Автомобильная отрасль активно продвигает “умные автомобили”, завлекая водителей такими “фичами”, как “парктроники” и системы избежания столкновений. В то же время ИБ-эксперты советуют автоконцернам притормозить и сначала позаботиться о кибербезопасности.

Во вторник агентство IDC опубликовало отчет, подготовленный совместно с ИБ-компанией Veracode. Согласно его выводам, производителям автомобилей необходимо “догонять” ушедшую вперед индустрию кибербезопасности: чтобы справиться с уже существующими угрозами, автопроизводителям понадобится еще три года.

“Производители автомобилей серьезно задумались о проблеме киберзащиты, — заявил Крис Вайсопал (Chris Wysopal), сооснователь и технический директор Veracode. — Любопытно, но представители автоотрасли сами признали, что им понадобится еще по крайней мере три года, чтобы привести системы умного автомобиля в соответствие с современными требованиями к кибербезопасности”.

В ходе подготовки отчета “Ответственность за безопасность автомобилей и приватность водителей в эру умных автомобилей” его авторы опросили 1072 водителя из Великобритании и Германии, а также семь автопроизводителей, в том числе Fiat-Chrysler, Delphi, Seat и Scania.

Согласно результатам опроса, половина водителей признали, что очень обеспокоены безопасностью “умных” систем в автомобиле. В основном участники исследования боятся, что неизвестные могут удаленно перехватить управление рулевым колесом, тормозной системой или функцией круиз-контроля.

Еще одним тревожным явлением стало появление разнообразных сторонних приложений для мультимедийных систем — например, Apple CarPlay и Google Android Auto. “Как показало наше общение с производителями, они приветствуют разделение бортовой системы и развлекательной мультимедийной системы, которая предполагает загрузку сторонних приложений”, — говорится в отчете.

“Если у вас имеется приложение, способное открывать замки, управлять системой кондиционирования, или же вы решили обновить ПО, отвечающее за работу трансмиссии, риск атаки возрастает”, — считает Вайсопал.

На прошлой неделе исследователь Трой Хант (Troy Hunt) обнаружил незащищенные API-интерфейсы, которые потенциально открывали доступ к бортовым компьютерам 200 тыс. автомобилей Nissan через слабо защищенное приложение для смартфона. Хант сумел выяснить состояние аккумулятора, посмотреть журнал GPS-навигатора, перехватить контроль над проводкой и системой подогрева сидений в удаленном режиме — это возможно на любом из 200 тыс. автомобилей, уязвимых из-за ошибок в реализации аутентификации приложения.

“Если водителям разрешить загружать приложения для контроля над различными системами автомобиля, риск атаки резко увеличится. Представьте, что может случиться в процессе езды, если что-то пойдет не так?” — сокрушается Вайсопал.

87% опрошенных водителей считают, что обеспечение безопасности автомобиля (в том числе проверка сторонних приложений на уязвимости кода, аудит собственных приложений и проактивная защита от хакеров) — дело производителя. “Мы уже не раз обсуждали эту проблему, говоря о смартфонах на iOS и Android, — отметил Вайсопал. — Но когда дело касается безопасности автомобиля, не все так очевидно”.

“Производители автомобилей очень прагматичны; они осознают, что с точки зрения защиты потребителя они за многое ответственны — если не за возникновение проблем и неполадок, так за их устранение”, — говорится в отчете. Однако автопроизводители настаивают на том, чтобы системы управления автомобилем и развлекательные системы были изолированы друг от друга, чтобы исключить влияние третьих сторон на безопасность бортового компьютера.

Также водители обеспокоены возможным нарушением своей приватности: 46% недовольны тем, что приложения, интегрированные в бортовые системы, собирают данные GPS, хранят информацию о платежах, SMS-сообщения, а также рабочую почту и расписания. Но производители пока не сформировали свою точку зрения на обеспечение приватности, подчеркивают авторы отчета.

“Автоиндустрия имеет дело с некоторыми проблемами, уже коснувшимися таких сегментов рынка, как финансовые услуги и здравоохранение”, — говорит Вайсопал. По его словам, представители автомобильной отрасли должны установить правила обеспечения приватности и оперативно реагировать, если при разработке новой модели возникают проблемы с защитой конфиденциальных данных.

Также Вайсопал подчеркнул, что в эпоху, когда GPS-логи сохраняются в системе, компьютер отслеживает стиль вождения, регистрирует местоположение наиболее часто посещаемых водителем заправок и знает, какая информация в развлекательной системе представляет интерес для пользователя, все чаще возникает вопрос: куда уходят регистрируемые данные и кто пользуется ими?

“Мы предполагаем, что пройдет еще два-три года, прежде чем системы умного автомобиля будут разрабатываться с учетом всех актуальных требований безопасности”, — заключают авторы отчета.

Вайсопал также заявил, что в США регуляторы уже рассматривают ряд инициатив, направленных на обеспечение соответствия автомобильной отрасли определенным требованиям безопасности. Но по мере того, как автоконцерны пытаются предусмотреть все возможные требования, законодательство тоже быстро меняется.

Один из рассматриваемых в настоящее время законопроектов получил название Security and Privacy in Your Car Act (или SPY Car Act). Согласно этому предписанию, Национальное управление по обеспечению безопасности дорожного движения и Федеральная торговая комиссия должны установить стандарты безопасности и приватности для умных автомобилей, а также сформировать Консультационный совет по кибербезопасности автомобилей, который занялся бы внедрением рекомендаций в масштабе всей отрасли.

Категории: Аналитика, Уязвимости, Хакеры