Samochody, czy dane kierowców – co chcą kraść cyberprzestępcy?

W branży motoryzacyjnej przyspieszenie technologiczne postępuje jak chyba w żadnej innej, ale z taką samą dynamiką narastają także niebezpieczeństwa. Zagrożenia związane z hackowaniem samochodów, o których kiedyś mówiło się jako o futurystycznych scenariuszach – zdążyły się ziścić w rzeczywistości. Dołączyły do nich nowe, wynikające z przetwarzania coraz bardziej szczegółowych danych kierowców. Producenci samochodów odrobili publicznie kilka bolesnych i szeroko nagłośnionych lekcji. Choć niektóre mechanizmy udało się zdemaskować i zbudować odpowiednie zabezpieczenia – nowe scenariusze cyberataków na motoryzację wciąż się piszą. Jak wygląda aktualny krajobraz cyberzagrożeń wymierzonych w branżę?

Coraz więcej zaawansowanych rozwiązań, coraz bardziej skomplikowana elektronika i coraz większe możliwości zbierania i przetwarzania danych – to droga, którą branża automotive podąża już od dawna. Eksperci nie mają wątpliwości – każdy nasz kolejny, nowszy samochód będzie posiadał jeszcze więcej funkcjonalności opartych o systemy IT oraz dostęp do sieci. Niestety, wraz z technologiami przyspieszają także cyberprzestępcy. Mimo tego, producenci nadal nie zawsze traktują to zagrożenie poważnie.

– Koncerny samochodowe od wielu lat intensywnie rozwijają nowe rozwiązania z pogranicza motoryzacji i IT, wręcz prześcigając się w innowacjach. Niestety im bardziej nowatorskie rozwiązanie, tym większe także ryzyko błędów, które mogą zdemaskować hakerzy. O ile w kwestii bezpieczeństwa użytkowników producenci samochodów nie mogą iść na kompromis, o tyle bezpieczeństwo ich danych bywa niestety czasem zaniedbywane. Można zaryzykować stwierdzenie, że technologiczne przyspieszenie w motoryzacji wciąż często odbywa się bez hamulców bezpieczeństwa IT. Tymczasem potencjalnych mechanizmów ataków jest sporo – komentuje Kamil Sadkowski, starszy specjalista ds. cyberbezpieczeństwa ESET.

Kierunek 1: cyber-kradzież samochodów?

Dyskusja na temat hackowania samochodów trwa od wielu lat. Już na starcie mariażu motoryzacji z IT specjaliści ds. cyberbezpieczeństwa przestrzegali, że rozwiązania takie jak elektroniczne kluczyki czy aplikacje zintegrowane z silnikiem pokładowym pojazdów mogą być dogodnymi „punktami wejścia” dla cyberprzestępców. Jednym z pierwszych koncernów, który potraktował te zagrożenia poważnie była Tesla, która już dawno temu rozwinęła swój program tzw. bug bounty – zachęcający etycznych hakerów do łamania swoich systemów i wykrywania podatności nowych modeli w zamian za wysokie nagrody pieniężne.

Szerokim echem w branży i mediach odbił się także eksperyment, jaki przeprowadzili w 2015 roku specjaliści ds. zabezpieczeń Charlie Miller oraz Chris Valasek. Udało im się przedostać do systemu audio samochodu kierowanego przez dziennikarza Wired, Andy’ego Greenberga i przejąć kontrolę m.in. nad klimatyzacją, hamulcami i układem kierowniczym. Ten przykład przyczynił się do poprawy zabezpieczeń marki Jeep. Niemal dekadę później wciąż jednak słyszymy cyklicznie nie tylko o kolejnych atakach typu car hacking, ale także o kolejnych podatnościach wykrywanych przez specjalistów ds. cyberbezpieczeństwa i tzw. etycznych hakerów w nowych modelach uznanych marek. To zagrożenie zdecydowanie nie odeszło do lamusa.

Kierunek 2: nadużycia danych kierowców?

