K pojmom ako aktívna a pasívna bezpečnosť sa už čoskoro oficiálne pridá aj kybernetická bezpečnosť. Niektorým vozidlám to vystaví stopku, upozorňuje TÜV SÜD Czech a portál rewind.sk.
Auto je v súčasnosti komplexným počítačom na kolesách. To znamená, že sa stáva objektom čoraz väčšieho počtu zločincov, vrátane hackerov. Riziko jeho napadnutia hackermi je čoraz pravdepodobnejšia, preto chce Európska únia používateľov pred týmito útokmi ochrániť stanovením nových povinností pre výrobcov automobilov. Homologizáciu ochrany pred kyberútokmi momentálne vie zaistiť len pár laboratórií na svete. Jednou z nich je aj špičkovo vybavené pracovisko TÜV SÜD Czech v Bezděčíne pri Mladej Boleslavi.
Počet napadnutí áut hackermi dlhodobo stúpa. Doteraz ochranu svojich vozidiel riešili automobilky individuálne a najmä dobrovoľne. Majitelia vozidiel tak často ani netušili, akým rizikám môže byť ich vozidlo vystavené. Pracovná skupina pri OSN ale prijala už na začiatku roka 2021 predpis č. 155, ktorý nariaďuje, že od júla 2024 musia byť všetky novo predávané autá na území EÚ chránené proti kybernetickým útokom.
Odolnosť voči hackerov budú testovať v Česku
Predpis je súčasťou povinných požiadaviek Európskej únie a teda tu predávané vozidlá musia mať homologizáciu na základe testov vykonávaných v špecializovaných laboratóriách. Ak by automobilka uviedla na trh vozidlo bez analýzy rizík a požadovanej homologizácie, vystavuje sa nielen potenciálne vysokej pokute. „Pri nedostatočne zabezpečených vozidlách hrozí celý rad útokov. Hackeri môžu prevziať kontrolu nad vozidlom, alebo v prípade firemných áut môžu zablokovať celú flotilu vozidiel a požiadať o výkupné, tak ako sa to deje v prípade útokov na počítačové siete veľkých firiem či štátnych inštitúcií. Môže ísť aj o nenápadnejšie útoky, napr. krádež citlivých dát: geolokácia vozidla, telefónne kontakty či správy a ďalšie dôležité údaje,” vymenováva možné scenáre Vladislav Kocián, vedúci laboratória kybernetickej bezpečnosti v TÜV SÜD Czech.
Dnešné vozidlá v sebe majú stovky riadiacich jednotiek. Sú čím ďalej tým inteligentnejšie a ich výpočtový výkon rastie raketovým tempom. Čím viac pripomínajú počítač, tým viac preberajú aj jeho slabiny. Pri pohybe na internete používatelia zabezpečujú svoju spotrebnú elektroniku antivírusovým programom či firewallom. Operačné systémy počítačov a mobilných telefónov sú navyše pravidelne aktualizované a strážené. U áut sa vďaka homologizácii čoskoro dočkáme podobne robustnej ochrany. „V praxi musí byť zaistená ako ochrana jednotlivých súčiastok, tak aj to, aby ich prostredníctvom nebol napadnutý automobil ako celok. Úplne zásadná je dokumentácia potvrdzujúca, že pri vývoji boli zvolené správne technológie a postupy. Preverujeme tiež úroveň zabezpečenia kryptografie a celú architektúru vozidla,“ vysvetľuje Kocián.
Dlhý proces
Osobitná pozornosť sa venuje prvkom, ktoré môžu zasiahnuť priamo do riadenia. U nich je vyžadovaná zvýšená úroveň zabezpečenia. Dôležité sú tiež tzv. vektory útoku, teda cestičky, ktorými si hackeri hľadajú cestu do systémov vozidla. „Je zrejmé, že nedostatočne šifrovaná komunikácia medzi autom a jeho riadiacimi jednotkami, alebo aj vzdialenými servermi, je najčastejšie zneužívanou slabinou. Nasleduje protokol, ktorým komunikuje vozidlo a jeho elektronický kľúč, ďalej potom zbernice ovládajúce samotné riadiace jednotky, ale aj palubný infotainment, ktoré často pripájame cez mobilné siete či Wi-Fi do okolitého sveta. Alebo ho prepojíme s mobilným telefónom plným aplikácií, čím vystavíme vozidlo ďalším potenciálnym útokom zvonku,“ vymenúva Kocián závery z pravidelne zverejňovaných bezpečnostných analýz.
V rámci samotného procesu homologizácie, ktorý trvá rádovo mesiace a z toho len samotné minimálne testovanie zhruba štyri týždne, dochádza k analýze architektúry dodaného vozidla, následne k simulovaným útokom, ktoré preveria všetky slabiny a nakoniec k starostlivému vyhodnoteniu laboratórnych výsledkov. „Naši špecialisti musia rozumieť nielen softvérovej architektúre a možným rizikám, ale tiež disponujú hlbokou znalosťou automobilov a ich vývoja, aby mohli predvídať potenciálne slabiny a zamerať sa na ne,” vysvetľuje Kocián a dodáva, že aktívne skúšky a ich vyhodnotenie sú iba špičkou ľadovca: „Kvôli komplexnosti moderných automobilov nemožno dnes preverovať len hotový výrobok, to by bolo finančne a časovo nesmierne komplikované. Už pri vývoji automobilu treba priebežne preverovať jednotlivé komponenty. Našou misiou je tak aj pripravovať firmy na to, aby ich výrobky mohli byť bezproblémovou súčasťou celého automobilu. Celý proces prípravy vozidla na homologizáciu, od prvých konzultácií po záverečné skúšky zaberie až dva roky.”
Simulované útoky
Kľúčovou časťou aktívnych skúšok sú simulované útoky. Pri vývoji vozidla ich vykonáva samotná automobilka, ktorá má veľký záujem na tom, aby vozidlo testom v TÜV SÜD prešlo a homologizáciu získalo. Ide o exaktné a opakovateľné postupy, ktorých účelom je overenie eliminácie či zmiernenie potenciálnych rizík. Už spomínaný predpis č. 155 konkrétne uvádza ako príklady 70 problematických miest, ale je iba rámcový, pretože zmeny sa v tejto oblasti dejú neustále a rýchlo.
„Automobilky získavajú homologizáciu, ktorá je platná v čase uvedenia na trh, ale samy následne musia strážiť bezpečnostnú situáciu a v prípade napadnutia svojich vozidiel hackermi majú povinnosť zasiahnuť. Podobne ako v prípade bezpečnostnej diery v operačných systémoch mobilných telefónov môžu ponúknuť update softvéru bezdrôtovou aktualizáciou, v priebehu pravidelných servisných prehliadok alebo v rámci zvolávacej akcie vykonať zásadnejšie zmeny. Zároveň musia vypracovať o bezpečnostných incidentoch protokoly, ktoré sa raz ročne odovzdávajú spoločnosti TÜV SÜD Czech. Tá potom rozhodne, či homologizácia stále platí, alebo je potrebné opätovné otestovanie,” popisuje ďalšie detaily nového predpisu Jan Hnilica, vedúci sekcie integrovaného testovania v TÜV SÜD Czech.
Len pred niekoľkými dňami sme písali o Porsche Macan so spaľovacími motormi, ktorého predaj bude z uvedeného dôvodu na jar 2024 ukončený. Viac informácií o tejto téme nájdete TU.