США занялись безопасностью беспилотных авто
Министерство транспорта США выпустило руководство по эксплуатации беспилотных автомобилей на американских дорогах, которое должно облегчить этим устройствам путь на рынок. Руководство содержит раздел, посвященный кибербезопасности, который состоит из 15 параметров, по которым оценивается информационная защищенность устройства.
Однако, по словам Джона Симпсона (John Simpson) из некоммерческой организации защиты потребителей Consumer Watchdog, руководство не устанавливает определенного и обязательного ИБ-стандарта для беспилотных авто. В этом и заключается его главный недостаток, поскольку в США все чаще звучат опасения, что беспилотники станут страшным оружием в руках хакеров-террористов, если те начнут перехватывать над ними контроль. С другой стороны, широкое распространение таких авто может полностью исключить аварии на дорогах и спасти таким образом до 30 тыс. жизней американцев ежегодно.
Основные уязвимости: V2V и GPS
Предполагается, что беспилотные автомобили смогут обмениваться информацией друг с другом и с объектами дорожной инфраструктуры, то есть их системы не будут закрытыми. Открытость систем сделает их уязвимыми для взлома, как это произошло с Jeep Cherokee в 2015 г. Взломав джип по интернету, хакер перехватил управление автомобилем, после чего производитель Fiat Chrysler Automobiles был вынужден пропатчить ПО на 1,4 млн устройств.
Однако эта же система обмена информацией, получившая название V2V (англ. "vehicle-to-vehicle" – от средства к средству), должна защитить беспилотные автомобили, поскольку взлом группы скоординированных относительно друг друга средств является более сложной задачей для хакера. Такого мнения придерживается Мэри Каммингс (Mary Cummings), директор лаборатории Humans and Autonomy в Университете Дьюка.
По ее словам, военные считают, что худшая стратегия в управлении беспилотными автомобилями – это создание единого центра управления, взлом которого даст хакеру доступ ко всей системе. Каммингс же полагает, что главная уязвимость беспилотных автомобилей заключается в их зависимости от GPS. Взлом GPS может заставить машину считать, что она находится в совершенно другом месте, поэтому на GPS полагаться нельзя. По мысли Каммингс, беспилотный автомобиль должен уметь самостоятельно, независимо от GPS оценить обстановку и принять решение, как это сделал бы водитель.
Например, компании Google и Tesla Motors как раз разрабатывают такие системы автономного вождения, которые не просто полагаются на детализированную объемную карту, но и самостоятельно "видят" и оценивают условия на дороге.
Уязвимость интерфейса внешнего доступа
Технический директор российской ИБ-компании "Монитор безопасности" Георгий Лагода утверждает, что уязвимыми для хакеров являются не только беспилотные автомобили, но и традиционные авто с беспроводным интерфейсом доступа к двигателю (например, через так называемый ODBC-порт). По словам Лагоды, производители менее серьезно относятся к безопасности протоколов коммуникаций встроенного оборудования.
Лагода отмечает, что сегодня на многих крупных конференциях по безопасности, как в России, так и в США, стоят тестовые автомобили, к которым могут подключиться ИБ-эксперты, чтобы попробовать найти уязвимости. Более того, некоторые ИБ-компании уже успели потратить более 10 тыс. часов на подобные исследования и добились значительных успехов в перехвате управления и коррекции показателей бортовых приборов. Соответственно, "черным" хакерам такое тоже под силу.
Обсуждение проблемы на государственном уровне
В 2012 г. Министерство транспорта США сформировало отдельную исследовательскую группу, которая специализируется на кибербезопасности электронных систем в автомобилях. В 2014 г. Группа по стратегическим вопросам ФБР опубликовала аналитический отчет, который гласит, что все большая автономность автомобилей "дает возможность в будущем сделать их более смертельным оружием, чем они есть сейчас".
В апреле 2016 г. в Министерстве транспорта США прошло публичное обсуждение вопросов кибербезопасности беспилотных автомобилей, где было высказано опасение, что даже самый защищенный беспилотник можно использовать для теракта, причем для этого его не обязательно взламывать. По мысли Джеймса Найлза (James Niles), президента технологической компании Orbit City Lab, достаточно просто погрузить в такой автомобиль взрывчатку и задать координаты. Если у террористов отпадет необходимость жертвовать жизнью водителя, количество терактов может резко возрасти.