Kvůli špatné kybernetické bezpečnosti zmizí z trhu některá auta. Mohli by je napadnout hackeři

Současné automobily jsou čím dál chytřejší, což může znamenat vyšší hrozbu z hlediska kybernetické bezpečnosti. Ukrást citlivá data nebo manipulovat na dálku s vozem jde mnohem snadněji než dřív. Jak se s hackery bojuje a co musí automobilky od příštího roku splňovat? To jsme se dozvěděli na tiskové konferenci společnosti TÜV SÜD Czech.

Zatímco v roce 2019 dokázali etičtí hackeři (testeři na straně laboratoře) popsat u automobilů 24 hrozeb, loni to bylo už o stovku víc. Trend však nadále roste a auta se stávají náchylnější k útokům. V současné době se nedá určit horní hranice existujících hrozeb. Jisté je, že s přibývající „inteligencí“ aut se budou objevovat další a další možné hrozby, které je potřeba zmapovat a auta před nimi ochránit. Automobilky tak dosud řešily ochranu spíš na základě vlastního úsudku, nově jejich vozy budou muset splňovat další povinnou homologaci, jinak hrozí, že na evropském trhu neprodají žádný z nově uvedených modelů. 

Od července příštího roku musí mít všechna nová auta ochranu proti kybernetickým útokům podle předpisu č. 155. Nutno podotknout, že zatímco někteří výrobci nenechali nic náhodě, jiní s implementací vyčkávali a teď budou mít co dělat, aby vše stihli, protože vyhovět předpisu není záležitost na pár týdnů, ale otázka několika měsíců. Jedná se o proces, kdy je nutné zanalyzovat rizika, posoudit architekturu auta a bezpečnost, důležitou součástí je také školení zaměstnanců o možných hrozbách a jak s nimi nakládat. V průběhu dalších měsíců následuje validace a verifikace. Poslední fází je pak ostré testování a homologace, kterou provádí specializované laboratoře a musí to stihnout během čtyř týdnů. 

„U nedostatečně zabezpečených vozů hrozí celá řada útoků. Hackeři mohou převzít kontrolu nad vozem, nebo v případě firemních aut mohou zablokovat celou flotilu vozů a požádat o výkupné, tak jako se to děje v případě útoků na počítačové sítě nemocnic a státních orgánů. Výjimkou nejsou ani např. krádež citlivých dat jako je geolokace vozu, telefonní kontakty či zprávy a další důležité údaje,” vyjmenovává možné scénáře Vladislav Kocián, vedoucí laboratoře kybernetické bezpečnosti v TÜV SÜD Czech. Ačkoli se jedná o důležitou homologaci, mohou s ní mít problém menší výrobci, kteří nevyprodukují takové množství aut, což se může podepsat na jejich ceně. 

Jedním z těch, kteří už teď vědí, že lhůtu nestihnout dodržet, je Porsche. Podle magazínu Automotive News Europe se přestane v Evropě prodávat model Macan právě z důvodu nedostačující kybernetické ochrany a tedy nesplňující předpis č. 155. Pokud by se výrobce rozhodl distribuovat auta i tak, nevyhnul by se obrovským sankcím. Automobily, které se budou dovážet například z Číny nebo jiných zemí světa, budou muset splňovat rovněž tuto normu, jiným způsobem výrobci auta na evropský trh už nedostanou.

Rozpoznat nežádoucí hrozby mohou pouze profesionálové, kteří nejen rozumí hlouběji automobilům, ale také se vyznají v programování. Takových lidí je velmi málo a říká se jím etičtí hackeři. Tito zaměstnanci laboratoří, jakou má i TÜV SÜD, testují všemožné způsoby, které by mohli zloději použít, aby se dostali do vozu a mohli z něj získat data nebo s ním nějak manipulovat. Nejdůležitější je v tomto oboru být stále krok před pravými hackery. Jedině tím se dokáže zajistit co nejvyšší bezpečnost vozů. 

Novou homologaci půjde tedy získat pouze ve specializovaných laboratořích. Jejich hlavním úkolem bude provádění aktivních zkoušek za účelem simulace kybernetických útoků, které prověří ochranu vozu. Z testování se následně získají potřebné informace ke zpracování analýzy a udělení homologace. 

„Kvůli komplexnosti moderních automobilů nelze dnes prověřovat jen hotový výrobek, to by bylo finančně a časově nesmírně komplikované. Už při vývoji automobilu je třeba průběžně prověřovat jednotlivé komponenty. Naší misí je připravovat firmy k tomu, aby jejich výrobky mohly být bezproblémovou součástí celého automobilu. Celý proces přípravy vozu na homologaci, od prvních konzultací po závěrečné zkoušky zabere totiž až dva roky,” uvádí Kocián. Do budoucna však zůstává otázkou, jak se bude kontrolovat toto zabezpečení vozu při technické kontrole.

K „chytrému“ autu bychom měli přistupovat obdobně jako ke svému telefonu, který je často propojený se systémem vozu. Oba spolu komunikují a pokud je jeden z nich napadený, může to znamenat potencionální problém. Důležité je tedy eliminovat hrozby jako je klikání na neznámé a podivně se tvářící odkazy na internetu, vyhnout se podezřelým reklamám a aplikacím, protože stažením byste si do telefonu mohli spolu s tím dostat nežádoucí vir nebo malware. 

Ideálně se nepřipojovat na veřejné wifi v obchodních centrech, či kavárnách, protože nevíte, jak jsou zabezpečené, což může vést také k úniku citlivých dat. Zapomínat bychom neměli na pravidelné a bezodkladné aktualizace, které často přináší vylepšení ochrany telefonu. A co se týká samotného automobilu, u něj je lepší se vyhnout pořizování různých gadgetů (vychytávek), které jsou často vyrobeny v Číně a nemáte záruku, jestli v nich není něco nahrané.

Podobné je to i při výběru nového autoservisu. Kocián doporučuje spíše ty prověřené nebo ty, na které máte již recenze od známých spíše než bezejmenné podniky, u kterých opět nemusíte mít jistotu, co zaměstnanec s vaším vozem během opravy dělá.