Systemy bezpieczeństwa w samochodach - cyberbezpieczeństwo 2024

Aktualizacja z dnia 16 stycznia 2024 - system ADDW obowiązkowy od lipca

Od 7 lipca 2024 nowo homologowane samochody osobowe, dostawcze i ciężarowe będą musiały być wyposażone w system ADDW. Od 7 lipca 2026 będzie to dotyczyło wszystkich pojazdów tych typów. System ADDW, czyli Advanced Driver Distraction Warning, określono jako "układ, który pomaga kierowcy w utrzymaniu koncentracji uwagi na drodze i ostrzegający kierowcę, gdy jego uwaga jest rozproszona. Funkcję tę może spełniać na przykład układ, który jest w stanie rozpoznać poziom uwagi wzrokowej, jaki kierowca poświęca sytuacji na drodze, i ostrzegać kierowcę, gdy jest on rozproszony". 

W praktyce ADDW śledzi uwagę kierowcy i gdy ten spuści wzrok z drogi na 6 sekund przy prędkościach 20-50 km/h lub na 3,5 s przy prędkościach powyżej 50 km/h, wówczas system ostrzega kierowcę za pomocą alarmu. Alarm ma mieć charakter dźwiękowy i jednocześnie graficzny lub haptyczny (np. poprzez drżenie kierownicy). Głośnośc alarmu zawierać się ma między wartościami 50 a 90 dB. Pole wzroku kierowcy, które system określa jako prawidłowe, definiowane jest jako obszar 3. Znajduje się on poniżej linii zegarów, ok. 30 stopni w dół od poziomej linii, którą wyznaczyłyby oczy patrzące wprost przed siebie. 

Zastosowanie kamer do monitorowania wzroku kierowcy oczywiście może budzić pewne obawy co do cyberbezpieczeństwa i ochrony prywatności, jednak zgodnie z unijnym rozporządzeniem ADDW ma funkcjonować bez korzystania z danych biometrycznych. 

Według danych Komisji Europejskiej w 2022 roku rozproszenie uwagi odpowiadało za 5-25% wypadków w Europie. Najczęstszymi przyczynami rozproszenia uwagi jest zamyślenie kierowcy, zbyt głośne słuchanie muzyki, korzystanie z telefonu lub obsługa instrumentów pokładowych. Postępująca digitalizacja wnętrz i stawianie na obsługę dotykową również nie sprzyja koncentracji na drodze. Brytyjskie laboratorium badawcze ds. transportu (TRL, IAM RoadSmart Infotainment Research 2020) wykazało, że najnowsze pokładowe systemy informacyjno-rozrywkowe pogarszają czas reakcji za kierownicą w podobnym lub większym stopniu niż spożywanie alkoholu i konopi indyjskich.  

Nowe normy cyberbezpieczeństwa od 1 lipca 2024

Cyberbezpieczeństwo motoryzacyjne ma dla sektora mobilności coraz większe znaczenie, w miarę jak w życie wchodzą przepisy WP.29 UNECE R155 dotyczące bezpieczeństwa cybernetycznego. Od 1 lipca 2024 wszystkie samochody produkowane przez producentów OEM będą musiały spełnić nowy standard zabezpieczeń przed cyberatakami, by otrzymać homologację. Będzie to kluczowy warunek ich sprzedaży w aż 54 krajach – w tym we wszystkich krajach członkowskich UE, Wielkiej Brytanii, Japonii i Korei Południowej. W przypadku niektórych, zwłaszcza starszych modeli samochodów, może to oznaczać konieczność zakończenia ich produkcji, gdyż producentom nie będzie opłacało się dostosowywać wiekowych konstrukcji do nowych przepisów. Ofiarą nowego standardu zabezpieczeń padło m.in. oferowane od 2014 roku Porsche Macan, którego produkcja na rynki objęte nowymi normami zakończy się w kwietniu 2024 roku. 

Czym jest cyberbezpieczeństwo

W myśl Ustawy o krajowym systemie cyberbezpieczeństwa z dnia 5 lipca 2018 roku cyberbezpieczeństwo definiujemy jako "odporność systemów informacyjnych na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług oferowanych przez te systemy". Może również być określane jako bezpieczeństwo technologii informatycznych. 

