Úgy kell gondolnunk a jövő autóira, mint a számítógépekre

- Mióta lehet beszélni a kiberbiztonságról illetve a kiberfenyegetésről az autóiparban?

- Jó kérdés, hogy mit értünk kiberfenyegetés alatt egy autóval kapcsolatban, hiszen chiptuningok léteztek már a kilencvenes években is. A kiberbiztonság kihívása azóta létezik, amióta elkezdtük megváltoztatni az autók belső folyamatait, paramétereit. Ez tulajdonképpen azt jelenti, hogy egy diagnosztikai eszközzel rákapcsolódunk egy autóra – ahol rákapcsolódunk, az egy kiberfenyegetést is rejt magában.

Komolyabban körülbelül a 2010-es évektől indult el az autók „számítógéppé válása”. Először megjelentek a Bluetooth-os kapcsolatok az autókban, majd a Wifi-kapcsolatok is. Alapvetően az utóbbi 10-15 évtől kezdve figyelünk komolyabban az autóiparban a kiberbiztonságra, amióta kívülről támadhatóvá váltak az autók. A támadásokhoz ráadásul nem is kellettek különleges eszközök.

- Manapság több a figyelem az autógyártók felől, hogy ez ne forduljon elő?

- Igen, elkezdték az autóipari architektúrát úgy kialakítani mind hardveres, mind szoftveres részen egyaránt, hogy egyre kevésbé legyenek sebezhetők az autók. Azonban a mai modern autóknak a nagyrésze továbbra is meghackelhető.

- Felhasználói részről mennyivel kívánna nagyobb figyelmet a kiberbiztonság?

- Mind a két oldalról szükség van a figyelemre, tehát az autógyártó és az autó felhasználója részéről egyaránt. Az autógyártó részéről alapvetően védeni kell a rendszereket, illetve olyan a rendszereket kell eladni, amelyek lehetőség szerint a lehető legkevésbé támadhatóak.

A felhasználó részéről egy alapvető gondolkodási váltásra van szükség. Egyre inkább megyünk abba az irányba, hogy minden összekapcsolódik mindennel - elég a V2X-technológiára gondolni - ezért a felhasználóknak is tudniuk kell azt, hogy mire kell figyelniük.

Már vannak autók, amelyek ajtaja kinyílik, ha közel megyünk hozzájuk az ahhoz tartozó kártyával a zsebben, vagy akár előre lehet a klímát is állítani az autóban, ha nem vagyok ott fizikailag az autónál. Ezek mind komoly kockázatot jelentenek, ahogyan az ilyen funkciókat irányító telefonos alkalmazások is. A telefonos applikációkat nem az OEM-ek gyártják, emiatt a felelősség is a felhasználóra hárul a használatuk során. Ha valaki hozzáfér a telefonhoz, akkor hozzáfér az alkalmazásokhoz is, így egy reverse engineeringgel vissza lehet futtatni, hogy milyen parancsok vannak az autót irányító alkalmazásban. Utána a visszaélők úgy be tudnak lépni a telefon alkalmazásaiba – és így az autónkba is -, hogy azt nem is vesszük észre.

- Az autógyártóknak tehát ilyen esetben nincs felelőssége?

- Erre a kérdésre jelenleg még nem lehet válaszolni. A gyártók természetesen inkább a felhasználókra hárítanák a felelősséget, azonban ha valami baj történik, az a gyártók jóhírébe kerülhet, illetve az a felhasználó később nem fog tőlük járművet venni. Míg egy feltört mobiltelefon egy viszonylag kisebb veszteségnek számít, a feltört autó pótlása jelentősen nagyobb kiadást jelent.

- Mennyire tudják tartani a lépést az autógyártók a hackerekkel?

