Odkąd w 2017 roku FCA (grupa FIAT) wprowadziło pierwszą bramkę dostępu SGW (secure gateway) do swoich pojazdów, wiele osób zadaje sobie pytanie czy cyberbezpieczeństwo w motoryzacji to sposób producentów na ochronę autoryzowanej sieci serwisowej czy konieczność zapewnienia bezpieczeństwa?
Aby znaleźć wyjaśnienie dla jednego z najbardziej złożonych i kontrowersyjnych tematów w branży, czyli bezpieczeństwa pojazdów połączonych z siecią, przytoczymy najpierw kilka danych i faktów.
Obecnie na drogach całego świata jeździ 237 milionów samochodów połączonych z siecią, a według prognoz producentów liczba ta wzrośnie do ponad 400 milionów do 2025 roku. Podobnie jak komputery, samochody korzystające z łączności komórkowej mogą przesyłać dane w czasie rzeczywistym, co zwiększa ich funkcjonalność, ale i naraża je na cyberataki.
W 2015 roku miało miejsce ważne wydarzenie, które zwróciło uwagę branży motoryzacyjnej na zagrożenia związane z cyberbezpieczeństwem i rozpoczęło szeroką dyskusję na całym świecie. Wówczas, podczas kontrolowanego eksperymentu przeprowadzonego przez redakcję Wired US, specjaliści ds. bezpieczeństwa – Charlie Miller i Chris Valasek – zdalnie przejęli kontrolę nad pojazdem marki Jeep Cherokee poruszającym się autostradą z prędkością 100 km/h. Ten eksperyment pokazał poważne luki w zabezpieczeniach systemów samochodowych, które mogą prowadzić do sytuacji zagrażających życiu.
Mattia Tonetto, Menedżer ds. Cyberbezpieczeństwa firmy TEXA zwraca uwagę, że wraz z rozwojem pojazdów rośnie ilość elementów, przez które haker może próbować dostać się do samochodu. Są to m.in.: system keyless, Bluetooth, system multimedialny, system ADAS czy nawet złącze diagnostyczne EOBD. Jak podkreśla Tonetto, nowoczesne auta coraz częściej łączą się z siecią i potrafią działać autonomicznie. To zmienia całą branżę – samochody stają się połączeniem mechaniki i elektroniki, czyli zmieniają się w tzw. systemy cyberfizyczne.
W odpowiedzi na tę sytuację wprowadzono zmiany legislacyjne — m.in. normę UNECE R155, która od 2022 koncentruje się na zapewnieniu jednolitych przepisów dotyczących cyberbezpieczeństwa pojazdów i systemów zarządzania cyberbezpieczeństwem, zobowiązując wszystkich producentów pojazdów do homologowania nowych pojazdów zgodnie z jej wymaganiami. Norma UNECE R156 dotyczy natomiast specyficznych wymagań w zakresie aktualizacji oprogramowań stosowanych w pojazdach.
Nietrudno sobie wyobrazić, że atak hakerski na pojazd mógłby mieć poważne konsekwencje dla bezpieczeństwa drogowego. Dlatego producenci muszą być gotowi, by zapobiegać takim sytuacjom. Pierwszą firmą, która wprowadziła zabezpieczenia dostępu do systemów, było wcześniej wspomniane FCA (Fiat). W 2017 roku wdrożyła blokadę dostępu do diagnostyki wybranych systemów pojazdu w postaci tzw. „secure gateway” (SGW) potocznie nazywaną bramką, która wymaga uwierzytelnienia użytkownika i uzyskania tymczasowego kodu odblokowującego dostęp do diagnostyki.
Tak jak każde urządzenie podłączane z zewnątrz, narzędzia diagnostyczne również mogą stanowić zagrożenie dla pojazdu. W świecie cyberbezpieczeństwa obowiązuje prosta zasada: wszystko, co pochodzi spoza systemu auta, może być potencjalnie niebezpieczne, jeśli nie jest odpowiednio zabezpieczone.
Dla wielu może się to wydawać przesadą, ale w rzeczywistości chodzi o zastosowanie zdrowego rozsądku — takiego same-go, który każe nam zamykać drzwi do domu, by uniknąć nieproszonych gości.
Już od 2017 rok
Tester diagnostyczny TXT Multihub od Texa (A: 0856025)u producenci testerów wielomarkowych takich jak np. TEXA współpracują z producentami samochodów, aby umożliwić użytkownikom swoich rozwiązań diagnostycznych, dostęp do „chronionych” pojazdów. Stworzyła system rejestracji i uwierzytelniania użytkowników sprzętu diagnostycznego, który przewiduje połączenie się z serwerami i wpisanie danych osobowych mechanika. Po zidentyfikowaniu osoby chcącej uzyskać dostęp do pojazdu, wysyłany jest kod, który odblokowuje bramkę na czas potrzebny do wykonania konkretnej operacji. Po jej zakończeniu, lub po upływie określonego czasu, pojazd ponownie zostaje zabezpieczony, a dostęp z zewnątrz zablokowany.
Podejście do diagnostyki pojazdów zmierza w stronę coraz lepiej zabezpieczonych połączeń z samochodem. W przyszłości dostęp do systemów pojazdu będzie wymagał prawdopodobnie jeszcze wyższego poziomu uwierzytelnienia – czyli potwierdzenia tożsamości użytkownika. Oznacza to, że narzędzia diagnostyczne będą musiały spełniać nowe wymagania, by móc bezpiecznie połączyć się z pojazdem.
Warsztaty Heavy Duty mogą odczuć powyższe ograniczenia np. w pojazdach dostawczych FCA (Fiat) czy samochodach ciężarowych IVECO po 2017 roku. Czy inni pójdą tą drogą? Na to pytanie szybko powinniśmy poznać odpowiedź.
Branża motoryzacyjna szybko się zmienia. Coraz więcej samochodów korzysta z zaawansowanych systemów elektronicznych i połączenia z internetem. Jeśli te zmiany nie będą regulowane normami i przepisami, mogą wprowadzić dalsze komplikacje i koszty, zwłaszcza dla niezależnych warsztatów.