Zagrożenia dla cyberbezpieczeństwa

Microsoft wyróżnia następujące zagrożenia dla cyberbezpieczeństwa: 

• inżynieria społeczna - atakujący wzbudza zaufanie osób, po czym wyłudza od nich dane konta lub namawia do instalacji złośliwego oprogramowania
• wyłudzanie informacji - metoda inżynierii społecznej polegająca na wykorzystaniu SMS-ów, poczty głosowej oraz e-mail
• złośliwe oprogramowanie - szkodzi komputerom lub sieciom poprzez zmianę lub usuwanie plików, wyodrębnianie wrażliwych danych oraz wysyłanie złośliwych wiadomości e-mail
• oprogramowanie wymuszające okup - używając takiego oprogramowania atakujący żądają zapłaty, grożąc upublicznieniem danych poufnych
• zaawansowane technologie trwałe - atakujący włamują się do systemów, pozostając niewykrytymi przez dłuższy czas
• zagrożenie wewnętrzne - osoby posiadające dostęp do niektórych systemów, jak np. pracownicy, klienci lub wykonawcy, powodują stratę finansowa lub naruszenie zabezpieczeń

Dlaczego producenci samochodów gromadzą nasze dane?

Warto wiedzieć, że producenci samochodów gromadzą nasze dane. Od 1 kwietnia 2020 roku w każdym nowym aucie powinien znajdować się system eCall, który w razie wypadku automatycznie powiadamia służby ratownicze i podaje lokalizację pojazdu. Dzięki temu również sami producenci mają informację o dokładnej lokalizacji samochodu w danej chwili. Z kolei dzięki czujnikom pasów bezpieczeństwa wiadomo, ile osób podróżowało w danym momencie samochodem. Nawigacja GPS dostarcza natomiast danych o prędkości, z jaką porusza się pojazd. Producenci oceniają w ten sposób cechy charakteru właściciela, jego styl jazdy i codzienną rutynę, a także ulubione miejsca wyjazdów, np. na urlop. Zdaniem autorów systemu eCall na co dzień pozostaje on w fazie uśpienia i nie narusza prywatności podróżujących samochodem osób. 

Poszczególni producenci argumentują zbieranie informacji o użytkownikach potrzebą usprawniania systemów i asystentów oraz tworzenia dokładniejszych systemów jazdy autonomicznej oraz bardziej szczegółowych map. Oznacza to zatem jedno - im więcej zaawansowanych systemów w naszych samochodach, tym rośnie ryzyko podsłuchu i zbierania danych. 

Cartapping - czym jest? Przykłady

Jednocześnie warto wspomnieć o zjawisku cartappingu. Oznacza ono monitorowanie samochodów za pośrednictwem fabrycznie stosowanych technologii. Przykład stanowi postępowanie koncernu General Motors, który w 2009 roku udostępnił policji stanowej informacje z systemu OnStar przypominającego swoim działaniem układ eCall. Kolejny przykład pochodzi z 2017 roku, kiedy to na jaw wyszło, że FBI podsłuchiwało podejrzewanych poprzez systemy multimedialne stosowane w samochodach.

Raport Mozilla - nasze dane w rękach producentów samochodów

Z raportu Mozilla wynika, że samochody są najgorszym typem produktów pod względem cyberbezpieczeństwa. Fundacja zbadała 25 producentów samochodów i przyznała 25 ocen za sposób gromadzenia i wykorzystywania przez nich danych osobowych. Okazało się, że każda z firm gromadzi więcej danych osobowych niż jest to konieczne. Ponadto dane te wykorzystywane są w innym celu niż obsługa danego pojazdu czy zarządzanie relacjami z klientem. Producenci samochodów mają więcej możliwości gromadzenia informacji o nas niż urządzenia domowe czy nawet telefony komórkowe. Następnie dane te służą do analizy upodobań i zachowań użytkownika.

Aż 84% ujętych w badaniu firm twierdzi, że może udostępniać posiadane dane brokerom danych, dostawcom usług oraz innym firmom, a 76% producentów stwierdziło, że może nawet sprzedawać dane osobowe użytkowników. 56% firm może udostępniać dane rządowi lub organom ścigania na specjalną prośbę. Aż 92% ujętych w badaniu producentów twierdzi, że zapewnia użytkownikom niewielką kontrolę nad swoimi danymi osobowymi lub też nie daje jej wcale. Aż 68% otrzymało złe oceny w dziedzinie cyberbezpieczeństwa.

Jak ograniczyć wykorzystywanie naszych danych i z czym to się wiąże?

