Povinná ochrana aut před kyberútoky začne plně platit v příštím roce
Homologační předpis EU na ochranu před kybernetickými útoky začne platit pro všechna nová auta od července 2024. Jedním z míst, která auta po této stránce prověřují, je laboratoř TÜV SÜD Czech u Mladé Boleslavi.
Moderní auta nejsou jen kola, motor a volant, ale také obrovské množství výpočetní techniky. Navíc je řada z nich trvale připojená k internetu, aby mohla stahovat data o hustotě dopravy v reálném čase nebo aby šlo jejich software na dálku aktualizovat. To však má úskalí – náchylnost aut k tomu, aby se do nich po internetu „naboural“ někdo nepovolaný.
Automobilky dosud řešily kybernetickou bezpečnost svých aut veskrze individuálně a v prezentacích nových modelů jí bylo věnováno mnohem méně prostoru – pokud vůbec nějaký – oproti tomu, co internetové připojení ve voze zákazníkovi nabízí za výhody. Rizik si ale nemusí vůbec být vědomi.
Od července roku 2024 však budou muset být všechna auta nově registrovaná na území EU chráněná proti kybernetickým útokům; pro nově homologovaná auta to platí už od července roku 2022. Legislativní předpis, který má označení UN/UNECE WP.29, podle webu Eurocybcar.com obsahuje povinnost výrobců chránit proti kybernetickým útokům auta po celou dobu jejich životního cyklu. Zda je vůz dostatečně chráněn, má kontrolovat nezávislá autorita.
Pokud by vůz příslušný certifikát neměl, jeho výrobce by se vystavoval nejen pokutě až 30 tisíc eur (zhruba 734 tisíc korun) za každé vozidlo a zrušení homologace daného modelu. „U nedostatečně zabezpečených vozů hrozí celá řada útoků. Hackeři mohou převzít kontrolu nad vozem, nebo v případě firemních aut mohou zablokovat celou flotilu vozů a požádat o výkupné, tak jako se to děje v případě útoků na počítačové sítě velkých firem či státních institucí. Může jít také o nenápadnější útoky, např. krádež citlivých dat: geolokace vozu, telefonní kontakty či zprávy a další důležité údaje,“ vyjmenovává možné scénáře Vladislav Kocián, vedoucí laboratoře kybernetické bezpečnosti v TÜV SÜD Czech.
„V praxi musí být zajištěna jak ochrana jednotlivých součástek, tak i to, aby jejich prostřednictvím nebyl napaden automobil jako celek. Zcela zásadní je dokumentace potvrzující, že při vývoji byly zvoleny správné technologie a postupy,“ dodává Kocián. Pracoviště TÜV SÜD Czech v Bezděčíně je jedním z pracovišť, které tuto certifikaci automobilkám můžou dodat.
V evropských předpisech je věnována zvýšená pozornost těm prvkům, které mohou přímo zasáhnout do řízení – musí být chráněny důsledněji. Důležité jsou také tzv. vektory útoku – cesty, kudy se hackeři dostanou do systémů vozu. Nejčastěji zneužívanou slabinou je nedostatečně šifrovaná komunikace mezi řídícími jednotkami vozu a mezi autem a vzdálenými servery, další z cest je útok na protokol komunikace vozu s klíčkem nebo komunikace smartphonu s infotainmentem vozu.
Proces homologace zahrnuje zhruba čtyři týdny testování, jehož součástí jsou simulované útoky, které následují analýzu architektury zkoušeného vozu. Předpis konkrétně uvádí 70 zranitelných míst, ovšem protože vývoj v této oblasti jde velmi rychle, je to pouze rámcový seznam.
„Automobilky získávají homologaci, která je platná v době uvedení na trh, ale samy následně musí hlídat bezpečnostní situaci a v případě napadení svých vozů hackery mají povinnost zasáhnout. Podobně jako v případě bezpečnostní díry v operačních systémech mobilních telefonů mohou nabídnout update softwaru bezdrátovou aktualizací, v průběhu pravidelných servisních prohlídek nebo v rámci svolávací akce provést zásadnější změny,“ uzavírá Jan Hnilica z TÜV SÜD Czech.
Doporučujeme
Škoda
Volkswagen
Cupra
Mercedes-Benz
Ford
BMW
Audi
Opel
Renault
Toyota
Mazda
Fiat