В начале года на выставке CES 2020 были представлены сразу несколько концепций автомобилей будущего с элементами искусственного интеллекта. Ранее компания Tesla продемонстрировала свой новый электромобиль под названием Cybertruck, который вызвал неоднозначную реакцию. Некоторые утверждают, что это оживший с детского рисунка автомобиль, а другие считают, что это оригинальное видение будущего. Были также высказаны опасения по поводу безопасности необычной кубоподобной конструкции, так как в прототипе отсутствуют стеклоочистители, поворотники и боковые зеркала. Tesla умеет определять тренды, так что вполне возможно, что дизайн автомобилей будущего будет именно таким. Но каким должен быть киберкар с точки зрения безопасности?
Делимся мнением Александра Моисеева, директора по развитию бизнеса «Лаборатории Касперского», ключевой фигуры в компании по теме развития технологий и инноваций для кибербезопасности транспортных систем, а также инициатора партнёрства с командой Scuderia Ferrari.
Честно говоря, мне не нравится эта машина, и я бы не хотел ездить на ней. Но использование термина «кибер» в названии очень актуально для современных автономных транспортных средств. Со временем это будет важно не только для этого киберкара от Tesla, но и для автомобильной промышленности в целом. Сегодня всё больше и больше автомобилей становятся киберкарами, и в будущем, вероятно, каждая легковая машина станет киберавтомобилем. Хочу заметить, что слово «кибер» вовсе не означает, что у всех них будет многоугольный киберпанк-дизайн. Основное внимание в процессе эксплуатации автомобиля будет уделяться цифровым системам. Отсюда логичный вопрос здесь: насколько безопасны все эти кибермашины будущего?
На основе нашего опыта работы с производителями автомобилей по тестированию на проникновение и исследованию уязвимостей видим две главные проблемы, которые могут привести к рискам при использовании киберкаров: возможность перехвата управления и утечки личных данных.
Уязвимости в системе автомобиля и ОТА-обновления
Одной из самых больших возможных проблем является то, что сторонний человек может использовать уязвимости в системах автомобиля, чтобы взять на себя контроль над его функциями и начать управление им по своему усмотрению. Вот почему мы рекомендуем производителям автомобилей регулярно проводить оценку их состояния и тестирования на проникновение. Это помогает выявить уязвимости до того, как машина поступит в продажу. Производителям также стоит обеспечить проверку всех составляющих, которые могут повлиять на безопасность автомобиля.
Если же проблемы с безопасностью обнаружены в уже выпущенных автомобилях, то необходимо снизить риски. Для этого рекомендуется делать ОТА-обновления. OTA расшифровывается как “Over the air”. Это означает, что обновление прошивки происходит с помощью сетей Wi-Fi или мобильного интернета, физическое же подключение девайсов не требуется. Эта технология исправления программного обеспечения автомобиля напоминает способ обновления ПО на смартфонах. Это довольно хорошая практика, если канал связи между производителем и автомобилем надежно защищён.
ОТА-обновления всё ещё не являются обычным явлением на автомобильном рынке. Это действительно сложная задача — применить быстрые обновления безопасности, которые соответствуют всем требованиям к качеству для всех уязвимых типов электронных блоков управления (ЭБУ). Независимо от применения ОТА-обновлений мы рекомендуем использовать модули безопасности обнаружения и предотвращения вторжений в электронные блоки управления.
Производители автомобилей также могут внедрять специальные программы вознаграждений за ошибки, чтобы сторонние исследователи могли сообщать о проблемах, которые необходимо решить, до того, как о них станет известно широкой публике. Хорошей новостью является то, что некоторые автопроизводители уже поддерживают эти инициативы. Поэтому, надеюсь, это может вскоре превратиться в отраслевой стандарт.
Данные — «второе топливо» для подключённых автомобилей. Как избежать их утечки?
