Stejně jako počítače nebo telefony fungují i moderní auta jako potenciální „vysavače informací“ jejich uživatelů a představují poměrně snadné cíle hackerů s nedozírnými následky. Toto minové pole bylo až dosud prakticky legislativně neorané, ale povinnost zajistit ochranu před kybernetickými útoky prostřednictvím vozidla budou mít automobilky už od letošního července.
Kamarád Jakub mi nedávno vypravoval příhodu ze života: Pracuje jako správce počítačové sítě ve firmě se zhruba tisíci zaměstnanci a dvojnásobným počtem počítačů, několika desítek serverů atd...
Jednou večer mu volal majitel podniku, že otevřel emailovou aplikaci a před očima mu mizel obsah složky „doručená pošta“. Záhy se zjistilo, že z firemních počítačů zmizely i různé ovládací softwary k výrobním prostředkům, účetní údaje a mnoho dalšího.
Druhý den ráno zazvonil v sídle firmy telefon. Na jeho druhém konci jakýsi nevzrušený ženský hlas mluvící perfektní angličtinou s nezaměnitelným ruským přízvukem oznamoval, že byla ukradena citlivá data... a že za tolik a tolik milionů je vrátí zpět.
Kamarádův zaměstnavatel bez okolků souhlasil. Protože škody, které by definitivní ztráta dat způsobila, by byly mnohonásobně větší než požadované „výkupné“.
„Diskutovat nemělo smysl, ti dotyční obvykle sedí kdesi ‚daleko za Uralem‘ a jsou naprosto nepostižitelní. I když zjistíte jejich identitu, je vám to k ničemu, protože nikam ven necestují. Takhle to chodí běžně,“ konstatoval Jakub.
Že se vám nic takového nemůže stát? Možná ne tak ve velkém, ale jinak naprosto snadno – a třeba i prostřednictvím elektronických systémů auta, jejichž komfortní služby si jinak nemůžete vynachválit.
Legislativa přichází pozdě, ale přece
Při pohybu na internetu zabezpečují uživatelé svou spotřební elektroniku antivirovým programem či firewallem, protože jde o účinné štíty, které je ušetří mnoha starostí. Operační systémy našich počítačů a mobilních telefonů jsou navíc pravidelně aktualizovány a hlídány.
„U nedostatečně zabezpečených aut hrozí celá řada útoků. Hackeři mohou kupříkladu u firemních vozů klidně zablokovat celou flotilu a požadovat ‚výkupné‘, tak jako se to děje v případě útoků na počítačové sítě velkých firem či státních institucí. Může jít také o nenápadnější útoky, např. krádež citlivých dat – geolokace vozu, telefonní kontakty či zprávy a další citlivé údaje,“ vyjmenovává možné scénáře Vladislav Kocián, vedoucí laboratoře kybernetické bezpečnosti TÜV SÜD Czech z Bezděčína, která je jednou z mála na světě s certifikací homologovat ochranné mechanismy proti kyberútokům na automobily.
Počet napadení aut hackery dlouhodobě stoupá, ale ochranu svých modelů řešily automobilky dosud individuálně a hlavně dobrovolně – konkrétní legislativa totiž prakticky neexistovala. To se od letošního července mění.
Podle evropského nařízení UNECE R 156 bude v EU povinné všechny nově registrované vozy od července 2024 homologovat proti kyberútokům. Nařízení chtějí přijmout i další země, jako je Jižní Korea či Japonsko. U aut se tak konečně dočkáme podobně robustní ochrany jako u počítačů nebo telefonů.
„V praxi musí být zajištěna jak ochrana jednotlivých součástek, tak i to, aby jejich prostřednictvím nebyl napaden automobil jako celek. Zcela zásadní je dokumentace, která potvrzuje, že již při vývoji byly zvoleny správné technologie a postupy,“ vysvětluje Vladimír Kocián.
