avocatnet.ro 
.png)
Până nu demult, autoturismul era un instrument în care oricine putea avea încredere. Atât timp cât era întreținut corespunzător, acesta era un partener de încredere în orice situație, așa cum înaintea acestui partener mecanic, omul a avut parteneri biologici la fel de credincioși, cum ar fi câinii și caii. Din păcate, acest lucru nu mai poate fi spus despre din ce în ce mai multe dintre generațiile noi de autoturisme care sunt lansate pe piață.
Să începem, însă, cu începutul. Care este cauza problemelor? Este greu de spus cine și-a pus prima dată întrebarea „Cum ar fi să conectăm mașina la Internet?”, și, oricum, doar conectarea de orice fel a mașinii la Internet nu cu adevărat o problemă. Dacă ar fi să conectăm doar sistemul de entertainment, sau chiar și cel de navigație în unele condiții, la Internet, nu ar fi nici o problemă. Problemele încep să apară în momentul în care unitatea de control electronic al motorului, ambreiajului și frânelor, alături de alte subsisteme mai puțin critice cum ar fi farurile, stopurile, ștergătoarele de parbriz etc. sunt controlate de un computer de bord conectat la Internet. De ce? Pentru că orice expert în securitate informatică vă va spune că nu există sistem informatic cu adevărat sigur… cu atât mai puțin vreunul conectat la o rețea.
Săptămâna aceasta a fost publicat un articol în care este descris cum o echipă de cercetători de securitate informatică au preluat controlul unui autoturism de ultimă generație, de la distanță. Acum doi ani, în vara lui 2013, aceiași doi cercetători reușiseră să facă același lucru, doar că nu de la distanță, ci folosind o conexiune directă la portul de diagnostic al autoturismului. Atunci când au atras atenția asupra acestei vulnerabilități, au fost ignorați de producători de automobile sub pretextul că „Noi, și întreaga industrie, suntem focalizați pe a preveni atacurile de la distanță, din exteriorul vehiculului. Suntem încrezători că sistemele noastre sunt robuste și sigure.” Ce nu au înțeles acești producători, însă, este că cei doi cercetători au demonstrat atacul respectiv folosind portul de diagnostic pentru simplul fapt că penetrarea de la distanță a sistemului informatic al autoturismelor nu mai era deja nici o noutate. Mai ales acum, când aproape toate modele noi de autoturisme au cel puțin câte o interfață fără fir, cum ar fi Bluetooth, WiFi sau conexiune GSM, atacarea de la distanță a sistemelor informatice ale autoturismelor devine din ce în ce mai facilă.
Prin aceste metode, atacatorul poate prelua controlul complet al sistemelor electronice ale autoturismului, de la sistemul de climatizare, la ștergătoarele de parbriz, la sistemul de entertainment și până la frâne, accelerație și direcție. Mai mult decât atât, există multe alte atacuri de la distanță asupra sistemelor informatice ale autoturismelor moderne, multe dintre ele având de a face cu sistemul de închidere.
Problema de bază este integrarea controlului întregului sistem informatic din interiorul autoturismelor recente. Dacă sistemele critice ale autoturismelor ar fi controlate de un sistem informatic local, neconectat în nici un fel la sistemul sau sistemele informatice conectate la Internet, atunci nu ar exista această problemă. Dar, din anumite considerente, producătorii auto insistă să nu izoleze aceste două subsisteme. Un astfel de motiv este că producătorii și dealerii lor vor să aibă o modalitate de a bloca de la distanță autoturismele celor care întârzie plata ratelor. Un astfel de sistem a devenit centrul atenției în 2010, când un angajat care tocmai fusese concediat de către un dealer auto din Austin, Texas, s-a răzbunat blocând peste 100 de autoturisme vândute de dealerul respectiv. Producătorii auto, de asemenea, vor să strângă date despre funcționarea autoturismelor, chiar după ce acestea au fost vândute. Asiguratorii visează să poată să obțină acces la date privind modul în care sunt conduse autoturismele. Ar mai fi și altele, dar pentru moment ne vom opri aici.
