Автопроизводители не могут защититься от хакеров

Сенатор США Эдвард Марки (штат Массачусетс) задал автопроизводителям серию вопросов, касающихся технологий и какой-либо другой защиты против хакеров, встроенной в автомобили. Он также поинтересовался, каким образом защищена информация, получаемая автомобильным компьютером и, зачастую, передаваемая им по беспроводной связи.

Беззащитные автомобили

Марки поднял свои вопросы, после того, как исследователи продемонстрировали, как именно хакеры могут взять под контроль некоторые популярные автомобили и внедорожники, заставляя их внезапно ускоряться, поворачивать, сигналить, включать и выключать фары, модифицировать показания спидометра и уровня топлива.

Ответная реакция 16 производителей «свидетельствует о явном недостатке мер по обеспечению безопасности с целью защиты водителей от хакеров, которые могут взять контроль над автомобилем, а также от тех, кто может попытаться изъять и использовать личную информацию о водителе», - отмечено в отчете команды Марки.

Количество систем электронного контроля в современных автомобилях и легких грузовых автомобилях может доходить до 50. По сути, они представляют собой небольшие компьютеры и являются частью одной системы в автомобиле. В отчете сообщается, что практически во всех новых автомобилях сегодня имеется несколько каналов беспроводного доступа к этим компьютерам, к которым относятся система контроля давления в шинах, Bluetooth, доступ в Интернет, система дистанционной идентификации ключей, дистанционный запуск, навигация, WiFi, противоугонная система и мобильная компьютеризованная дистанционная связь. Только 3 автопроизводителя заявили, что в некоторых из их моделей отсутствуют каналы беспроводного доступа, но их количество невелико и выпуск этих моделей постепенно сокращается.

«Водители стали полагаться на эти новые технологии, но, к сожалению, автопроизводители не выполнили условий со своей стороны и не предоставили защиту от кибератак и частного посягательства», - утверждает Марки.

В заключениях отчета содержится следующая информация:

- Большинство производителей заявили, что не располагают информацией и не в состоянии заявить о такого рода атаках. Трое автопроизводителей отказались отвечать на данный вопрос. Один автопроизводитель рассказал о приложении, созданном внешней компанией для устройств на базе Android, благодаря которому доступ в автомобильную компьютерную систему осуществляется через соединение Bluetooth. Анализ безопасности не выявил никакой угрозы внедрения опасного кода или кражи данных, тем не менее, автопроизводитель был вынуждены изъять это приложение из магазина Google Play в качестве меры предосторожности.
- Каждый производитель владеет своими методами контроля над внедрением новых технологий, но в большинстве своем эти действия не обеспечивают полную безопасность. Согласно экспертам в области обеспечения безопасности, с которыми удалось побеседовать Марки, большая часть мер по безопасности, на которые ссылаются автопроизводители, не представляет никаких преград для хакеров.

- Только один производитель смог обнаружить попытку взлома в тот момент, когда она совершалась, и только 2 смогли продемонстрировать своевременную реакцию на подобного рода вторжения. Из информации, предоставленной большинством автопроизводителей, было ясно, что они не подозревают о попытках взлома до тех пор, пока данные из автомобильного компьютера не загружаются дилером или в сервис-центре.

Большинство новых автомобилей способны хранить большой объем данных, касающихся истории вождения, благодаря ряду предварительно установленных функций, таких как система навигации, телематика, информационно-развлекательная поддержка, система экстренной помощи, дистанционное отключение, позволяющее торговцам отслеживать и блокировать автомобили, владельцы которых не совершают выплаты в положенный срок или заявляют об угоне, сообщается в отчете.

Персональные данные

Половина автопроизводителей также сообщили о том, что информация об истории вождения передается в другие места по беспроводной связи, посредством внешних компаний, большинство из которых «не располагают достаточными мерами по безопасности», упомянуто в отчете.

В отчете также сказано, что производители используют персональные автомобильные данные в различных и, часто, непонятных целях, « с целью повышения уровня обслуживания клиентов». Регламент о том, в течение какого времени они хранят информацию о водителях, также разнится. Клиентов, как правило, не ставят в известность о сборе данных, а даже если и ставят, у последних нет выбора отказаться от этого, не отключая другие значимые функции, такие как навигация.

В прошлом ноябре 19 автопроизводителей, на долю которых приходится большая часть легковых и легких грузовых автомобилей, проданных в США, заключили соглашение по поводу ряда принципов по защите частной жизни водителей.

Автомобильные сообщества

Автоиндустрия находится на ранних этапах создания добровольного центра по предоставлению информации и анализу, либо любой другой подобной программы, о существующих или потенциальных угрозах, связанных с киберпреступностью. «Не смотря на то, что мы еще разрабатываем подобного рода услуги, наши члены уже предпринимают свои собственные усилия, подчеркивающие нашу работу над безопасностью», - заявил Альянс производителей автомобилей.

Общество автомобильных инженеров также учредило комитет по безопасности, занимающийся оценкой уязвимости автомобилей по отношению к взломам и разработкой «стандартов и передовых методов, которые обеспечат безопасность электронных систем контроля», - заявил Альянс.

Ассоциация мировых автопроизводителей,соответствующая торговая ассоциация, заявила, что информация в ответах, предоставленных Марки, - многомесячной давности и не отображает обширных дискуссий между индустрией и федеральными специалистами в сфере технологий, целью которых является повышение уровня осознания киберугроз в отрасли.

Среди производителей, ответивших Марки, - BMW, Chrysler, Ford, General Motors, Honda, Hyundai, Jaguar Land Rover, Mazda, Mercedes-Benz, Mitsubishi, Nissan, Porsche, Subaru, Toyota, Volkswagen-Audi и Volvo. Трое других автопроизводителей – Aston Martin, Lamborghini и Tesla – не ответили на его просьбу предоставить информацию.