Об авторе: Ника Голикова, продюсер подкаста «Двигатели прогресса».
Что такое «кибербезопасность транспорта»
Кибербезопасность транспорта — безопасность личных данных, которыми пользователь делится с транспортным устройством или агрегатором транспортных данных. Сегодня «умные» системы окружают нас повсюду: они контролируют трассы и железные дороги с помощью платформ для мониторинга, отслеживают и предотвращают пробки как навигаторы, отвечают за безопасность пассажиров и водителя внутри автомобилей.
Все эти системы используют контроллеры и датчики, которые позволяют держать связь с внешними источниками данных. На практике оказывается, что чем больше у транспортного средства связи с внешним миром, тем уязвимее для кибератак извне он становится и тем больше ему нужна особая система защиты.
Почему важно и нужно защищать наши данные при использовании транспорта
В 2017 году произошло громкое судебное разбирательство в отношении трех жителей Москвы — Дениса Казьмина, Юрия Путина и Павла Андрюшина, которые взломали систему оплаты проезда в метро. Они заранее внедрили в плату турникетов «бэкдор» — программу, с помощью которой можно получить скрытый доступ к устройству. Так они добрались до закрытой информации и ключей шифрования, что позволило им самостоятельно пополнять карты «Тройка», которые они потом распродавали. Прокуратура оценила потери города от этой кибератаки в ₽2 млн.
Мы ежедневно передаем свои персональный данные, пользуясь каршерингом, прокатом самокатов или велосипедов, такси и даже метро — при этом, давая на это личное согласие (и часто пренебрегая чтением пользовательских соглашений или прочтением всей информации про cookies). Мы делимся с сервисами данными карты, в качестве адреса для выставления счета указываем личную почту, а в некоторых случаях — и адрес проживания, и редко задумываемся о том, что может произойти с этими данными дальше.
А часто происходит следующее: базы данных каршеринг-сервисов оказываются в интернете, и с помощью слитых учетных записей злоумышленники могут пользоваться машинами за чужой счет. Так, например, в 2020 году в громком скандале с поддельным профилем пользователя оказался «Делимобиль»: злоумышленник воспользовался чужим аккаунтом, проехал 14 часов на машине и попал в серьезную аварию.
В итоге реальному человеку, чьими данными воспользовался мошенник (и который даже не был зарегистрирован в сервисе), грозило лишение прав сроком от года до полутора лет или административный арест до 15 суток, а также — штраф ₽250 тыс. и претензии по возмещению расходов на ремонт автомобиля от ₽2,3 млн. К счастью для автомобилиста, ему удалось доказать, что в момент аварии он был в другом городе.
А в июне 2021 года появились новости о том, что киберпреступники продают способы взлома систем кикшеринга. За ₽1–3 тыс. можно было узнать, как кататься на электросамокате весь день за ₽250, как угнать или разобрать устройство, отключить на нем лимит скорости, а также авторизоваться с помощью чужих SIM-карт и взломать чужой аккаунт.
В России работа с персональными данными регулируется ФЗ-152 «О персональных данных». Для их хранения продумана определенная логика: согласно ей, наиболее важные данные разделяются и хранятся в разных системах. Например, ФИО и дата рождения — в одной, а данные о водительских правах — в другой. Чисто теоретически злоумышленники могут взломать обе эти системы, собрать все эти данные воедино и воспользоваться ими, однако сделать это довольно сложно, — мошенникам точно понадобится знание SQL или других инструментов для объединения данных.
Тем не менее, утечки баз данных в Excel-формате — довольно частое явление: в таких случаях информации, которая содержится в таблицах, бывает достаточно для мошеннических операций в интернете, но недостаточно для незаконных операций в офлайне.
При этом защититься от распространения собственной информации практически невозможно. Если человек пользуется службами такси и каршеринга, ездит на метро и заказывает еду на дом, то его данные в любом случае «кочуют» по агрегаторам. Единственное, что сейчас может сделать пользователь — отказаться передавать информацию и не разрешать отслеживать свои действия на других сайтах и приложениях, тщательно вчитываясь в положение о cookies.
Рост количества кибератак и мотивация преступников
С 2020 года количество кибератак во всем мире, по данным Positive Technologies, увеличилось по меньшей мере на 20%. Самым распространенным инструментом стали программы-вымогатели (63% случаев). Увеличение количества киберпреступлений в том числе связано с тем, что люди в условиях пандемии стали проводить больше времени дома и для некоторых из них кибератаки стали своеобразным развлечением.
