Nejlepšími mladými sociálními inovátory České republiky jsou zástupci z městské farmy, sdílené hudební zkušebny a tvůrkyně deskové hry propojující svět nevidomých a vidoucích.
Pražské Experience Centrum PwC plné akcí

Jsou chytrá auta bezpečná?

Bezpečnost automobilů již není jen otázkou pěti hvězdiček u bariérových testů, ale taktéž důsledné ochrany posádky v oblasti informační a kybernetické bezpečnosti. Zdá se však, že automobilový průmysl zaspal a není na podobnou změnu zcela připraven.

Jsou chytra auta bezpecna
Kybernetické útoky na vozidla zdaleka nejsou doménou posledních několika let, ale datují se již k začátku tohoto tisíciletí. Postupné pronikání moderních technologií do vozidel otevřelo útočníkům řadu možností, kterých začali obratně využívat. Jedním z důležitých parametrů těchto útoků však byla fyzická blízkost útočníka k vozidlu oběti, a taktéž do jisté míry „neškodný“ výsledek.

Tehdy totiž ještě nešlo o život. Například útokem přes rozhraní Bluetooth si mohl na vzdálenost pár metrů od vozidla útočník přečíst SMS zprávy řidiče. Populární rušení bezdrátového zamykání zase přidělalo několik vrásek na čele policistům vyšetřujícím záhadná zmizení zavazadel z kufru vozidla bez známky násilí.

Útok z roku 2015 otevřel veřejnosti oči

Když však dvojice amerických odborníků na bezpečnost, Charlie Miller and Chris Valasek, v roce 2015 zcela převzala kontrolu nad ovládáním Jeepu Cherokee, nešlo pouze o jeden z prvních medializovaných případů tohoto typu, ale zároveň o obrovské varování. Pakliže hacker, sedící desítky kilometrů od vozidla doma u notebooku, může točit volantem, přidávat plyn i brzdit, stává se z něj teoreticky potenciální vrah.

Pro uklidnění čtenářů se sluší dodat, že zmínění pánové zkoumali software vozidla téměř rok, jde o naprosté špičky v jejich oboru, a především měli k vozidlu po celou dobu fyzický přístup. Ve zveřejněném materiálu, který se útoku týká, však poměrně podrobně popsali techniky a metody, které lze efektivně užít k útokům na další vozidla v budoucnu. Pohled odborníků na oblast bezpečnosti navíc ukázal, že útočníci nepřišli s žádnou velkou novinkou. Naopak, šlo spíše o důmyslné využití obecně známých zranitelností, které trápí jakýkoliv počítač či mobilní telefon na světě. A to je problém, který museli vzít výrobci automobilů po celém světě vážně.

Změny na půdě automobilek

Nejvýznamnější změnou, kterou nepocítí zákazník na vlastní kůži, ale jež výrazně zamíchala kartami v historicky zažité struktuře automobilek po celém světě, je nutnost zahrnout experty na oblast kybernetické bezpečnosti již do procesu samotného návrhu a testování automobilu a jeho technologické architektury. Navíc v dnešní době populární agilní metody vývoje softwaru jsou mnohdy neslučitelné s rigidním vývojovým cyklem automobilu (návrh, testování, představení, výroba a vyřazení modelu z výroby a servisu).

Kupříkladu první generace Octavie se téměř beze změny vyráběla dlouhých patnáct let. Dovedete si představit, jak zkostnatěle by za patnáct let působily dnešní převratné chytré funkce vestavěné do moderních vozidel, pokud by nedocházelo k jejich zásadní modernizaci?

Mobily na kolečkách

Vedoucí inovačních center ve významných automobilkách se předhánějí ve výhledech na nadcházející léta a zdůrazňují potřebu technologické vyspělosti, mobility, zaměření na digitální služby. Vizí let příštích jsou skutečně chytrá auta, plně autonomní řízení, kompletní hlasové ovládání vozidla. Skoro by se zdálo, že auto budoucnosti je takový o trochu větší mobil na kolečkách.

S tím však přichází nová vlna významných rizik, na která možná nejsme tak úplně připraveni. Místo čtení SMS zpráv si teď útočník v případě úspěšného proniknutí do softwaru auta přečte e-maily a konverzace na sociálních sítích, s pomocí vestavěného GPS modulu se podívá, kudy jezdíte každý den do práce. Modul eCall, kterým jsou nově povinně vybavena veškerá auta vyrobená v EU, vám může zachránit život. Představuje ale také sofistikované odposlouchávací zařízení zabudované přímo do jádra automobilu. Má všechno: vestavěnou SIM kartu, GPS modul i stále běžící nahrávací zařízení. Však také získal od občanského sdružení IuRe výroční anticenu s názvem Velký bratr.

Účinné mechanismy obrany a kontroly

Vyvstává tak otázka, zda má běžný řidič šanci se proti podobným útokům bránit. Předně je třeba zmínit, že získat kontrolu nad informačním systémem vozidla je pro hackery stále nesmírně náročné, pokud nezískají fyzický přístup dovnitř automobilu. Pomůže taktéž dodržování základních pravidel bezpečného chování na internetu. Pokud máte své auto spárované s webovým portálem či smartphonem, ujistěte se, že máte nastaveno dostatečně silné heslo, které útočník nebude v žádném případě schopen uhodnout. A nezahrávejte si s „kutily“, kteří by vám nabízeli nahrání podomácku vylepšeného firmwaru do vozidla. 

Zabezpečení vozidla proti hackerům však jen těžko důkladně otestujete sami. Na zkušební jízdě máte možnost na vlastní oči otestovat, jak dobře auto zatáčí, brzdí, kolik budou mít děti vzadu místa na nohy – a to je v podstatě vše.

Bezpečnost automobilů obecně je již mnoho let asociována s nezávislými testy německého ADACu. Pohled na kritéria testů však ukazuje smutnou pravdu. Zatímco tématům aktivní i pasivní bezpečnosti, pevnosti materiálů, komfortu v kabině či chování vozidla na silnici se kontroloři věnují důkladně, o kybernetické bezpečnosti není v testech ani zmínka. Zatím tedy nezbývá než věřit, že odborníci na kybernetickou bezpečnost ve službách automobilek dělají vše, co mohou, abyste i v příštích letech dojeli v pořádku a spokojeni do svého cíle.

Ondřej Koch
Senior Consultant
tým IT Security, oddělení Řízení rizik
PwC Česká republika

Článek byl publikován v LeasePlan Magazínu podzim 2018.

 

Comments

Feed You can follow this conversation by subscribing to the comment feed for this post.

Verify your Comment

Previewing your Comment

This is only a preview. Your comment has not yet been posted.

Working...
Your comment could not be posted. Error type:
Your comment has been posted. Post another comment

The letters and numbers you entered did not match the image. Please try again.

As a final step before posting your comment, enter the letters and numbers you see in the image below. This prevents automated programs from posting comments.

Having trouble reading this image? View an alternate.

Working...

Post a comment

Your Information

(Name and email address are required. Email address will not be displayed with the comment.)