Czy da się zatem ograniczyć wykorzystywanie naszych danych przez producentów? W pewnym stopniu tak, jednak wiąże się to z wyrzeczeniami. Możemy "poszperać" w ustawieniach samochodu i wyłączyć zgody na przetwarzanie danych osobowych. O tym, z jakimi ograniczeniami to się wiąże, doskonale opisuje Tesla w komunikacie o prywatności klienta: "Jeśli jednak nie chcesz, abyśmy gromadzili dane pojazdu lub jakiekolwiek inne dane z Twojego pojazdu Tesli, skontaktuj się z nami, aby dezaktywować łączność. Należy pamiętać, że niektóre zaawansowane funkcje, takie jak aktualizacje bezprzewodowe, usługi zdalne oraz interakcja z aplikacjami mobilnymi i funkcjami samochodowymi, takimi jak wyszukiwanie lokalizacji, radio internetowe, polecenia głosowe i funkcjonalność przeglądarki internetowej, zależą od takiej łączności. Jeśli zrezygnujesz ze zbierania danych pojazdu (z wyjątkiem preferencji dotyczących udostępniania danych w samochodzie), nie będziemy mogli rozpoznać Ciebie ani powiadomić Ciebie o problemach dotyczących Twojego pojazdu w czasie rzeczywistym. Może to skutkować zmniejszoną funkcjonalnością pojazdu, poważnym uszkodzeniem lub niesprawnością pojazdu." 

Ciekawy przykład wykorzystywania danych w Polsce - Bolt na podsłuchu

Jako ciekawostkę podamy, że Polska będzie jednym z pierwszych krajów na świecie, w których dopuszczone zostanie nagrywanie przez Bolta wszystkiego, co dzieje się w taksówce. Ma to rzekomo wpłynąć na poprawę bezpieczeństwa, zwłaszcza w kontekście napadów i gwałtów. Oczywiście pomysł ten budzi spore kontrowersje z racji na ograniczenie prywatności. Opcja rejestrowania dźwięku ma być włączana w aplikacji Bolt przez kierowcę lub pasażera, a do podsłuchu posłuży smartfon. Według firmy funkcja ta dostępna jest wyłącznie w trakcie trwania przejazdu, a samo nagranie będzie szyfrowanek bez możliwości odtworzenia przez użytkownika i przechowywane na jego urządzeniu przez 24 godziny, po czym będzie ono automatycznie kasowane. Aby Bolt otrzymał dostęp do nagrania, nagrywający będzie musiał dołączyć je w formie załącznika do zgłoszenia wysłanego do zespołu wsparcia. 

Zaawansowane technologie w samochodach z potencjalnym ryzykiem gromadzenia danych

Prezentujemy przykłady zaawansowanych technologii w samochodach, które mogą potencjalnie gromadzić nasze dane: 

autopilot - każda funkcja związana z autonomiczną jazdą oznacza również potrzebę podania lokalizacji i wiąże się z ryzykiem wycieku danych, gdyż systemy te wymagają zgody na przetwarzanie danych osobowych. Ponadto idą one w parze z wieloma innymi funkcjami jak np. monitorowaniem wzroku kierowcy. Autopilota znajdziemy m.in. w Tesli.

asystent głosowy - w nowoczesnych samochodach znajdziemy rozbudowaną funkcję asystenta głosowego. Coraz częściej asystenci głosowi oparci na sztucznej inteligencji uczą się naszych zachowań i preferencji, co oczywiście wiąże się z dostępem do naszych danych. W zapowiadanym na 2024 roku Audi Q6 e-tron znajdzie się tzw. inteligentny asystent głosowy, który będzie badał preferencje i zachowania użytkownika, działał zarówno online jak i offline oraz posiadał własnego awatara. Zaoferuje użytkownikowi m.in. proaktywne porady, interaktywne procedury czy też będzie w stanie przygotować inteligenyne listy (np. najczęściej wybieranych kontaktów). 

Apple CarPlay i AndroidAuto - bez tych funkcji wielu z nas wręcz nie wyobraża sobie współczesnego samochodu. Integracja ze smartfonem to bardzo komfortowe rozwiązanie dla użytkowników, jednak wiąże się też z ryzykiem wycieku danych m.in. z powodu udostępniania naszej listy kontaktów i historii połączeń oraz wiadomości SMS, wbudowanego asystenta głosowego oraz korzystania z map Google'a

kamery do wideokonferencji, aplikacje społecznościowe - w najnowszych modelach samochodów coraz częściej pojawiają się nawet takie funkcje jak kamery do przeprowadzania wideokonferencji wiążące się z ryzykiem niekontrolowanego udostępnienia naszego wizerunku, a także dostęp do mediów społecznościowych wymagających podania naszych danych osobistych, jak np. w przypadku aplikacji TikTok. Obie te funkcje (kamera i TikTok) posiada np. najnowszy Mercedes Klasy E W214.

cyfrowy kluczyk i aplikacja na smartfona - możemy dzięki tym funkcjom kontrolować samochód za pośrednictwem smartfona. Brzmi to bardzo dobrze, jednak oznacza to konieczność podawania i zezwolenia na dostęp do naszych danych jak każda aplikacja na telefon. Funkcje te posiada większość współczesnych samochodów. Znajdziemy je np. w wybranych modelach Forda, BMW, Mercedesa, Audi czy Volkswagena, np. w najnowszym BMW serii 5.