Haker za kierownicą, czyli skutki cyberataku na branżę automotive

Sektor motoryzacyjny w Polsce to obecnie druga co do wielkości gałąź produkcji. Razem ze współpracującymi z nim branżami generuje około 3,4% krajowego PKB (według raportu EMIS “Poland Automotive Sector Report 2022-2023”). To również sektor, w którym technologia ma olbrzymie znaczenie. Nowoczesne pojazdy są naszpikowane elektroniką, coraz bardziej zautomatyzowane i podłączone do sieci. Nic dziwnego, że branża motoryzacyjna musi się zmagać z wieloma zagrożeniami cyberbezpieczeństwa – zarówno na etapie produkcji, jak i po oddaniu produktu w ręce użytkownika. Co się stanie, gdy kierownicę inteligentnego auta przejmie haker? Jakie mogą być skutki cyberataku na branżę automotive? Sprawdź w artykule.

Cyberatak a bezpieczeństwo użytkownika pojazdu

Według analityków KPMG przy konstrukcji samochodów klasy premium stosuje się około 150 milionów różnego rodzaju linijek kodów oprogramowania cyfrowego, czyli aż 12 razy więcej niż w samolocie pasażerskim Boeing 787 albo w samolocie bojowym F-35! Haker ma więc mnóstwo potencjalnych punktów wejścia.

Szczególnie podatne okazują się systemy alarmu, nawigacji i komunikacji wewnętrznej. Cyberprzestępca, który włamał się do któregoś z systemów i zaczął sterować nim według własnego upodobania – na przykład przejął kontrolę nad hamulcami lub układem kierowniczym – stwarza poważne zagrożenie na drodze, narażając zdrowie i życie kierowcy, pasażerów oraz osób w pobliskich pojazdach.

Warto wspomnieć o przykładzie Tesli, nad którą przejęli kontrolę chińscy hakerzy. Udało im się oszukać pojazd w bardzo prosty sposób – umieścili na skrzyżowaniu trzy małe naklejki i przekonali autopilota, że to uszkodzenia nawierzchni. Z powodzeniem skierowali auto na niewłaściwy pas ruchu, co mogło się zakończyć tragedią.

Zagrożone jest również bezpieczeństwo wrażliwych danych właścicieli aut. Haker, który włamał się do systemów pojazdu, zyskuje dostęp do wielu szczegółowych informacji na temat kierowcy, na przykład: imienia i nazwiska, danych z karty kredytowej, adresu, numeru telefonu. Takie treści umożliwiają kradzież tożsamości czy nadużycie finansowe.

Problemy właścicieli pojazdów to problemy całej branży automotive

Problemy, z jakimi zmagają się użytkownicy aut w wyniku cyberataku, wpływają negatywnie na całą branżę automotive. Producent, który nie zapewnił w stworzonych samochodach wystarczająco wysokiego poziomu cyberbezpieczeństwa (albo zadbał o bardzo wyśrubowane standardy bezpieczeństwa, ale haker i tak znalazł sposób) musi zmagać się z kryzysem wizerunkowym i utratą zaufania ze strony klientów oraz partnerów biznesowych, zwłaszcza jeśli sprawa zrobiła się medialna. To przekłada się na spadek sprzedaży i trudności w utrzymaniu kontaktów branżowych.

Poza tym producent musi liczyć się z kosztami odszkodowań wynikłych z potencjalnych szkód i wypadków spowodowanych cyberatakiem na auto. Do tego dochodzą ewentualne kary za niewystarczające zabezpieczenie systemów. Oczywiście istnieje też ryzyko otrzymania kary RODO, jeżeli wyciekną cenne dane użytkowników.

Producent ma również obowiązek ponieść koszty poprawek i aktualizacji po wykrytych lukach w zabezpieczeniach. Straty spowodowane koniecznością wymiany wadliwych, podatnych na ataki elementów mogą być ogromne. Na przykład Fiat Chrysler wezwał do serwisu aż 1,4 miliona pojazdów, kiedy podczas jazdy próbnej do auta włamali się zatrudnieni przez producenta hakerzy.

Zainteresowanie cyberprzestępców branżą automotive i rosnące ryzyko cyberataków oznacza też wprowadzanie coraz bardziej restrykcyjnych regulacji i przepisów odnośnie cyberbezpieczeństwa. Na przykład w 2024 roku wchodzi w życie R155/R156, czyli regulacja przygotowana przez Europejską Komisję Gospodarczą. Takie standardy są bardzo ważne, dbają o wysoką jakość bezpieczeństwa produkowanych pojazdów, ale dla przedsiębiorstw motoryzacyjnych oznaczają dodatkowe koszty i obciążenia administracyjne.

Hakerzy atakują przemysł motoryzacyjny na każdym etapie tworzenia produktu

Branża automotive powinna uważać na hakerów na każdym etapie, od momentu przygotowywania planów po wypuszczenie na rynek gotowego produktu. Wystarczy jeden błąd ludzki, na przykład w wyniku ataku phishingowego, żeby przestępca dostał się do systemów firmowych. A tam już czeka na niego mnóstwo informacji, na przykład związanych z technologią wykonania prototypu. Jeśli niepowołana osoba przejmie dane z modeli matematycznych, stosowanego oprogramowania czy zapisów z wykonanych testów, może spowodować już na starcie zakończenie wielomilionowego projektu, nad którym od dawna pracował rozbudowany zespół specjalistów. To dotkliwa strata zasobów czasowych i pieniężnych. Co więcej, zdarza się, że wykradziony produkt kupuje i następnie wdraża konkurencja.

Przedsiębiorstwo motoryzacyjne może także paść ofiarą ataku ransomware, w wyniku czego traci dane niezbędne do zapewnienia ciągłości biznesowej. Coś takiego spotkało na przykład Hondę, która w 2017 roku na dłuższy czas zamknęła zakłady produkcyjne, kiedy jej systemy spustoszyło oprogramowanie ransomware WannaCry. Wstrzymanie produkcji oznacza dotkliwe straty finansowe dla firmy. Jak wyliczają eksperci z Capgemini, czterogodzinny postój kosztuje nawet 2 miliony dolarów. Do tego dochodzą ewentualne koszty zapłacenia okupu, jeżeli zaatakowany podmiot zdecyduje się na taki krok.

Jak zadbać o bezpieczeństwo danych w branży automotive?

O tym, jak zapewnić cyberochronę firmie w branży automotive, pisaliśmy na naszym blogu. Przeczytaj artykuł, jeśli chcesz poznać szereg przydatnych wskazówek, jakie warto zastosować w firmie motoryzacyjnej.

Zwiększenie bezpieczeństwa danych w przedsiębiorstwie motoryzacyjnym zapewni również przeprowadzenie bezpłatnego audytu cyberbezpieczeństwa Telescope, który wskaże potencjalne luki w zabezpieczeniach i sprawdzi zgodność z przyjętymi regulacjami.

Poza tym zaglądaj regularnie na nasz fanpage lub profil LinkedIn, gdzie dzielimy się informacjami na temat cyberbezpieczeństwa w różnych branżach.

Do usłyszenia!

Zespół Sagenso