Сегодня данные становятся своеобразным «вторым топливом» для подключённых автомобилей. Чем больше контекстной информации имеет автомобиль, тем более разумные решения он может принимать на дороге. Это позволяет уменьшить нагрузку на водителя и экономить ресурсы автомобиля.
Например, в автомобиле существуют компоненты, которые позволяют собирать и передавать производителю или разработчику приложения данные GPS, мобильные данные (включая информацию из социальных сетей), информацию о стиле вождения, записи голосового помощника и т.д.
Местонахождение автомобиля, любимые маршруты и места водителя (например, магазины, кафе и заправочные станции), данные со смартфонов (контакты, звонки и голосовые запросы), с камер и микрофонов могут храниться как самим автомобилем, так и более широкой экосистемой (или облаком). Это может быть заманчивой целью для злоумышленников. Если информация такого рода попадает в чужие руки, она может быть использована для шантажа. В целом конфиденциальность владельца умного автомобиля в настоящее время вызывает сомнения, поэтому водители всё больше интересуются тем, как используются данные, которые генерируются во время движения.
Такие риски распространяются не только на новые автомобили, но и на подержанные. Например, наши исследователи уже доказали, что подключённые автомобили могут быть не безопасны с точки зрения того, насколько хорошо они сохраняют конфиденциальность забывчивого владельца. При покупке киберкара с рук новый водитель может получить доступ ко всем приложениям и данным, использовавшимся предыдущим владельцем, если тот не вышел из системы. Это может привести к компрометации учётных записей предыдущих владельцев и, как следствие, к финансовым или репутационным потерям.
У производителей автомобилей теперь есть новый актив — личные данные их клиентов. Что произойдёт, если эти данные утекут? Есть ли у компаний план по предотвращению таких рисков?
Это, безусловно, вопросы для размышления. Ясно, что автопром должен нести свою долю ответственности за сохранность клиентских данных. Хорошим стартом в этой области может стать шифрование коммуникационных сетей автомобиля при передаче личной информации.
Прогноз: продуманная кибербезопасность автомобиля станет конкурентным преимуществом для производителей
Разработка киберкаров невероятно увлекательна и сочетает в себе два моих любимых направления — автомобили и технологические инновации. Сейчас мы видим, как достижения в области технологий способствуют развитию автомобильной промышленности и её безопасности в современном мире. Например, нейронную сеть можно обучить распознавать аномалии в обычных условиях эксплуатации посредством телеметрии автомобильного двигателя.
Считаю, что продуманный подход к кибербезопасности экосистемы транспортных средств скоро станет конкурентным преимуществом для производителей автомобилей, поскольку клиенты уже сейчас всё больше задумываются о конфиденциальности своих данных. Кроме того, утечка информации может представлять угрозу и для физической безопасности, которая является для большинства основным фактором при выборе автомобиля. Другими словами, сейчас важно показать, что делает автомобильная компания, чтобы защитить своих клиентов от всевозможных угроз безопасности.
У нас создано целое направление, которое работает над тем, чтобы делать такие сложные системы, как автомобильные, защищёнными. Kaspersky Security System (на базе KasperskyOS) обеспечивает безопасность, основываясь на принципе «Запрещено всё, что не разрешено». Например, даже если в мультимедийной системе будет обнаружена критическая уязвимость, это не позволит злоумышленникам проникнуть в компоненты, отвечающие за управление или внутренние процессы, так как взаимодействие между этими блоками будет запрещено.
Если вы спросите меня, что делает автомобиль киберкаром, я бы сказал, что это не просто футуристический дизайн, который мы привыкли видеть в научной фантастике. Это, скорее, способность производителей киберавтомобилей справляться с рисками, которые несут новые технологии в подключённых автомобилях не только при создании, продаже или использовании, но и утилизации транспортного средства. Я уверен, что, когда компании в области кибербезопасности и автомобильная промышленность будут тесно сотрудничать, такие машины появятся в продаже. И это произойдет очень скоро.