którzy kompromitują część samochodu przez Bluetooth lub WiFi, przejście do innych systemów, a nawet przejęcie kontroli nad samochodem.

Przedstawiciele firmy Check Point ujawnili agencji Reuters Israel (2016), że przeprowadzili testy dla kilku firm motoryzacyjnych pokazujące jak można przejąć komunikację zewnętrzną auta za pomocą zdalnego urządzenia, dostępnego na platformie sprzedażowej eBay lub przy użyciu komputera osobistego.

Wraz z postępem zaawansowania technologicznego, rośnie ryzyko ataków. Nowoczesne samochody, produkowane według standardów Online posiadają moc ponad 20 komputerów osobistych i procesory obsługujące ponad 100 milionów linijek kodów- podkreślają przedstawiciele firmy Check Point. Dostęp do pojazdów permanentnie podłączonych do sieci to także zagrożenie nielegalnymi podsłuchami bądź manipulacjami parametrami aut, które w coraz większym stopniu są zależne od oprogramowania.

O tym, że zagrożenie jest realne, świadczą dane innej firmy – Upstream Security. Wskazują one, że liczba incydentów związanych z cyberbezpieczeństwem samochodów wzrosła od 2016 r. do dziś o ponad 600 proc. (tylko w 2019 r. skoczyła ponaddwukrotnie).

Cyberprzestępcy najczęściej wykorzystują ataki typu brute force (technika łamania haseł) lub phishing (infekowanie komputera po otworzeniu załącznika ze źródła wzbudzającego zaufanie). Coraz częściej stosowane są ataki ransomware, czyli wymuszenia okupu w zamian za przywrócenie dostępu do danych na komputerze lub kontach internetowych.

Co prawda FBI w swoim raporcie nie wymienia bezpośrednio nazw firm motoryzacyjnych, które padły ofiarami ataków, lecz wiadomo, że np. Honda Motor Co Ltd była celem ataku WannaCry w 2017 roku. Honda zmuszona była do zamknięcia zakładów produkcyjnych po tym jak jej sieci firmowe w Japonii, Europie, Ameryce i Chinach zostały zawirusowane. Ofiarami wirusa WannaCry były również koncerny Nissan i Renault (KPMG).

Wielki koncern Fiat Chrysler zmuszony był wezwać do serwisu 1,4 miliona pojazdów, po tym jak podczas jazdy próbnej auto zostało zaatakowane przez legalnie działających hakerów. Spowodowali oni, że (bez ingerencji kierowcy) włączyły się wycieraczki, radio zmieniło stację, a klimatyzacja zaczęła wyrzucać z siebie lodowate powietrze. W końcu udało im się wyłączyć pojazd.

To sprawiło, że rynek motoryzacji zaczął poważnie myśleć o zagrożeniu. Innym przykładem – tym razem zaplanowanym – była manipulacja przy systemach emisji spalin w koncernie Volkswagen, co przerodziło się w skandal o zasięgu globalnym.

Check Point Research – oddział analityczny izraelskiego potentata ds. zabezpieczeń – ujawnił w grudniu 2019 roku, że grupa APT Ocean Lotus naruszyła sieci producentów samochodów BMW i Hyundai. Grupa, wcześniej powiązana z różnymi atakami na producentów samochodów, podobno przeprowadziła atak za pomocą narzędzia hakerskiego Cobalt Strike, aby uzyskać dostęp do sieci obu firm. Check Point zwrócił uwagę, że firmy te nie zabezpieczyły stosownie swoich sieci, a rozwiązania takie były dostępne (np. Check Point IPS and Anti-Bot blade).

W lutym 2019 roku doszło do ataku na systemy nawigacji pojazdu szkoleniowego amerykańskiej armii. Co prawda nie ma to bezpośredniego wpływu na prywatnych użytkowników pojazdów, ale jest dowodem na wzrastającą skuteczność hakerów.

Zabezpieczenia, uniemożliwiające niepowołanym osobom przejęcie kontroli nad poruszającym się autem, stają się zatem priorytetem. Szczególnie w dobie coraz bardziej popularnych aut w pełni autonomicznych. Producenci prześcigają się w zapewnieniach o opracowywanych systemach zabezpieczeń. BMW przekonuje, że wprowadzi takie na rynek już do 2021 roku.

Konkurenci depczą mu po piętach. Wśród firm mających podobne ambicje znajdują się technologiczne koncerny, np. Uber, Tesla czy Google.

