Prvý počítačovo riadený systém v aute bol použitý pred 51 rokmi. Išlo o elektronické vstrekovanie motora. Priekopníkom bol nemecký Volkswagen. Dnes majú autá aj viac ako sto informačných systémov, ktoré medzi sebou interne komunikujú. Dostať sa do niektorého zo systémov nie je pre hekerov problém. Ukázal to prípad spred piatich rokov, keď hekeri Charlie Miller a Chris Valasek dokázali kompromitovať Jeep Cherokee cez internet a to vrátane ovládania bŕzd. Automobilka musela poslať bezpečnostné záplaty viac ako 1,4 miliónu zákazníkov Jeepu Cherokee, ale aj ďalších siedmich modelov, ktoré mali rovnakú zraniteľnosť.
Black Hats dominujú nad etickými hekermi
„Každý druhý malý a stredne veľký nemecký podnik bol za posledný rok vystavený priemyselnej špionáži,“ cituje štúdiu Max Planck Institute a Fraunhofer Institute Igor Straka, odborník na kybernetickú bezpečnosť v spoločnosti TÜV SÜD Slovakia. Inštitúty uskutočnili prieskum na vzorke 583 firiem. Igor Straka poukazuje na ďalší negatívny trend. „Počet zdokumentovaných útokov medziročne rastie a to práve v prospech čiernych hekerov,“ vysvetľuje. Do roku 2017 boli úspešnejší takzvaní White Hats, teda bieli hekeri, ktorí testujú odolnosť voči kybernetickým útokom snažiac sa o zvýšenie bezpečnosti automobilov. To sa však v roku 2018 zmenilo v prospech hekerskej skupiny Black Hat, teda zločineckých hekerov. V roku 2018 zaznamenala Black Had viac ako 30 úspešných útokov na vozidlá.
„Pri dostatku zdrojov a motivácie sa dá heknúť každý systém. Takže už nie je dôležitá otázka či spoločnosť bude heknutá alebo nie, ale či bude schopná po útoku poskytovať svoje služby dostatočne včas,“ hovorí Igor Straka. Hekerom pritom stačí, ak sa dostanú do jedného zo stovky systémov v aute. Potom už využijú ich interné prepojenia. „Každá aplikácia totiž dosahuje dostatočnú zrelosť až po dlhšej dobe používania, keď sa objavia chyby, ktoré sa počas testovania nepodarilo identifikovať,“ vysvetľuje Igor Straka.
Príliš veľké straty
Security Global Automotive Cybersecurity Report 2019 predpokladá, že v najbližších piatich rokoch spôsobia kybernetické útoky automobilovému priemyslu stratu vo výške 24 miliárd dolárov. „Okrem finančných rizík je nevyhnutné si uvedomiť, že kybernetický útok môže ohroziť život vodiča, posádky, ale aj chodcov a iných vodičov na ceste,“ konštatuje Igor Straka. Najväčšia skupina kybernetických útokov je zameraných práve na prevzatie kontroly nad vozidlom, je to skoro 28 percent útokov. Nasleduje krádež auta, osobných údajov a sledovanie vozidla.
Alarmujúco preto vyznievajú aj výsledky prieskumu kybernetickej odolnosti v USA, podľa ktorých z 20 oslovených automotive spoločností iba dve uviedli, že majú vo vozidlách monitorovací systém na detekciu útokov.
„Dovolím si tvrdiť, že slovenské automotive spoločnosti majú tiež rezervy v oblasti informačnej a kybernetickej odolnosti,“ tvrdí Igor Straka. Dôvodom je podľa neho prudko sa rozvíjajúca oblasť kybernetických hrozieb. „Doterajší prístup v ochrane pred hekermi bol len vo výstavbe pasívnych obranných technických opatrení, ktoré však boli iba malou zárukou bezpečnosti. Doba sa ale zmenila. Je potrebné sa zamerať na schopnosť okamžitej detekcie, reakcie a obnovy služieb po útoku,“ dodáva Igor Straka.
Štandard musia mať všetci dodávatelia
Keďže medzinárodné ISO normy zatiaľ neboli pre potreby automotive priemyslu vyvinuté, nemecké automobilky si vytvorili vlastnú normu TISAX. „Je to norma postavená na ISO norme 27001, ktorá sa zaoberá informačnou bezpečnosťou firiem. Od roku 2018 je TISAX štandardom pre všetkých dodávateľov pre automotive priemysel. Dokonca aj pre cateringové spoločnosti, ktoré pre ich zamestnancov varia obed,“ vysvetľuje Igor Straka. TISAX požadujú aj od svojich slovenských závodov a ich dodávateľov. „Ide o stovky slovenských firiem,“ upozorňuje Igor Straka.
TISAX, teda Trusted Information Exchange Assessment Security je zavedený v automobilovom priemysle ako štandard pre informačnú bezpečnosť. Ide však aj o ochranu klientskych údajov z pohľadu vnútorného alebo vonkajšieho útočníka. Kľúčová je tiež oblasť vývoja prototypov, dostupnosti výroby vzhľadom ku logistickým systémom, ako aj k bezpečnosti samotných vozidiel. Neoddeliteľná súčasť je ochrana osobných údajov v súlade s požiadavkami GDPR. Školenia TISAX ako aj skúmanie súladu s TISAX vykonávajú akreditovaní poskytovatelia certifikačných služieb, ako napríklad TÜV SÜD Slovakia.
