Samochody na celowniku cyberprzestępców
Zagrożenia związane z hackowaniem samochodów, o których kiedyś mówiło się jako o futurystycznych scenariuszach zdążyły się ziścić. Dołączyły do nich nowe, wynikające z przetwarzania coraz bardziej szczegółowych danych kierowców. Choć niektóre mechanizmy ataków udało się zneutralizować i zbudować odpowiednie zabezpieczenia – widać na horyzoncie nowe zagrożenia.
Coraz więcej zaawansowanych rozwiązań, coraz bardziej skomplikowana elektronika i coraz większe możliwości zbierania i przetwarzania danych – to droga, którą branża automotive podąża już od dawna. Niestety, wraz z technologiami przyspieszają także cyberprzestępcy. Mimo to producenci nie zawsze traktują te zagrożenia poważnie.
– Koncerny samochodowe od wielu lat intensywnie rozwijają nowe rozwiązania z pogranicza motoryzacji i IT, wręcz prześcigając się w innowacjach. Niestety im bardziej nowatorskie rozwiązanie, tym większe także ryzyko błędów, które mogą zdemaskować hakerzy. O ile w kwestii bezpieczeństwa użytkowników producenci samochodów nie mogą iść na kompromis, o tyle bezpieczeństwo danych bywa niestety zaniedbywane. Można zaryzykować stwierdzenie, że technologiczne przyspieszenie w motoryzacji wciąż często odbywa się bez hamulców bezpieczeństwa IT. Tymczasem potencjalnych mechanizmów ataków jest sporo – komentuje Kamil Sadkowski, starszy specjalista ds. cyberbezpieczeństwa ESET.
Cyberkradzież samochodów
Dyskusja na temat hackowania samochodów trwa od wielu lat. Już na starcie mariażu motoryzacji z IT specjaliści ds. cyberbezpieczeństwa przestrzegali, że rozwiązania takie jak elektroniczne kluczyki czy aplikacje zintegrowane z systemem pokładowym pojazdów mogą być dogodnymi „punktami wejścia” dla cyberprzestępców.
Jednym z pierwszych koncernów, który potraktował te zagrożenia poważnie była Tesla, która już dawno temu rozwinęła swój program tzw. bug bounty – zachęcający etycznych hakerów do łamania swoich systemów i wykrywania podatności nowych modeli na ataki w zamian za wysokie nagrody pieniężne.
Szerokim echem w branży i mediach odbił się także eksperyment, jaki przeprowadzili w 2015 roku specjaliści ds. zabezpieczeń Charlie Miller oraz Chris Valasek. Udało im się przedostać do systemu audio samochodu kierowanego przez dziennikarza Wired, Andy’ego Greenberga i przejąć kontrolę m.in. nad klimatyzacją, hamulcami i układem kierowniczym. Ten przykład przyczynił się do poprawy zabezpieczeń marki Jeep.
Niemal dekadę później wciąż jednak słyszymy cyklicznie nie tylko o kolejnych atakach typu car hacking, ale także o kolejnych podatnościach wykrywanych przez specjalistów ds. cyberbezpieczeństwa i tzw. etycznych hakerów w nowych modelach uznanych marek. To zagrożenie zdecydowanie nie odeszło do przeszłości.
Nieuprawnione użycie danych kierowców
Nowoczesne pojazdy zbierają coraz więcej danych o użytkownikach dotyczących np. tego dokąd i kiedy jeżdżą, gdzie się zatrzymują, kiedy tankują pojazd, czy przestrzegają ograniczeń prędkości itp. Wszystkie te informacje mogą zostać użyte przeciwko kierowcom np. jeśli dojdzie do wycieku i wpadną one w niepowołane ręce. Dlatego eksperci podkreślają, że wiarę w nowe technologie warto uzupełnić ostrożnością i dobrymi praktykami, takimi jak monitorowanie aktualności oprogramowania na urządzeniach, którym umożliwiamy dostęp do komputera pokładowego pojazdu i uważna kontrola stanu zabezpieczeń podczas przeglądów. Należy także zwracać uwagę na wszelkie podejrzane, nieprzewidziane sytuacje, takie jak samoistne włączanie się radia czy wycieraczek. Mogą świadczyć o próbie ataku.
Przetwarzanie danych osobowych w ruchu samochodowym to także dziedzina, która podlega od dłuższego czasu zaawansowanym regulacjom prawnym, m.in. z zakresu RODO. Mimo to nie tylko użytkownicy, ale także dostawcy systemów oraz producenci samochodów popełniają jeszcze w tej kwestii błędy. Niektóre z nich są proceduralne, inne – mogą doprowadzić do naruszenia bezpieczeństwa danych kierowców.
Przykładowo w ubiegłym roku w Dolnej Saksonii nałożono karę na koncern Volkswagen A.G., który w ramach testów nowego systemu wspomagającego kierowców zbierał dane za pośrednictwem wyposażonego w czujniki pojazdu testowego. Sąd uznał, że odbywało się to niezgodnie z zasadami RODO i nie dopełniono szeregu niezbędnych formalności. Dodatkowego kontekstu kwestii przetwarzania danych osobowych użytkowników pojazdów dodaje dyskusja na temat celowości i zasad udzielania dostępu do takich danych podmiotom zewnętrznym, takim jak np. ubezpieczyciele.
Ataki na koncerny przetwarzające informacje
Na celowniku cyberprzestępców są nie tylko kierowcy, ale także same koncerny samochodowe. Nigdy wcześniej producenci samochodów nie przechowywali i nie przetwarzali tak wielu szczegółowych danych swoich klientów. To informacje, które hakerzy mogą, np. sprzedawać w darknecie. Zyskują one zdecydowanie na atrakcyjności w połączeniu z wiedzą, iż dotyczą ludzi o określonym potencjale finansowym, np. takich, których stać na pojazdy będące wyznacznikiem pewnego statusu.
Mechanizm takiego ataku wykorzystali niedawno m.in. cyberprzestępcy biorący na celownik koncern Ferrari podczas ataku typu ransomware. W marcu 2023 roku Ferrari NV, spółka macierzysta producenta luksusowych samochodów z siedzibą w Maranello podała do publicznej wiadomości informację o tym, że padła ofiarą ataku. Cyberprzestępcy zwrócili się do niej z żądaniem okupu w zamian za wykradzione dane klientów. Firma przeprosiła poszkodowanych, informując jednocześnie, że faktycznie wykradziono informacje takie jak imiona, nazwiska, adresy, adresy e-mail i numery telefonów, ale nie dane finansowe, szczegóły dotyczące transakcji czy inne wrażliwe informacje. Koncern zadeklarował, że nie wchodzi w żadną komunikację z cyberprzestępcami i koncentruje się na wzmocnieniu systemów IT, aby zapobiec takim sytuacjom w przyszłości.
– Hakerzy mogą wyrządzić wiele szkód nawet dysponując ułamkiem danych, które wyciekły. Często nie zdajemy sobie sprawy ze znaczenia skradzionych informacji i tego, co można z nimi zrobić. Warto mieć świadomość, że nawet szczątkowe informacje, jeśli zostaną użyte w połączeniu z innymi, mogą stać się wartościowym materiałem dla przestępców działających w darknecie i na czarnym rynku obrotu danymi. Cyberprzestępcy mogą np. sprytnie i szybko tworzyć komunikaty phishingowe skierowane do osób, których dane wyciekły, aby w razie potrzeby wydobyć jeszcze więcej informacji. Informacja o statusie majątkowym ofiar także może mieć dla nich dużą wartość i otworzyć kolejne możliwości wyrafinowanych ataków – podsumowuje Kamil Sadkowski.