6a01b7c82cd82f970b022ad397563b200d

Jsou chytrá auta bezpečná?

PwC Česká republika

Bezpečnost automobilů již není jen otázkou pěti hvězdiček u bariérových testů, ale taktéž důsledné ochrany posádky v oblasti informační a kybernetické bezpečnosti. Zdá se však, že automobilový průmysl zaspal a není na podobnou změnu zcela připraven.

Jsou chytra auta bezpecna
Kybernetické útoky na vozidla zdaleka nejsou doménou posledních několika let, ale datují se již k začátku tohoto tisíciletí. Postupné pronikání moderních technologií do vozidel otevřelo útočníkům řadu možností, kterých začali obratně využívat. Jedním z důležitých parametrů těchto útoků však byla fyzická blízkost útočníka k vozidlu oběti, a taktéž do jisté míry „neškodný“ výsledek.

Tehdy totiž ještě nešlo o život. Například útokem přes rozhraní Bluetooth si mohl na vzdálenost pár metrů od vozidla útočník přečíst SMS zprávy řidiče. Populární rušení bezdrátového zamykání zase přidělalo několik vrásek na čele policistům vyšetřujícím záhadná zmizení zavazadel z kufru vozidla bez známky násilí.

Útok z roku 2015 otevřel veřejnosti oči

Když však dvojice amerických odborníků na bezpečnost, Charlie Miller and Chris Valasek, v roce 2015 zcela převzala kontrolu nad ovládáním Jeepu Cherokee, nešlo pouze o jeden z prvních medializovaných případů tohoto typu, ale zároveň o obrovské varování. Pakliže hacker, sedící desítky kilometrů od vozidla doma u notebooku, může točit volantem, přidávat plyn i brzdit, stává se z něj teoreticky potenciální vrah.

Pro uklidnění čtenářů se sluší dodat, že zmínění pánové zkoumali software vozidla téměř rok, jde o naprosté špičky v jejich oboru, a především měli k vozidlu po celou dobu fyzický přístup. Ve zveřejněném materiálu, který se útoku týká, však poměrně podrobně popsali techniky a metody, které lze efektivně užít k útokům na další vozidla v budoucnu. Pohled odborníků na oblast bezpečnosti navíc ukázal, že útočníci nepřišli s žádnou velkou novinkou. Naopak, šlo spíše o důmyslné využití obecně známých zranitelností, které trápí jakýkoliv počítač či mobilní telefon na světě. A to je problém, který museli vzít výrobci automobilů po celém světě vážně.

Změny na půdě automobilek

Nejvýznamnější změnou, kterou nepocítí zákazník na vlastní kůži, ale jež výrazně zamíchala kartami v historicky zažité struktuře automobilek po celém světě, je nutnost zahrnout experty na oblast kybernetické bezpečnosti již do procesu samotného návrhu a testování automobilu a jeho technologické architektury. Navíc v dnešní době populární agilní metody vývoje softwaru jsou mnohdy neslučitelné s rigidním vývojovým cyklem automobilu (návrh, testování, představení, výroba a vyřazení modelu z výroby a servisu).

Kupříkladu první generace Octavie se téměř beze změny vyráběla dlouhých patnáct let. Dovedete si představit, jak zkostnatěle by za patnáct let působily dnešní převratné chytré funkce vestavěné do moderních vozidel, pokud by nedocházelo k jejich zásadní modernizaci?

Mobily na kolečkách

Vedoucí inovačních center ve významných automobilkách se předhánějí ve výhledech na nadcházející léta a zdůrazňují potřebu technologické vyspělosti, mobility, zaměření na digitální služby. Vizí let příštích jsou skutečně chytrá auta, plně autonomní řízení, kompletní hlasové ovládání vozidla. Skoro by se zdálo, že auto budoucnosti je takový o trochu větší mobil na kolečkách.

S tím však přichází nová vlna významných rizik, na která možná nejsme tak úplně připraveni. Místo čtení SMS zpráv si teď útočník v případě úspěšného proniknutí do softwaru auta přečte e-maily a konverzace na sociálních sítích, s pomocí vestavěného GPS modulu se podívá, kudy jezdíte každý den do práce. Modul eCall, kterým jsou nově povinně vybavena veškerá auta vyrobená v EU, vám může zachránit život. Představuje ale také sofistikované odposlouchávací zařízení zabudované přímo do jádra automobilu. Má všechno: vestavěnou SIM kartu, GPS modul i stále běžící nahrávací zařízení. Však také získal od občanského sdružení IuRe výroční anticenu s názvem Velký bratr.

Účinné mechanismy obrany a kontroly

Vyvstává tak otázka, zda má běžný řidič šanci se proti podobným útokům bránit. Předně je třeba zmínit, že získat kontrolu nad informačním systémem vozidla je pro hackery stále nesmírně náročné, pokud nezískají fyzický přístup dovnitř automobilu. Pomůže taktéž dodržování základních pravidel bezpečného chování na internetu. Pokud máte své auto spárované s webovým portálem či smartphonem, ujistěte se, že máte nastaveno dostatečně silné heslo, které útočník nebude v žádném případě schopen uhodnout. A nezahrávejte si s „kutily“, kteří by vám nabízeli nahrání podomácku vylepšeného firmwaru do vozidla. 

Zabezpečení vozidla proti hackerům však jen těžko důkladně otestujete sami. Na zkušební jízdě máte možnost na vlastní oči otestovat, jak dobře auto zatáčí, brzdí, kolik budou mít děti vzadu místa na nohy – a to je v podstatě vše.

Bezpečnost automobilů obecně je již mnoho let asociována s nezávislými testy německého ADACu. Pohled na kritéria testů však ukazuje smutnou pravdu. Zatímco tématům aktivní i pasivní bezpečnosti, pevnosti materiálů, komfortu v kabině či chování vozidla na silnici se kontroloři věnují důkladně, o kybernetické bezpečnosti není v testech ani zmínka. Zatím tedy nezbývá než věřit, že odborníci na kybernetickou bezpečnost ve službách automobilek dělají vše, co mohou, abyste i v příštích letech dojeli v pořádku a spokojeni do svého cíle.

Ondřej Koch
Senior Consultant
tým IT Security, oddělení Řízení rizik
PwC Česká republika

Článek byl publikován v LeasePlan Magazínu podzim 2018.