Nová auta chráněná před kybernetickými útoky… a nezávislými servisy

29. ledna 2021, 12:45

Na mezinárodní scéně jsou v současné době konzultovány nové předpisy, jejichž cílem je zajistit kybernetickou bezpečnost vozidel. Pokud bude tvorba bezpečnostních opatření svěřena pouze výrobcům vozidel, mohou být nezávislé servisy vyloučeny z oprav nejen nových aut.

Kybernetická bezpečnost = nebezpečí pro IAM?

V současné době většina nových vozidel neustále komunikuje s výrobcem prostřednictvím telematických systémů. Musí být odpovídajícím způsobem chráněny před útokem, kterým by neoprávněná osoba mohla převzít kontrolu nad vozidlem nebo jím generovanými údaji. Ve světě jsou již známé případy útoky hackerů, kterým se podařilo proniknout do systémů vozidla a způsobit tak poškození nebo umožnit krádež. Současně s vývojem telematických systémů a jejich funkcí bude nutné vytvořit širší a spolehlivější opatření v oblasti kybernetické bezpečnosti.

V současné době nikdo nezpochybňuje skutečnost, že by bezpečnostní opatření měla být vytvářena výrobci vozidel, kteří chtějí svým zákazníkům nabídnout zcela bezpečný a funkční produkt.

„Problém je v tom, že pokud jim přenecháme v tomto ohledu celou iniciativu, bez předpisů a nástrojů zajišťujících zájmy ostatních účastníků automobilového trhu, může to současně umožnit vyloučení nezávislých autoservisů z možnosti poskytování údržby a servisu vozidel. Taková hrozba se v poslední době stala zcela reálnou díky návrhu přímo implementovat dva předpisy EHK OSN o kybernetické bezpečnosti do právních předpisů Evropské unie. Předpokládají, že problematika kybernetické bezpečnosti vozidla je zcela v rukou jeho výrobce. Výrobce by samostatně vytvořil všechny systémy pro správu kybernetické bezpečnosti, konfiguroval, spravoval, aktualizoval a kontroloval je sám. Řešení použitá v oblasti kybernetické bezpečnosti by v momentě homologace vozidla nepodléhala kontrole, přezkoumávalo by se pouze to, zda takové systémy byly či nebyly použity,“ říká Alfred Franke, prezident polské Asociace distributorů a výrobců automobilových dílů (SDCM).

Kybernetická bezpečnost jako nástroj pro vyloučení nezávislých autoservisů z trhu?

Implementace předpisů v této podobě by pro výrobce znamenala volnou ruku při vývoji řešení, která blokují neoprávněné (podle jejich názoru) zásahy do systémů vozidla, a to i během servisu.

„Pokud budou předpisy EHK OSN převedeny do právních předpisů Evropské unie bez jakýchkoli ustanovení zajišťujících práva všech aktérů automobilového trhu, zajistí to výrobcům aut plnou kontrolu, jako subjektům zodpovědným za bezpečnost vozidla při vyhodnocení rizika souvisejícího s diagnostikou pomocí skenovacích zařízení,“ říká Rafał Sosnowski, prezident Asociace automobilových technologií, člen představenstva organizace EGEA (European Workshop Equipment Association). „To znamená, že výrobci vozidel budou moci stanovit vlastní standardy na základě vlastního posouzení rizik (každý výrobce jiným způsobem a na jiném základě), což ovlivní ostatní, nezávislé účastníky trhu a jejich schopnost jednat. Taková subjektivní pravidla přiznávají výrobcům vozidel příliš mnoho práv bez jakéhokoli závazku, čímž otevírají možnost úplného ukončení jakékoli nezávislé komunikace s vozidlem a jakékoli soutěže ve jménu „kybernetické bezpečnosti“. Uvedu příklad – servis, který není v síti daného výrobce, nebude schopen vyměnit motorový olej nebo brzdové destičky, protože nebude moci vymazat olejový servis nebo chybu „opotřebení brzdových destiček,“ dodává Rafał Sosnowski.

V praxi by servisní zásahy nezávislých opraváren mohly být bezpečnostním systémem vozidla vyhodnoceny jako kybernetický útok a okamžitě zablokovány. Jakékoli akce v rámci celé architektury vozidla by vyžadovaly povolení výrobce a ověřený uživatelský profil. Jinými slovy, výrobce by rozhodl, které subjekty budou mít přístup k jaké části vozidla a jaké činnosti mohou vykonávat.