Simultan cu aceste evenimente, în Senatul Statelor Unite a fost introdus un proiect de lege privitor la securitatea sistemelor informatice din autoturisme. Unul dinte inițiatorii proiectului, senatorul Ed Markey a spus că „Șoferii nu ar trebui să fie nevoiți să aleagă între a fi protejați și a fi conectați”. Acest proiect de lege are 3 părți principale. În primul rând, ar trebui create standarde de securitate pentru autoturisme, aceasta incluzând izolarea sistemelor critice de restul sistemelor informatice ale vehiculului, testarea securității sistemelor de către analiști de securitate și adăugarea de sisteme la bord care să poată detecta și riposta împotriva unor comenzi malițioase în interiorul rețelei vehiculului. În al doilea rând, ar trebui create standarde de protecția datelor care să îi oblige pe producători să informeze cumpărătorii în legătură cu ce date colectează din autoturismele pe care le comercializează, permițând șoferilor să poată dezactiva sistemele de strângere a datelor, și restricționând modul în care datele colectate pot fi folosite în scopuri de marketing. În al treilea rând, ar trebui ca producătorii să afișeze, prin intermediul unor autocolante lipite pe geamurile mașinilor noi, care sunt caracteristicile autoturismului din punct de vedere al protecției vieții private și a securității.
Trebuie ținut cont că, deși izolarea sistemelor critice de sistemele conectate la Internet este esențială și este primul pas care trebuie făcut pentru a soluționa problemele de securitate, problemele privitoare la viața privată rămân nerezolvate cu adevărat atât timp cât autoturismul se poate conecta la Internet. În această privință avem un exemplu mult mai aproape de casă, și anume inițiativa eCall a Comisiei Europene care a fost adoptată de Parlamentul European în Aprilie 2015. Sub pretextul diminuării timpului de răspuns în cazul accidentelor rutiere, Comisia a reușit să introducă obligativitatea instalării pe toate autovehiculele noi comercializate în Uniunea Europeană începând cu Aprilie 2018 a unor dispozitive care, în caz de accident, să sune automat la 112. Problema este că acest dispozitiv este, în esență, un telefon mobil GSM cu GPS. Directiva eCall spune că dispozitivul trebui să fie inactiv și să „se trezească din somn” doar în caz de accident sau dacă este apăsat un buton din interiorul autovehiculului. Problema este că, pentru a putea suna la 112 în caz de accident, dispozitivul, de fapt, va trebui să fie conectat la rețeaua de telefonie mobilă tot timpul și va trebui să aibă GPS-ul activ tot timpul pentru a putea furniza datele corecte imediat în cazul unui eveniment. Așadar, singurul lucru pe care nu-l va face tot timpul va fi să trimită datele la care are acces. Problema este că, după cum am văzut mai devreme, orice sistem conectat la rețea va putea fi atacat prin intermediul rețelei și funcționarea îi va putea fi alterată de către atacator, neexistând nici o garanție, din punct de vedere tehnic, că datele la care are acces dispozitivul eCall, cum ar fi poziția data de GPS sau ceea ce este preluat de microfonul din habitaclu, nu vor fi accesate în alte scopuri sau în alte condiții decât cele prevăzute de directiva eCall.
Ca fapt divers, câți dintre voi știați măcar de directiva eCall, și ce părere aveți despre ea acum că ați aflat, dacă nu știați deja? Parcă începe să pară mai atrăgătoare mașina aia veche, la mâna a 2-a, nu-i așa?
Proiectul "Protectia datelor personale este un drept fundamental!" este finanțat prin granturile SEE 2009-2014, în cadrul Fondului ONG în România. Conținutul acestui website nu reprezintă în mod necesar poziția oficială a granturilor SEE 2009-2014. Întreaga răspundere asupra corectitudinii și coerenței informațiilor prezentate revine inițiatorilor website-ului.
Pentru informații oficiale despre granturile SEE și norvegiene accesați http://www.eeagrants.org
ContSters249161
Comentarii articol (0)