- Az autóiparban ma már egy eleve biztonságos architektúrát építenek. Hardveres és szoftveres szinten olyan terméket gyártanak, amit nem lehet könnyen megtámadni. Ha érkezik egy támadás, akkor azt a beépített detektáló egységek jelzik. A rendszer felismeri, hogy a belső parancsok (például ajtónyitás) biztosan az autón belülről származnak-e. Vannak már ilyen modern autók, amelyek védettek az ilyen támadások szempontjából – de ezek jelenleg a nagyértékű autókra vonatkoznak.

Fontos változtatni a gondolkodásmódon is. Proaktívan gondolkodva olyan kódokat helyezhetünk a járművek architektúrájába, ami folyamatosan monitorozza a rendszert, és jelez a mesterséges intelligenciának, ha észrevesz valami rendelleneset. Az MI ilyenkor mérlegeli, hogy tenni kell-e valamit, illetve mit kell tenni ezzel kapcsolatban.

- Vannak-e hasonlóságok az okostelefonok és az autók között a kiberbiztonság szempontjából?

- A legmodernebb autókban egyre több a hasonlóság a szoftverek és a frissítések kapcsán. A hackerek számára mindkét terület lehetőséget nyújt a malware-ek felépítésére és az adathalászatra.

Az autókat jobban védjük, sokkal bonyolultabb a felépítése az architektúrának. Ez nem véletlen, hiszen egy jármű esetében a veszélyek sokkal nagyobbak, akár az életet és a környezetet is veszélyeztetheti egy-egy támadás. Az autók esetében továbbá egy sokkal hosszabb felhasználási időszakról van szó, fontos, hogy az autógyártók ezt biztosítani tudják.

A szabályozottsággal kapcsolatos követelmények a telefonok esetében sokkal lazábbak. Az új, szigorúbb EU-s szabályok értelmében már csak olyan új autót lehet eladni az unióban, aminek van kiberbiztonsági tanúsítványa. Az autót tesztelni kell, a sérülékenységeket validálni kell. Ezt európai és globális szinten is szabályozzák, az ENSZ szabványai is.

- Ma már valóság a V2X technológia. Az autók kommunikálnak egymással, a számítógépekkel, ami óriási kihívást jelent. Ez mit jelent a jövőre nézve?

- Fontos, hogy a technológiai fejlődést kövesse az adatvédelem területe is, erre figyelni kell. Mind a felhasználó, mind az OEM-ek érdeke, hogy a V2X rendszerekben ne lehessen megtámadni az autót. Eddig az autók önmagukban álltak, a V2X-ben hálózatokban fognak menni. Például egymás után megy öt teherautó, az első autó mesterséges intelligenciája vezeti az autót, az utána következők pedig követik azt. A hálózati infrastruktúra védelme egy új kihívás, ezen dolgoznak a mérnökök, ez egy új, kutatás alatt álló terület, amiben egyes megoldások már gyártás alatt állnak.

- A különböző gyártók szoftverei mennyiben egyeznek az alapvető struktúrájuk szempontjából?

- Pont abból a célból, hogy a védelmi megoldások sokszínűek legyenek, nagyban különböznek, a követelmények viszont azonosak. A szabványokat az autóipari OEM-ek egyre jobban megkövetelik. Amik az új autókba bekerülnek, azoknak kiberbiztonság szempontból védettnek kell lenniük. Például vezetést segítő rendszerekhez tartozó biztonsági funkciókra is kiberbiztonsági szabványok vonatkoznak.

A tudatosság növelése is nagyon fontos mind felhasználó, mind mérnöki részről. Készüljünk fel a lehetséges támadásokra, tudjuk, hogy mit kell tenni, ha bekerül egy malware az autóba. Tudni kell szeparálni a rendszertől, gyorsan patch-et gyártani a problémára. A felhasználó például tárolja olyan helyen a kártyát, ahonnan nem olvasható le könnyedén a kód. Fontos, hogy a modern autók felhasználói egy hasonló szemléletet sajátítsanak el, mint a számítógépek kapcsán: oda kell figyelni a lehetséges támadásokra, vírusokra, tudni kell védeni az eszközt ezekkel szemben.