Blokování přístupu k vozidlům z důvodu bezpečnosti? Už se to děje!

Někomu mohou výše zmíněné informace připadat jako problém, který je časově vzdálený nebo málo reálný. Přitom již na trhu proběhly podobné snahy výrobců, i když v menším měřítku. Stačí si připomenout situaci z doby před několika lety, kdy koncern Fiat Chrysler Automotive (FCA) jako první výrobce automobilů použil ve svých OBD rozhraních Security Gate Way. V té době nezávislé servisy neměly plný přístup k diagnostice nově vyrobených automobilů koncernu. Bylo to možné pouze v autorizovaných servisech značek FCA. Nezávislý servis například mohl přečíst chybu z řídící jednotky vozidla, ale nebylo možné ji odstranit. Pouze na základě individuálních dohod s výrobcem získali nezávislí výrobci diagnostických zařízení plný přístup k datům. Nebylo to však rychlé, bezproblémové a ani bez nákladů.

Vyšší náklady výrobců multibrandových diagnostik se samozřejmě promítly do vyšších cen pro servisy. V případě jedné nebo dvou značek vozidel by to nebyl příliš velký problém, ale dnes víme, že použití Security Gate Way plánuje řada dalších výrobců. Aktuálně diskutovaný zákon by výrobcům automobilů nejen umožňoval podobné postupy, ale dokonce by v tomto ohledu rozšířil jejich možnosti. Bylo by umožněno zcela blokovat přístup, a to i k nejjednodušším diagnostickým funkcím.

Kompromis mezi kybernetickou bezpečností a volným trhem je možný

Jak zabránit tomu, aby se s nezávislými servisy v budoucnu nezacházelo stejně jako s hackery nebo zloději automobilů?

„Je nezbytný účinný zásah na unijním fóru, samozřejmě s podporou jednotlivých členských vlád. Organizace zastupující nezávislý automobilový trh nejsou proti kybernetickým řešením zvyšujícím úroveň zabezpečení vozidel. Každá strana si uvědomuje, že je nutná náležitá ochrana automobilových systémů. Zastánci volného trhu však poukazují na to, že přijetí ustanovení navrhovaných EHK OSN ze strany Evropské unie bez určitých záruk a předpisů by bylo vážným porušením hospodářské soutěže,“ dodává Alfred Franke.

Na unijním fóru bojuje za kompromisní řešení sdružení AFCAR (Alliance for Freedom of Car Repair), podporované federací FIGIEFA a sdružením EGEA. Podle jejich názoru by optimálním řešením pro trh bylo zavedení bezpečnostního osvědčení jednotného pro celou Evropskou unii. Nesmí být možné, aby se zákonodárce EU vzdal své odpovědnosti předcházet postupům, které vylučují významný počet provozovatelů z trhu.

AFCAR, který vydal oficiální stanovisko nezávislého trhu pro evropské politiky, navrhuje, aby zahrnutí nařízení EHK OSN o kybernetické bezpečnosti do právního rámce EU bylo doprovázeno důkladnými prováděcími doložkami stanovujícími několik předpokladů. Ty by museli výrobci vozidel splnit, aby bylo zajištěno, že všechny zúčastněné strany mohou i nadále fungovat efektivně, nediskriminačním a konkurenčním způsobem. Jinými slovy, orgány EU by měly mít kontrolu nad některými aspekty bezpečnostních prvků, které výrobci vyrábějí. Měli by mimo jiné zkontrolovat, zda přístup k diagnostice vozidel nezávislými subjekty není blokován a není považován za kybernetický útok. Diagnostika a servis by měly být plně k dispozici na žádost majitele vozidla, který by jej mohl autorizovat sám (například tím, že poskytne servisu jedinečný kód).

„V posledních letech se diskutovalo o mnoha problémech souvisejících s přístupem k informacím nebo o možnosti přeprogramování ovladačů, které vždy skončily kompromisem. Jsem přesvědčen, že i tentokrát prokáže každá strana profesionalitu, vozidla budou bezpečná a volný trh se bude i nadále rozvíjet,“ shrnuje Rafał Sosnowski.

Komentáře

Komentář musí být delší než 5 znaků!

Potvrďte prosím předpisy!

Pavel, 2. února 2021, 20:45 0 0

Současnost je již jiná...

Odpověď