Особенно в категории киберпреступников «отличаются» дети школьного возраста. Так, один из первых взломов транспортной инфраструктуры произошел в 2008 году в польском городе Лодзь: именно школьник из исследовательского интереса взломал систему управления трамваями. В результате его действий с рельс сошло четыре трамвая и пострадало несколько десятков человек.
В мае 2016 года российский хакер Игорь Шевцов нашел уязвимость в программе «Мой проездной», через которую можно пополнять карту «Тройка», взломал ее, начал ездить на городском транспорте бесплатно — и даже создал приложение для Android под названием TroikaDumper для других желающих сэкономить на проезде. Как только об этом стало известно, служба московского метрополитена сообщила, что устранила баг.
Однако настоящие киберпреступники могут быть мотивированы далеко не жаждой познания или экономии. В первую очередь их интересуют деньги в обмен на данные конкретного пользователя или информацию компании. Еще одна потенциальная мотивация — возможность парализовать работу предприятия, нанести ущерб репутации компании.
Часто для этих целей используются вирусы-шифровальщики — программы, которые полностью блокируют работу различных систем, чаще всего с требованием выкупа. Например, в 2021 году хакеры атаковали подобным образом информационные системы американского подразделения Kia Motors и потребовали выкуп в размере 404,5 биткоинов за расшифровку данных. Вирусный сбой затронул мобильные приложения UVO Link, телефонные службы, платежные системы, а также официальный и внутренние порталы, используемые дилерскими центрами.
Как можно влезть в автомобиль и что с ним можно сделать удаленно
В 2015 году исследователи Чарли Миллер и Крис Валасек обеспокоились вопросами кибербезопасности и стали исследовать эту тему на автомобиле марки Jeep. В итоге они нашли уязвимость в телематическом навигационном блоке, с помощью которого дистанционно «залезли» внутрь автомобиля и расшифровали сообщения, которые ходили по защищенной сети. Миллер и Валасек смогли удаленно взять управление автомобилем на себя: начали баловаться окнами и дворниками, а потом и вовсе скинули машину в кювет. Они могли регулировать скорость и крутить руль: это был первый серьезный публичный кейс — после него автопромышленность начала смотреть на кибербезопасность более серьезно.
Технически мы можем представить себе ситуацию, в которой машина едет по скоростной трассе и ей удаленно выключают двигатель или управление. Чисто теоретически хакер может удаленно перехватить управление у водителя, сидящего за рулем. Пугаться, однако, не стоит: сделать это получится далеко не с каждым автомобилем — все зависит от того, насколько уязвима электроника внутри машины.
В 2021 году хакер, нашедший «ключ» к телематическому блоку, не сможет управлять рулем и тормозами. Раньше блоки внутри автомобиля работали через некую центральную шину; сейчас же они разделены между собой по функциям и могут зависеть друг от друга только в их рамках — без взаимодействия с центральной осью.
Как обезопасить себя и свой автомобиль
Самое главное при обнаружении кибератаки — вовремя остановить ее распространение внутри автомобиля. Для борьбы с этой проблемой в России уже есть обязательная сертификация по физической безопасности, и совсем скоро появится дополнительная обязательная сертификация по кибербезопасности.
Коммерческий сектор также разрабатывает решения по борьбе с киберпреступниками: Например, в 2019 году компания Jaguar Land Rover заключила сотрудничество BlackBerry и начала использовать их софт для кибербезопасности во всех своих новых автомобилях. По условиям сотрудничества BlackBerry также помогает выявлять потенциальные уязвимости в системах безопасности транспортных средств, в том числе, в беспилотниках.
Специализированные решения для автомобильной индустрии придумывает и KasperskyOS. На электронный блок автомобиля антивирус поставить нельзя, поэтому компания разработала платформу на базе международных стандартов для телематических блоков или автопилотов. Механизм, который лежит в ее основе, запрещает все неавторизованные действия. Так, если навигационная система вдруг захочет увеличить скорость до 200 км/ч, то эта активность будет заблокирована автоматически.
Кроме того, подобными разработками начали заниматься Panasonic и McAfee: компании договорились о строительстве операционного центра управления безопасностью транспортных средств, чтобы вовремя обнаруживать атаки и реагировать на них.