Кибербезопасность для водителей: как избежать кибератак на подключенные автомобили?
В начале января на Всемирном экономическом форуме в Давосе были озвучены самые серьезные глобальные риски 2018 года. В четверку, сразу после рисков, связанных с экстремальными погодными явлениями, стихийными бедствиями и деградацией окружающей среды, вошли кибератаки. Сегодня они вызывают наибольшую озабоченность у предпринимателей в странах с развитой экономикой. Обеспокоенность кибербезопасностью обусловлена зависимостью людей от цифровых технологий. К 2020 году эксперты ожидают, что человечество будет пользоваться 20 млрд подключенных устройств, что безусловно расширяет возможности для кибератак. Сегодня CISO компании Bright Box Николай Агринский рассказывает о том, как избежать кибератак на свой подключенный автомобиль и как обезопасить клиентов автопроизводителей и автодилеров.
Автомобили перестали быть физически независимыми от средств связи и сетей в конце 20 века, и по мере того, как расширялись возможности так называемых подключенных автомобилей, увеличивался потенциал для кибератак. Сегодня вопросы развития IT технологий не рассматриваются без учета этой проблемы.
Интернет изменил работу с компьютером, как сегодня подключение меняет автомобиль в целом и дорожную среду. Когда персональные компьютеры только начали входить в нашу жизнь, вредоносные программы представляли основную проблему информационной безопасности. Компьютерный вирус мог привести к порче данных, а иногда и повредить сам компьютер. О краже данных или неправильном использовании техники никто не задумывался. Каналы связи были очень медленными, и подключаться к интернету или другим сетям могли только «избранные». В то время самое страшное, что могло произойти, — это покупка нового компьютера, если поврежден старый. Но как только интернет стал доступным, и стоимость оборудования уменьшилась — ситуация изменилась. Вирусы, конечно, остались очень неприятным событием, но мы уже боимся не покупки нового компьютера, а потери своих данных, нарушения в работе критических систем, от которых зависит наша жизнь.
То же самое сегодня происходит с автомобилем. Раньше автовладелец был озадачен только сохранением собственной машины — никто не хочет обнаружить под окнами отсутствие купленного недавно транспортного средства. Но как только автомобиль был подключен к сети — все изменилось, обнаружился ряд дополнительных, не менее весомых, чем угон, угроз.
Основная и самая серьезная, если будет совершена кибератака, — угроза жизни водителя. В 2015 году Chrysler отозвал 1,4 миллиона автомобилей после того, как пара хакеров продемонстрировала изданию WIRED, что они могут удаленно контролировать систему Jeep через Интернет. Хакерам удалось получить в распоряжение включение и выключение кондиционера, аудиосистемы, отключение тормозов и вмешательство в рулевое управление на ходу. В 2016 и 2017 годах атаке подвергся автомобиль Tesla. Исследователи безопасности из Keen Security Lab продемонстрировали атаку на Tesla Model S. Они смогли активировать тормоза, открыть двери и сложить зеркала, находясь на расстоянии 20 км от автомобилей. Позже один из хакеров взломал систему управления электропитанием автомобиля Tesla Model S P85 и модифицировал ее, установив на нее оборудование для автопилота, программное обеспечение от двухмоторных версий Tesla. Хакерский взлом автомобиля может серьезно навредить физическому состоянию автовладельца. Но пока, к счастью, пугающие эксперименты хакеров помогают автопроизводителям и разработчикам подключенных систем увеличить уровень безопасности выпускаемой продукции.
Вторая угроза относится к данным. В ноябре 2017 года Uber сообщил о хищении данных 57 млн своих пользователей. Хакеры украли имена, адреса электронной почты и номера телефонов 50 миллионов пассажиров Uber по всему миру. В распоряжении хакеров также оказалась личная информация о 7 миллионах водителей, в том числе около 600 000 номеров водительских удостоверений США. История поездок и пользования автомобилем, персональные и статистические данные — все может стать объектом атаки.
А что вы скажете про кражу ваших данных? Автомобиль уже давно представляет собой аналог рабочего кабинета. Люди проводят в машине деловые переговоры по громкой связи, не отрываясь от руления, обсуждают планы на жизнь, разговаривают со своими детьми. Вы готовы поделиться с миром этой информацией? Подключившись к системе автомобиля, не производя физического взлома, можно удаленно получить доступ ко всему, что происходит внутри. И чем крупнее бизнес, тем страшнее будет кража подобных корпоративных и личных данных. Сам автомобиль становится менее ценным, чем информация, которую можно с него считывать. Так что угон, от которого человек скорее всего застрахован, и первая названная нами угроза, несет сегодня минимальный ущерб, в отличие от всех остальных потенциальных происшествий.
Конечно, чтобы избежать описанных угроз, производители автомобилей и сопутствующего оборудования должны разрабатывать безопасные системы. В случае крупных консорциумов необходимы публикации стандартов и определение требований: OEM должны согласовывать требования и выпускать новые инновационные системы, противостоящие возможным кибератакам. При разработке важно уделить внимание технологической и процессной части, проверив организацию среды разработки, среды тестирования, проведя обязательные тесты, заботясь о вопросах перемещения продукта, месте хранения кода по безопасности и требований, которые позволяют сделать его безопасным.
Давайте сейчас опять вернемся к теме персональных компьютеров. Мы видим, что сегодня производится очень много качественных систем безопасности, которые позволяют возводить серьезные средства защиты, однако пользователи в своем поведении не меняются. И сейчас самое слабое звено в мире информационной безопасности — это человек. К сожалению, мы очень часто фокусируемся на технической составляющей, забывая о людях. Вы можете поставить крепкую железную дверь, но если ваш маленький сын или старенькая мама будет открывать ее любому позвонившему — насколько это повысит уровень безопасности?
Защита автомобиля должна быть на высоком уровне, но противодействие необходимо и со стороны пользователей. Проще всего угнать незакрытый автомобиль или машину без сигнализации. С кибербезопасностью тоже самое. Если водитель с подключенным к автомобилю приложением не соблюдает правила безопасности — не имеет пароля к телефону и сервису или использует слишком простой способ идентификации, не выключает блютуз в автомобиле — это может привести к определенным проблемам.
Мы, в Bright Box, осознавая важность безопасности для конечных пользователей и обладая экспертизой в области обеспечения защищенности connected car, приняли решение запустить краткий онлайн-курс «Кибербезопасность для водителей» с практическими советами.
Из курса вы узнаете, как обезопасить себя и свой автомобиль от злоумышленников при использовании современных технологий, на что надо обращать внимание и какие правила требуется соблюдать, чтобы все из перечисленных угроз, не были осуществлены. Прохождение курса займет не более 10 минут. В конце вам будет предложено тестирование и сертификат об успешном завершении по результатам курса.
Записаться на курс!