Nagrody za wykrycie błędów są w dużej mierze tym, co robią producenci pojazdów, aby pomóc w zwalczaniu włamań. Niektóre programy „premiowania za błędy” były bardziej skuteczne niż inne. Na przykład Uber odnotował 1345 usuniętych zgłoszeń błędów i wypłacił ponad 2,3 miliona dolarów. Okazało się, że firma miała prawie 1400 luk w oprogramowaniu pojazdów (Upstreamreport).

Według ekspertów McKinsey samochody będą z biegiem lat coraz bardziej zaawansowane. Podczas gdy dziś mają około 100 milionów linijek kodów software, w 2030 roku ilość kodów wzrośnie do 300 milionów, stając się jednymi z najbardziej skomplikowanych maszyn. To rodzi ogromne pole do prób cyberataków – podsumowują autorzy raportu McKinsey – The race for Cybersecurity 2018.

Cyberbezpieczeństwo w motoryzacji staje się więc priorytetowym zagadnieniem dla tej branży. I obejmuje ono nie tylko możliwość ataków na pojazdy w trakcie ich użytkowania, lecz sposób gwarancji bezpieczeństwa podczas planowania całego procesu produkcyjnego ze szczególnym uwzględnieniem fabryk i innych miejsc, w których samochody i ich części są wytwarzane.

W opinii Związku Dziennikarzy Motoryzacyjnych dzisiejsze wyzwania związane z zapewnieniem bezpieczeństwa samochodów są efektem coraz bardziej zaawansowanej technologii, złożonych systemów i aplikacji, stosowanych w przemyśle motoryzacyjnym na świecie. Kolejne lata i przemiany w funkcjonowaniu procesów produkcyjnych mogą przynieść dodatkowe wyzwania.

„Musimy być w pełni przekonani, że hakowanie samochodów stanie się niemożliwe, a kierowcy będą mieli całkowitą kontrolę nad pojazdem. A w przypadku, gdy auto zacznie zachowywać się niekonwencjonalnie, dostępny będzie jeden guzik, dzięki któremu kierowca opanuje maszynę i odetnie ją od połączenia z niesprawnym serwerem” – Elon Musk, szef Tesli, podczas spotkania National Governors Association w 2017 roku.

Według danych Automotive Industry Report (2016), producenci samochodów w Europie przeznaczają rocznie na innowacje ponad 44 miliardy euro, a wartość globalnego rynku cyberbezpieczeństwa motoryzacyjnego szacowana była w 2018 roku na 1,26 mld USD i ma rosnąć w tempie 15% w okresie 2019-2029 (dane Automotive Cybersecurity Industry Analysis).

Tymczasem badania przeprowadzone w 2018 roku przez KPMG (CEO Outlook Survey) dowodzą, że 85% szefów koncernów motoryzacyjnych spodziewa się zwiększenia wydatków na zabezpieczenie pojazdów przed hakerami w ciągu trzech lat, a 56% ocenia, że będzie to „znaczący wzrost” i większy niż w innych sektorach gospodarki.

Świadomość zagrożenia cyberataków dla sektora motoryzacji jest coraz bardziej powszechna, skłaniając regulatorów rynku do wprowadzenia stosownych ustaw określających minimalne, obowiązkowe standardy zabezpieczeń. W 2018 roku władze Kalifornii wprowadziły ustawowy obowiązek zabezpieczenia autonomicznych samochodów podlegających jakimkolwiek testom.

Podczas gdy te regulacje obejmują tylko część rynku motoryzacyjnego, Światowe Forum Harmonizacji Przepisów dotyczących Pojazdów w ramach Europejskiej Komisji Gospodarczej Organizacji Narodów Zjednoczonych (EKG ONZ) ma wkrótce wprowadzić swoje rozporządzenie w sprawie bezpieczeństwa cybernetycznego i aktualizacji oprogramowania.

To sprawi, że cyberbezpieczeństwo stanie się wyraźnym wymogiem dla przyszłej sprzedaży pojazdów; powiązane przepisy będą miały wpływ na nowe homologacje typu pojazdów w ponad 60 krajach. Eksperci branżowi postrzegają nadchodzące rozporządzenia EKG ONZ tylko jako początek nowej ery regulacji zgodności technicznej w sektorze motoryzacyjnym, zajmujących się wzrostem i znaczeniem oprogramowania i łączności w branży.

Przed atakami hakerskimi zabezpieczane są limuzyny, którymi poruszają się członkowie rządu czy VIP. Kuloodporne szyby, wzmocnione podwozie, czy zabezpieczenia wewnątrz auta mają zabezpieczyć te pojazdy przed atakami fizycznymi.

Zdjęcie: Continental