Nowoczesne pojazdy zbierają coraz więcej danych o użytkownikach: gdzie i kiedy jeżdżą, gdzie się zatrzymują, kiedy tankują pojazd, czy jeżdżą zgodnie z ograniczeniami prędkości itp. Wszystkie te informacje mogą zostać użyte przeciwko kierowcom np. jeśli dojdzie do wycieku i wpadną w niepowołane ręce. Dlatego eksperci podkreślają, że wiarę w nowe technologie warto uzupełnić ostrożnością i dobrymi praktykami, takimi jak monitorowanie aktualności oprogramowania na urządzeniach, którym umożliwiamy dostęp do komputera pokładowego pojazdu i uważna kontrola stanu zabezpieczeń podczas przeglądów. Należy także zwracać uwagę na wszelkie podejrzane, nieprzewidziane sytuacje, takie jak samoistne włączanie się radia czy wycieraczek. Mogą świadczyć o próbie ataku.

Przetwarzanie danych osobowych w ruchu samochodowym to także dziedzina, która podlega od dłuższego czasu zaawansowanym regulacjom prawnym, m.in. z zakresu RODO. Mimo tego, nie tylko użytkownicy, ale także dostawcy systemów oraz producenci samochodów popełniają jeszcze w tej kwestii nierzadko błędy. Niektóre z nich są proceduralne, inne – mogą doprowadzić do naruszenia bezpieczeństwa danych kierowców. Przykładowo w ubiegłym roku w Dolnej Saksonii nałożono karę na Volkswagen A.G. który, w ramach testów nowego systemu wspomagającego dla kierowców, zbierał dane za pośrednictwem wyposażonego w czujniki pojazdu testowego. Sąd uznał, że odbywało się to niezgodnie z zasadami RODO i nie dopełniono szeregu niezbędnych formalności. Dodatkowego kontekstu kwestii przetwarzania danych osobowych użytkowników pojazdów dodaje dyskusja na temat celowości i zasad dostępu do takich danych podmiotom zewnętrznym, takim jak np. ubezpieczyciele.

Kierunek 3: ataki na koncerny przetwarzające informacje?

Na celowniku cyberprzestępców znajdują się nie tylko kierowcy, ale także same koncerny samochodowe. Nigdy wcześniej w historii, producenci samochodów nie przechowywali i nie przetwarzali tak wielu szczegółowych danych swoich klientów. To informacje, które hakerzy mogą, np. sprzedawać następnie w darknecie. Zyskują one zdecydowanie na atrakcyjności w połączeniu z wiedzą, iż dotyczą ludzi o określonym potencjale finansowym, np. takich, których stać na pojazdy będące wyznacznikiem pewnego statusu. Mechanizm takiego ataku wykorzystali niedawno m.in. cyberprzestępcy biorący na celownik koncern Ferrari podczas ataku typu ransomware. W marcu 2023 Ferrari NV, spółka macierzysta producenta luksusowych samochodów z siedzibą w Maranello, podała do publicznej wiadomości informacje o tym, że padła ofiarą ataku. Cyberprzestępcy zwrócili się do niej z żądaniem okupu w zamian za wykradzione dane klientów. Firma przeprosiła poszkodowanych, informując jednocześnie, że faktycznie wykradziono informacje takie jak imiona, nazwiska, adresy, adresy e-mail i numery telefonów, ale nie dane finansowe, szczegóły dotyczące transakcji czy inne wrażliwe informacje. Koncern zadeklarował, że nie wchodzi w żadną komunikację z cyberprzestępcami i koncentruje się na wzmocnieniu systemów IT, aby zapobiec takim sytuacjom w przyszłości.

– Hakerzy o złych intencjach mogą wyrządzić wiele szkód nawet ułamkiem danych, które wyciekły. Często nie zdajemy sobie sprawy ze znaczenia skradzionych informacji i tego, co można z nimi zrobić. Warto mieć świadomość, że nawet szczątkowe informacje, jeśli zostaną użyte w połączeniu z innymi, mogą stać się wartościowym materiałem dla przestępców działających w darknecie i na czarnym rynku obrotu danymi. Cyberprzestępcy mogą np. sprytnie i szybko tworzyć komunikaty phishingowe skierowane do osób, których dane wyciekły, aby w razie potrzeby wydobyć jeszcze więcej informacji. Informacja o statusie majątkowym ofiar także może mieć dla nich dużą wartość i otworzyć kolejne możliwości wyrafinowanych ataków – podsumowuje Kamil Sadkowski.