Životu nebezpečné
Majitelé nových aut většinou vůbec netuší, jakým rizikům může být jejich vůz vystaven. Současné vozy využívají až 100 milionů řádků softwarového kódu, a jejich počet každým rokem ve velkém přibývá. V praxi to znamená zapojení desítek až stovek řídicích jednotek. Ty jsou navíc čím dál tím „chytřejší“ a jejich výpočetní výkon roste raketovým tempem.
Jenomže čím více připomínají moderní auta počítače, tím více přebírají i jejich slabiny. Pro profesionální hackery je „nabourání“ těchto systémů výzvou. Nejde přitom vůbec jen o osobní údaje posádky, ale třeba také o cílené zásahy do řízení, jejichž důsledky není nutné popisovat.
„Chytrá“ auta je teoreticky možné už dnes „ukrást“ z pohodlí obývacího pokoje, resp. hackerského doupěte. Rozvoj systémů autonomního řízení a spojení s auty přes mobilní telefony je v tomto směru nesmírně vděčným terčem. Že vám to připadá jako sci-fi? Jenže dnes už je to realita...
Zvláštní pozornost proto bezděčínská laboratoř věnuje aktivním prvkům, jež mohou zasáhnout přímo do řízení. U nich je vyžadována zvýšená úroveň zabezpečení.
Důležité jsou také tzv. vektory útoku, tedy cestičky, kterými si hackeři hledají cestu do systémů vozu. Bezpečnostní agentura Upstream Security každoročně vydává zprávu o nejčastějších způsobech napadení nezabezpečených vozů. Z analýzy 1173 případů lze vyčíst nejcitlivější místa současných automobilů.
Těžko na cvičišti...
Klíčovou částí aktivních zkoušek jsou tzv. simulované útoky. Při vývoji vozu je provádí sama automobilka, která má primární zájem na tom, aby její vůz mohl získat homologaci. Jedná se o exaktní a zopakovatelné postupy, jejichž účelem je ověření eliminace či zmírnění potenciálních rizik.
Již zmíněný předpis č. 155 konkrétně uvádí jako příklady sedmdesát problematických míst – ale jde pouze o rámcové doporučení, protože změny se v této oblasti dějí rychle a neustále.
Testovací technici v laboratoři TÜV SÜD Czech musí neustále s hackery držet krok a kontinuálně se v dané oblasti vzdělávat. Během testů jsou to ale právě oni, kdo se snaží v roli „etických hackerů“ ochranu auta prolomit.
„Nejčastěji zneužívanou slabinou je v současnosti nedostatečně šifrovaná komunikace mezi autem a jeho řídicími jednotkami nebo i vzdálenými servery. Následuje protokol, kterým komunikuje vůz a jeho elektronický klíč, dále pak sběrnice ovládající samotné řídicí jednotky. Ale také palubní infotainment, který často připojujeme skrz mobilní sítě či Wi-Fi do okolního světa. Nebo ho propojíme s mobilním telefonem plným aplikací, čímž vystavíme vůz dalším potenciálním útokům zvenčí,“ shrnuje Vladislav Kocián závěry pravidelně zveřejňovaných bezpečnostních analýz.
Domácí prevence
Bez ohledu na systémovou ochranu lze kybernetickým útokům bránit i osobní prevencí. Začněte u renomované značky mobilního telefonu, kterým se k palubním systémům vozu pravidelně připojujete.
Pravidelné aktualizace jeho softwaru by měly případné útoky do značné míry eliminovat. Připlaťte si také za speciální ochranné programy ve stylu firewallu přímo u mobilního operátora.
Vyvarujte se neznačkových gadgetů objednaných z internetu (nejrůznější OBD čtečky a USB flashdisky od čínských výrobců). Nestahujte také různé zdarma distribuované „zázračné" aplikace s podezřelými účely.
A jezděte pokud možno jen do autorizovaných autoservisů, které disponují potřebným softwarovým vybavením pro aktualizaci ochrany vozidla.