Възможно ли е една държава да парализира цял автопарк от електрически превозни средства с едно натискане на бутон? Могат ли хакери да поемат контрол над автомобили, които не са техни? Дали микрофонът в колата ни може да се превърне в подслушвателно устройство? Тези въпроси, свързани с киберсигурността на електрическите автомобили, повдигат сериозни опасения. Важно е обаче да отхвърлим преувеличенията и да се съсредоточим върху оценки, базирани на реални рискове, тъй като предизвикателствата пред електромобилите далеч не се изчерпват само с дигиталните заплахи.
Електрическите автомобили безспорно представляват бъдещето на транспорта. В момента по света се движат около 1.2 милиарда превозни средства, като 97% от тях разчитат на двигатели с вътрешно горене. Именно те са отговорни за приблизително 10% от глобалните емисии на парникови газове. През следващите 10 до 15 години климатичните цели в много страни вероятно ще се трансформират в правителствени политики, които ще забраняват или значително ще ограничават продажбите на автомобили, работещи с изкопаеми горива. Според прогнозата на DNV за енергийния преход, до 2033 г. 50% от продажбите на пътнически превозни средства в световен мащаб ще бъдат електрически, като Европа и Китай ще са водещи на този пазар. Очаква се до 2050 г. броят на пътническите автомобили да достигне около 2 милиарда, но емисиите от сектора драстично ще намалеят. Две трети от тези превозни средства ще бъдат изцяло електрически, изпреварвайки двигателите с вътрешно горене благодарение на високата си ефективност, ниските експлоатационни разходи и подкрепящите политики.
От гледна точка на киберсигурността, преходът не е просто от гориво към батерии. Той е от автомобили с “дигитални екстри” към напълно дигитално трансформирани и постоянно свързани превозни средства. Десетки компютри и стотици сензори управляват и оптимизират всяка функция – от спирачките и електрическия поток до зареждането. Тези системи непрекъснато комуникират помежду си и се свързват чрез 4G, а скоро и 5G мрежи, с външна инфраструктура, услуги на трети страни и други превозни средства. Подобни иновации в електромобилите предлагат огромен потенциал за намаляване на емисиите, повишаване на безопасността, максимална ефективност и превръщане на пътуването в по-комфортно изживяване. Често обаче технологиите и системите се разработват и внедряват, без да се отчитат изцяло последиците за сигурността. Един пример е система за управление, която “вижда” позицията на други автомобили, позволявайки им да се движат в колони за икономия на енергия. Това обаче означава споделяне на данни в реално време и създава мощен вектор за атака. Ако данните не са адекватно защитени, те могат да бъдат използвани за проследяване на лица и техните навици.
Въпросът за съществуването на “голям червен бутон”, който да изключи електромобилите, често попада в медийните заглавия. Именно по-широкото свързване на оперативните технологии (ОТ) – системите, които наблюдават, автоматизират и контролират физическите компоненти на превозното средство – с информационните технологии и интернет, поражда тези опасения. Технически е възможно нападател да използва “задна врата”, за да изключи напълно автомобил, ако той е свързан с външния свят. Веднъж получил достъп до една система в автомобила, хакерът потенциално може да проникне и в останалите.
Но ако разгледаме това от гледна точка на риска, каква би била реалната мотивация за подобни драматични кибератаки срещу оперативните системи на електромобилите? Държавите и автомобилните производители се ръководят от икономически интереси и бизнес логика. Ако подобен “превключвател за блокиране” бъде използван или дори само открит, това би нанесло непоправими щети на съответния бизнес и част от икономиката. От обществена гледна точка, ако нападателят цели широкомащабно смущение, най-ефективният начин би ли бил блокирането на отделни електромобили? Едва ли. Много по-вероятно е целта да бъде насочена към по-широка енергийна инфраструктура – от вятърни паркове до електроцентрали и електрическата мрежа. Атаки срещу ключова инфраструктура, като сателити, например, биха могли да засегнат електромобилите, които разчитат на тях. От друга страна, увеличаването на броя на зарядните станции и свързаните с тях устройства, които се свързват към мрежата, разширява повърхността за атаки. Много от тези устройства може да не са проектирани с адекватна киберсигурност, което показва, че оперативната сигурност на електрическите превозни средства е по-скоро инфраструктурен проблем, с потенциал за смущения в електропреносната мрежа.
За автомобилните производители по-вероятен риск са репутационните и финансови щети, причинени от конкуренти или други злонамерени участници. Уязвимостите могат да бъдат използвани за предизвикване на сравнително незначителни оперативни проблеми, засягащи зареждането, ефективността или обхвата на превозното средство. За да управляват този риск, производителите трябва да осигурят своите вериги за доставки и да гарантират сигурността на доставчиците от трети страни. Това също така представлява възможност за придобиване на конкурентно предимство чрез демонстриране на надеждни мерки за сигурност. За индивидуалните собственици на електромобили, атаките срещу оперативните технологии е малко вероятно да представляват пряк риск за личната сигурност извън по-широките ефекти върху обществото.
Много по-вероятно е най-големият риск за хората да произтича от персонализирани данни, извлечени от това, което по същество е гигантски набор от сензори. Връщайки се към идеята за “големия червен бутон” – ако някой е определен като заплаха за сигурността, бихте ли изключили колата му с всички очевидни последици, или по-скоро бихте събрали данни за него тихомълком? Най-големият личен риск при електрическите автомобили е способността за наблюдение и събиране на информация. Вместо да сравняваме електромобилите с енергийни активи като вятърни паркове, по-удачно е да ги оприличим на домашни смарт електромери. Те събират лични данни и предоставят информация за поведението на хората. Попадат в сферата на потребителските устройства, свързани чрез домашни Wi-Fi мрежи. Достъпът до събраните данни – чрез хакване или просто чрез злоупотреба – може да представлява риск за сигурността или най-малкото за поверителността. Да, камерите и микрофоните потенциално могат да бъдат хакнати, но същото важи за микрофон в автомобил с двигател с вътрешно горене или много други устройства, които използваме ежедневно.
Разликата е, че електрическият автомобил може дори да не се налага да бъде хакнат, за да представлява риск. Целостта на данните може да е по-големият проблем. Сервизна станция – вероятно управлявана от механици, а не от киберспециалисти или експерти по управление на данни – може да има достъп до системи и да изтегля информация при обслужване на превозно средство. Невинаги има прозрачност относно начина, по който организациите третират данните, независимо дали става дума за сервиз, производител, доставчик на компоненти или доставчик на онлайн услуги. С напредването на ерата на електромобилите, адекватната защита на тези данни ще бъде от първостепенно значение.
