Tehnologija je ušla u sve sfere života, a naši automobili nisu izuzetak. Postali su računari na točkovima, opremljeni senzorima, softverom i povezivošću koja pruža sigurnost i udobnost. Međutim, kao i sve tehnološke inovacije, i ova nosi rizike, čineći automobile ranjivima na cyber napade.
Sama činjenica da neko može hakovati vozilo i preuzeti kontrolu nad njim je zastrašujuća, pretvarajući scenarije iz filmova u stvarnost. Dodamo li tome činjenicu da softver u automobilima obrađuje i pohranjuje naše lične podatke, ovaj strah dobija novu dimenziju.
U slučaju sigurnosnog propusta, podaci poput informacija o vožnji, kontakata, evidencije poziva, poruka, pa čak i lokacije mogu završiti u pogrešnim rukama. Odgovornost proizvođača raste, ne samo u pogledu fizičke sigurnosti, već i u pogledu cyber sigurnosti, jer su ova dva aspekta neraskidivo povezana.
Ako neko misli da hakovanje automobila nije realna prijetnja, treba još jednom razmisliti. Godine 2024, grupa istraživača predvođena Samom Curryjem otkrila je ranjivost u Kia-inom web portalu koja im je omogućila preuzimanje kontrole nad internet-povezanim funkcijama bilo kojeg Kia vozila proizvedenog nakon 2013. godine. Isti istraživači uspjeli su i daljinski oteti i pratiti određene Subaru modele.
Prema izvještaju VicOne-a, automobilska industrija se suočila s troškovima cyber napada u iznosu od 22,5 milijardi dolara. Ovo uključuje 20 milijardi dolara zbog curenja podataka, 1,9 milijardi dolara zbog zastoja sistema i 538 miliona dolara štete od ransomware napada.
Cyber rizici za automobilske sisteme
Automobilski sistemi suočavaju se s raznim prijetnjama, uključujući daljinske napade, fizičke napade, softverske ranjivosti i maliciozni softver.
- Daljinski napadi: Vozila su danas opremljena Bluetoothom, Wi-Fi-jem i mobilnim mrežama radi praktičnosti i funkcionalnosti, ali ako ti sistemi nisu pravilno zaštićeni, hakeri mogu daljinski pristupiti mreži vozila.
- Fizički napadi: Vozila imaju dijagnostičke portove (poput OBD-II) namijenjene održavanju i rješavanju problema, ali ako napadači dobiju fizički pristup vozilu, mogu ih iskoristiti. Osim toga, unutrašnje mreže vozila, poput CAN sabirnice, koja povezuje ključne sisteme poput kočnica i motora, podložne su manipulaciji, omogućavajući hakerima upravljanje brzinom, kočenjem ili čak onemogućavanje sigurnosnih funkcija.
- Softverske ranjivosti: Kao i svaki softver, greške i slabosti mogu se iskoristiti, omogućavajući napadačima neovlaštenu kontrolu ili krađu osjetljivih podataka.
- Zlonamjerni softver i ransomware: Hakeri mogu ubaciti maliciozni softver u sisteme vozila, bilo daljinski ili putem zaraženih USB uređaja. Ransomware može zaključati kritične sisteme, čineći vozilo neupotrebljivim dok se ne plati otkupnina.
Mreže unutar vozila, poput CAN i LIN sabirnica, upravljaju ključnim funkcijama, od motora do podešavanja sjedišta, ali nisu dizajnirane s fokusom na sigurnost, što ih čini podložnima napadima.
Kako bi zaštitili ove sisteme, implementiraju se mjere poput enkripcije (za zaštitu podataka), autentifikacije (za provjeru identiteta uređaja) i sistema za otkrivanje upada (IDS) (za prepoznavanje sumnjivih aktivnosti) s ciljem sprečavanja neovlaštenog pristupa i manipulacije.
Buduće sigurnosne prijetnje
Autonomna vozila donose revolucionarne promjene u transportnoj industriji, ali činjenica da nemamo kontrolu nad vozilom, iako zvuči napredno, takođe je razlog za zabrinutost.
U budućnosti ćemo vjerovatno imati robo-taksije sa autonomijom nivoa 5, gdje će automobili moći raditi potpuno bez ljudske intervencije, što predstavlja ogroman izazov u rješavanju svih mogućih problema koji će se pojaviti. Prije nego što ova vozila izađu na ceste, ključno je da proizvođači i regulatori prioritetno rješavaju cyber sigurnost kako bi osigurali sigurnost tehnologije i putnika.
Sigurnost autonomnih vozila zahtijeva zaštitu komunikacije između AI algoritama, senzora (LiDAR, radar, kamere) i cloud servisa. Ove veze su kritične za rad i interakciju autonomnih vozila s okruženjem.
V2X komunikacija i OTA ažuriranja mogli bi biti veliki sigurnosni rizici koje proizvođači moraju adresirati.
- V2X (Vehicle-to-Everything) omogućava komunikaciju vozila s okruženjem, poboljšavajući sigurnost na cestama i efikasnost saobraćaja.
- OTA (Over-the-Air) ažuriranja omogućavaju bežično nadograđivanje softvera u vozilu. Međutim, presretanje ovih ažuriranja može dovesti do ozbiljnih posljedica, uključujući krađu podataka i preuzimanje kontrole nad vozilom.
Američka vlada izrazila je zabrinutost zbog korištenja kineske i ruske tehnologije u autonomnim vozilima, predlažući zabrane takvog softvera i hardvera kako bi smanjila rizik od špijunaže i nacionalne sigurnosne prijetnje. Ovo dodaje geopolitičku dimenziju u domenu cyber sigurnosti automobila.
Regulativni okvir
Problem se može kriti u različitim pristupima regulaciji između zemalja, pa je globalna saradnja ključna za uspostavljanje cyber standarda za autonomna vozila.
- EU: Generalna sigurnosna regulativa 2019/2144 postavlja stroge zahtjeve za cyber sigurnost novih vozila, uključujući sigurna softverska ažuriranja i sigurnosne mjere zasnovane na riziku.
- SAD: Oslanja se na dobrovoljne smjernice Nacionalne administracije za sigurnost saobraćaja (NHTSA), koje potiču proaktivne sigurnosne prakse, ali nisu obavezujuće.
ISO i SAE igraju ključnu ulogu u oblikovanju industrijskih standarda, posebno kroz ISO/SAE 21434, koji definiše okvir za osiguranje sigurnosti vozila tokom cijelog životnog vijeka.
Cyber svijest vozača
Ne dolazi svaka opasnost od složenih napada – ponekad prijetnja dolazi od samog vozača.
Naprimjer, u napadima putem socijalnog inženjeringa i phishinga, vozač može dobiti e-mail koji izgleda kao da dolazi od proizvođača automobila, upozoravajući na kritično ažuriranje softvera. Ako klikne na link i prati upute, nesvjesno omogućava upad napadača.
Aplikacije povezane s automobilima takođe mogu biti sigurnosni rizik, posebno ako koriste nesigurne Wi-Fi mreže.
Proizvođači i stručnjaci za sigurnost moraju povećati svijest korisnika, objašnjavajući im kako zaštititi svoje podatke i koristiti sigurne mreže.
S obzirom na rast povezanih automobila i autonomnih sistema, automobilska industrija mora nastaviti s proaktivnim cyber strategijama kako bi ostala korak ispred prijetnji.
Izvor:Help Net Security