Мнения / Кибербезопасность

В преддверии катастрофы: хакеры добрались и до наших машин

Производители автомобитей не гарантируют своим клиентам защиту от киберпреступников.

29 ноября 2016, 20:53

Сейчас в мире существует 112 млн подключенных автомобилей. Однако производители машин не гарантируют своим клиентам защиту от киберпреступников.

Исследователи считают, что хакеры могут взломать программную систему транспортного средства, находясь где угодно. А некоторые даже говорят, что мы находимся в преддверии катастрофы.

Давайте разберемся, что к чему.

Угроза есть

Производители машин активно выпускают автомобили, подключенные к интернету. Функции 4G LTE и Bluetooth являются стандартными для многих моделей. С их помощью водитель остается в курсе событий даже тогда, когда находится за рулем. В будущем машины смогут подключаться к умным часам, домам и городам благодаря IoT-технологии.

Джош Корман, директор Cyber Statecraft Initiative в Atlantic Council [прим. Rusbase – научно-исследовательский центр, который изучает экономические и технологические проблемы мира], предупреждает о том, что эти системы опасны. По его словам, производители автомобилей не могут гарантировать защиту от киберпреступников.

Он сравнивает угрозу подключенных автомобилей с когда-то популярным строительным материалом, который, как выяснилось позже, был причиной возникновения рака. Ранее асбест был настолько популярен, что его использовали везде. Это логично, учитывая такие его достоинства, как огнестойкость, легкость и дешевизна. Так и с IoT-технологией. Ее преимущества очевидны, но вопрос о кибербезопасности остается открытым.

Корман не единственный противник технологии. В апреле Счетная палата США опубликовала исследование, в котором Управлению транспорта настоятельно советовали заняться предотвращением кибернетических атак на автомобили. Согласно отчету, хакеры могут взломать систему, находясь где угодно. Это доказали исследователи из Питтсбурга, которые проникли в системы автомобиля Jeep Cherokee, ехавшего по трассе в Сент-Луисе.

О возможностях хакеров, взламывающих автомобильные системы, известно еще с 2010 года, когда научные работники Вашингтонского университета и Калифорнийского университета в Сан-Диего доказали вероятность того, что программные системы автомобиля можно взломать и контролировать.

На данный момент в мире существует 112 млн подключенных автомобилей. По прогнозам финансовой компании IHS Markit, к 2023 году индустрия будет тратить $749 млн в год на борьбу с проблемами безопасности. Согласно консалтинговой компании Gartner, к 2025 году количество подобных машин удвоится, достигнув четверти миллиарда.

Можем ли мы противостоять?

На данный момент взлом автомобильных систем исследовали только ученые, но чиновники также знают о потенциальных угрозах.

В ответ на исследование Счетной палаты США представители Управления транспорта начали разработку законопроектов о кибербезопасности, которые должны быть обнародованы в скором времени. На данный момент существует политика правительства касательно автоматизированных машин. Согласно документу, производители машин должны разработать системы для быстрого обнаружения и восстановления функций подключенных машин, а также уведомлять правительство о возможных угрозах кибербезопасности.

Уже сегодня существуют компании, выявляющие потенциальные проблемы. Так, Центр анализа и обмена информацией о транспорте (Auto-ISAC), с которым сотрудничают главные производители и поставщики машин, уведомил о более чем 30 угрозах.

В июле центр опубликовал советы для производителей и поставщиков автомобилей. В документе признается тот факт, что создание машины без каких-либо рисков невозможно, поэтому необходимо проводить соответствующий анализ угроз. Но на данный момент практически все производители машин не имеют такой возможности.

Кроме того, Джош Корман опубликовал программу кибербезопасности автомобилей. Автор рекомендует разработать метод вещественного доказательства наподобие черного ящика, который проследит за попытками хакеров проникнуть в систему транспортного средства.

Но создать подобное устройство записи данных нелегко. «В первую очередь хакеры удаляют данные, чтобы скрыть свои следы, – говорит Корман. – Поэтому создание подобного устройства требует больших усилий».

Нужны независимые эксперты

Индустрии необходима помощь независимых исследователей.

На данный момент три производителя автомобилей спонсируют программы, благодаря которым независимые ученые исследуют возможные угрозы и предоставляют информацию компаниям перед тем, как данные становятся доступными обществу. Tesla Motors предлагает «золотую монету» и экскурсию по фабрике тем экспертам, которые найдут и укажут уязвимые места. А в General Motors и Fiat Chrysler Automobiles для исследователей запустили информационную программу.

В 2015 году производители выступили за то, чтобы запретить независимым экспертам изучение программного обеспечения в их машинах. Но исследователи и прочие энтузиасты защитили свое право изучать автомобили, сославшись на закон об авторском праве в цифровую эпоху.

В General Motors отношение к экспертам быстро изменилось, когда хакер Сэми Камкар сказал компании, что обнаружил изъян в приложении для смартфона OnStar, что позволило ему контролировать транспортное средство на расстоянии. Это заставило General Motors обратиться к специалистам, которые уже в течение 48 часов отправили компании результаты своих исследований.

«Мы поняли, насколько важно сотрудничать с экспертами, – сказал Джефф Массимилла, глава отдела кибербезопасности в General Motors. – Да, мы производим автомобили высокого качества, но не знаем, как противостоять хакерам самостоятельно. Благодаря нашей программе мы получили много полезной информации».

В преддверии катастрофы

Выше перечисленных программ по предотвращению взломов автомобильных систем недостаточно. Необходимо создать стандарты кибербезопасности автомобилей. Количество информации о недостатках системы растет. Начиная с 1 октября, эксперты имеют законное право обнародовать результаты своих исследований.

У большинства производителей не существует программ сотрудничества с независимыми специалистами. Но злодеи не будут ждать, пока у всех компаний появятся подобные программы. Проблемы с безопасностью могут привести к кризису, а если из-за взлома системы пострадают или погибнут люди, выпуск подключенных автомобилей запретят.

Если вас волнует проблема кибербезопасности подключенных автомобилей и вам интересны последние разработки по защите электрокаров от хакерских атак, приходите на саммит Connected Car, который пройдёт 20–21 декабря в КВЦ «Сокольники».

Регистрация на мероприятие доступна по ссылке.

Материалы по теме: