Serwis pod patronatem magazynu
Najlepsze Auta Roku
Zagłosuj
Jak zagrożenia związane z cyberatakami wpływają na serwisowanie aut? Celem i zadaniem producentów jest zwiększenie ochrony pojazdów przed atakami hakerskimi. Niestety skutkiem ubocznym nowych rozwiązań (regulują je m.in. przepisy, które weszły w życie w lipcu 2024 r.) jest utrudnienie diagnostyki komputerowej, w tym przez port OBD. A jak coś jest trudniejsze, staje się też droższe…
Cyberbezpieczeństwo w motoryzacji staje się coraz ważniejszym tematem ze względu na rosnącą cyfryzację i automatyzację pojazdów. Samochody nowej generacji są wyposażone w liczne systemy elektroniczne i oprogramowanie, które umożliwiają autonomiczne funkcje jazdy, łączność z sieciami zewnętrznymi (np. internet, systemy komunikacji między pojazdami), a także integrację z urządzeniami mobilnymi. Te zaawansowane technologie, choć oferują wiele korzyści, otwierają również nowe obszary ryzyka, związane z cyberatakami i naruszeniami bezpieczeństwa danych.
Jest też odpowiedź na te zagrożenia. Organizacje międzynarodowe, takie jak UNECE (Europejska Komisja Gospodarcza ONZ), opracowują przepisy dotyczące cyberbezpieczeństwa w pojazdach. Przykładem jest dyrektywa WP.29, która wprowadziła wytyczne dotyczące zabezpieczeń cybernetycznych w pojazdach. W Unii Europejskiej obowiązkowe przepisy w tym zakresie mają zastosowanie od niedawna – w lipcu 2024 roku zaczęły obowiązywać dla nowych pojazdów.
Zmienia to nie tylko sposób, w jaki konstruowane są auta. Ma to także przełożenie na serwisowanie pojazdów, zwłaszcza ich diagnostykę. Jednym z kluczowych założeń jest ochrona interfejsów komunikacyjnych pojazdu, na czele z gniazdem OBD. Ochrona przed atakiem może jednak skomplikować obsługę.
Od lipca 2024 r. każde nowe auto sprzedane w Europie musi odpowiadać regulacjom znanym jako UNECE WP.29. O co chodzi?
Dyrektywa WP.29 (formalnie: Regulamin ONZ WP.29) to zestaw przepisów opracowanych przez Światowe Forum Harmonizacji Przepisów Pojazdów, które działa w ramach Europejskiej Komisji Gospodarczej ONZ (UNECE). Ma na celu ustanowienie globalnych norm dotyczących różnych aspektów bezpieczeństwa pojazdów, ochrony środowiska i cyberbezpieczeństwa w sektorze motoryzacyjnym. W ramach nowych przepisów auta muszą być wyposażone w 20 technologii bezpieczeństwa, m.in. rozpoznawanie ograniczeń prędkości. To jest ta lepiej znana część dyrektywy.
Jednocześnie ustalono wymagania dotyczące cyberbezpieczeństwa samochodów: ochronę przed cyberatakami, zwiększenie odporności pojazdów na zdalne ataki, które mogą wpłynąć na systemy bezpieczeństwa i ochronę danych zbieranych i przetwarzanych przez pojazd.
Dostęp do portu OBD może być bardziej kontrolowany. Producenci mogą wymagać autoryzacji czy szyfrowania dostępu. Tanie urządzenia mogą przestać działać prawidłowo, producenci pojazdów mogą blokować ich użycie.
Homologacja urządzeń OBD będzie objęta większymi wymaganiami. Urządzenia mogą wymagać certyfikacji zgodnej z WP.29, będą musiały przejść testy pod kątem cyberbezpieczeństwa i zgodności z systemami auta.
Ograniczenia dla użytkowników prywatnych i niezależnych warsztatów. Mogą być stosowane mechanizmy zabezpieczające, takie jak ograniczony dostęp do wybranych funkcji pojazdu lub certyfikacja konkretnych urządzeń.
Ograniczenia w zdalnym dostępie do systemów diagnostycznych. Diagnostyka pojazdu poprzez aplikacje mobilne również będzie musiała spełniać wyśrubowane normy bezpieczeństwa, takie jak dla urządzeń profesjonalnych.
Zarządzanie aktualizacjami oprogramowania – urządzenia będą musiały być aktualizowane regularnie, aby zapewnić zgodność z najnowszymi standardami bezpieczeństwa pojazdów (np. po wykryciu luk w systemie przez producenta auta).
Zwiększona odpowiedzialność producentów – będą oni musieli dostosować swoje produkty, aby były zgodne z nowymi regulacjami. W praktyce oznacza to wyższe koszty produkcji i certyfikacji.
Możliwość integracji z nowymi systemami monitorowania bezpieczeństwa. Nowe urządzenia OBD mogą być zintegrowane z systemami monitorowania bezpieczeństwa pojazdów. Mogą one zapewniać kontrolę pojazdu w czasie rzeczywistym.
Niedawno grupa hakerów pokazała, że są w stanie przejąć kontrolę nad wieloma systemami Kii EV6 po... podaniu numeru rejestracyjnego. Można było otworzyć i uruchomić auto, zlokalizować je, włączyć światła i klakson itp.
Było to możliwe w dość prosty sposób, poprzez aplikacje do kontaktu z klientami i dealerami. Właśnie komponent dla dealerów okazał się słabym punktem – dysponował zdalnym dostępem do wielu funkcji pojazdu, a... umożliwiał samodzielną rejestrację jako sprzedawca Kii. Wystarczyło dodać siebie jako kolejny salon, uzyskać w ten sposób klucz uwierzytelniający do funkcjonalności serwisu i już wszystkie auta stały otworem – po podaniu numeru VIN czy rejestracji. Co ważne, pojazd nie musiał mieć aktywnej funkcji online. Co jeszcze ważniejsze – luka została już załatana. Sprawę ujawniono na stronie samcurry.net.
Kia nie jest jedyną marką, która zmierzyła się z podobnymi problemami. Ci sami hakerzy odkryli słabości między innymi w tych autach:
Wspólny dostęp do konta dla kontrahentów i pracowników marek BMW i Rolls-Royce dał hakerom duże uprawnienia do manipulowania zgromadzonymi danymi. / fot. samcurry.net
Podobnie jak BMW, także Mercedes umożliwił dostęp do wrażliwych informacji o klientach i zasobach firmy poprzez stronę dla pracowników / fot. samcurry.net
W Ferrari hakerzy uzyskali dostęp do systemu wymiany informacji między pracownikami firmy, mogli też podszywać się pod właścicieli aut. / fot. samcurry.net
Dyrektywa WP.29 z pewnością podniesie standardy cyberbezpieczeństwa w branży motoryzacyjnej, co wpłynie także na urządzenia diagnostyczne OBD. Z jednej strony, zwiększone wymagania dotyczące bezpieczeństwa mogą ograniczyć użycie tańszych, niezaufanych urządzeń, z drugiej strony, certyfikowane urządzenia diagnostyczne będą bardziej zaawansowane i bezpieczne, choć prawdopodobnie droższe.
Warsztaty niezależne oraz użytkownicy prywatni mogą napotkać na większe wyzwania związane z dostępem do pełnej diagnostyki, co może skłonić do korzystania z autoryzowanych narzędzi i serwisów.
