Автомобиль под прицелом

Атаки хакеров на транспорт множатся.

За последние годы транспортный сектор подвергся существенной цифровой трансформации. Это значимо повлияло и на эффективность работы, и на удобство пассажиров. Однако с внедрением все новых информационных технологий отрасль становится все более уязвимой для различных киберугроз, которые могут не только нарушить работу отдельной компании, но и повлиять на экономику государства в целом.

Киберриски представляют растущую угрозу транспортной отрасли. При этом почти 97% всех атак на транспортные средства и экосистему мобильности совершаются дистанционно. В некоторых случаях они приводили к недопустимым для компаний последствиям. Например, KNP Logistics – одна из крупнейших частных логистических групп Великобритании – объявила себя неплатежеспособной, ссылаясь на атаку вымогателей, затронувшую ключевые системы, процессы и финансовую информацию. В ноябре 2023 года крупнейший портовый оператор Австралии DP World приостановил работу сразу в нескольких портах страны после произошедшей кибератаки. В результате были затронуты 40% контейнерных перевозок Австралии, что вызвало задержку в обработке более чем 30 тыс. контейнеров и переполнение складских площадей.
По данным Positive Technologies, с 2020 года количество кибератак во всем мире увеличилось по меньшей мере на 20%. Более всего атакам подвержен автотранспортный сектор как наиболее распространенный и многочисленный. Около 64% всех зафиксированных атак на автомобили совершают черные хакеры. Доля инцидентов с 2022 по 2023 год с «критическим» или «массовым» уроном удвоилась, составив почти 50% от всех. Одна из превентивных мер защиты от киберугроз – активное развитие регуляторного поля, считает гендиректор компании «Технологии безопасности транспорта» (ТБТ) Владимир Педанов. С ним беседует наш корреспондент.
– Какие объекты становились предметами атаки за прошедший год?
– Статистика неумолима, поэтому для наглядности проиллюстрирую проблему в цифрах за 2022 год. Если принять за 100% число киберинцидентов, то атаки на телематические сервисы составили 35%, на системы бесключевого доступа – 21%, электронику, ЭБУ и блоки телематики – 14%, API–интерфейсы smart mobility – 12%, мультимедиа системы – 8%, мобильные приложения – 6% и на зарядную инфраструктуру – 4%.
К сожалению, для реализации большей части таких атак (атаки на телематические сервисы, облачные инфраструктуры, API–интерфейсы, мультимедиа системы, мобильные приложения и зарядную инфраструктуру) даже не нужно иметь специфических знаний об инжиниринге автомобилей. Реализация такого
перечня атак доступна большинству хакеров. При этом исследователи автомобильной кибербезопасности все чаще отмечают увеличение числа атак, совершаемых отраслевыми специалистами (как черными, так и белыми хакерами).
– Автовладельцам важна тенденция. На какие из перечисленных вами систем и сервисов число атак растет?
– Почти на все. За прошлый год отмечен заметный рост атак на телематику, облачные платформы, мультимедийные системы. При этом атаки на зарядную инфраструктуру остались на прежнем уровне. Снизился процент атак на ЭБУ и другие блоки электроники, а также на системы бесключевого доступа. И если у вас возникает мысль, что это больше актуально для пользователей личными автомобилями, то это не так. Все больше объектами воздействия становятся автопарки, агрегаторы таксомоторных компаний, логистические транспортные узлы.
– И какой вывод вы делаете из сказанного?
– Растет процент удаленно совершаемых атак, в результате которых воздействию подвергается сразу много транспортных средств.
Наша справка. В 2023 году количество успешных атак на транспортную отрасль увеличилось во всем мире на 36% по сравнению с 2022–м. Эксперты связывают такой рост с общим увеличением числа кибер-
атак, а также с продолжающейся деятельностью хактивистов, атакующих объекты значимой инфраструктуры. Традиционно наиболее популярными объектами атак в 2023 году стали компьютеры, серверы и сетевое оборудование – по нашим подсчетам, на них было направлено 87% всех успешных атак на транспортную отрасль. В половине случаев мишенью становились веб–ресурсы компаний. В каждом пятом случае зло-
умышленники проводили атаки с использованием социальной инженерии, по большей части путем рассылки фишинговых писем.
– Для создания инструментов противодействия зло-
умышленникам необходимо выявлять ниши уязвимости.
– Ландшафт угроз уязвимости современных транспортных средств весьма широк. Основная причина таких угроз связана с непреднамеренными действиями человека, способствующими кибератаке. Чаще всего угрозы транспортным средствам возникают в процессе процедур обновления OTA (метод обновления программного обеспечения, предполагающий отправку последних версий через Wi–Fi или мобильную сеть передачи данных. – Прим. ред.). Их можно отнести к числу уязвимостей, связанных с внешней связью (атаки через bluetooth и SIM–карты) и соединениями при некорректном использовании или компрометации процедур обновления.
При этом хакеры находят уязвимости в системах сервисного обеспечения транспортных средств и используют такие инструменты, как манипуляции с телематикой, создание помех беспроводным системам или датчикам малого радиуса действия, манипуляции функциями Connected Сar (система, позволяющая с помощью мобильного приложения на платформе iOS или Android дистанционно контролировать автомобиль и управлять его системами. – Прим. Ред.) для кибератак, внедрение вирусов или перепрошивка компонентов (ЭБУ), извлечение данных кода из транспортных средств, компрометация криптографических ключей и т.д.
В определенной степени к разряду кибератак можно отнести воздействия в виде ограничений на процедуры обновления электронных блоков управления, с чем наши автовладельцы массово столкнулись в 2022 году, когда западные автопроизводители стали удаленно блокировать некоторый функционал автомобилей.
Сохраняются и уязвимости транспортных средств для физического доступа к ним. Это технически более сложная задача, но все еще выполнимая.
Потенциально наиболее масштабно уязвимы автомобили китайских компаний, которые предельно напичканы электроникой, вследствие чего являются привлекательными для удаленного воздействия.
– Какие из внешних воздействий могут иметь трагические последствия?
– Те из них, которые способны привести к блокировке колес автомобиля, срабатыванию подушек безопасности или, например, воздействовать в процессе движения автотранспортного средства на двигатель и рулевое колесо.
Приведу такой пример. В 2015 году исследователи Чарли Миллер и Крис Валасек обеспокоились вопросами кибербезопасности и стали анализировать эту тему на автомобиле марки Jeep. В итоге они нашли уязвимость в телематическом навигационном блоке, с помощью которого дистанционно «залезли» внутрь автомобиля и расшифровали сообщения, которые ходили по защищенной сети. Миллер и Валасек смогли удаленно взять управление автомобилем на себя: начали баловаться окнами и дворниками, а потом и вовсе скинули машину в кювет. Они могли регулировать скорость и крутить руль: это был первый серьезный публичный кейс – после него автопромышленность начала смотреть на кибербезопасность более серьезно.
– Из сказанного вами следует, что кибератаки эволюционируют.
– Именно так. Динамика меняется. Ранее атаки производились на отдельные автомобили, и задачей ставилось причинение вреда транспортному средству либо его угон. При этом необходим был доступ к автомобилю. В наши дни масштаб угроз несопоставимо вырос. Инструментарий удаленного доступа к транспортным средствам легко находится в открытом доступе.
Наша справка. Первоначальные доступы в инфраструктуру транспортных компаний активно продаются на теневом рынке. Согласно данным Positive Technologies стоимость услуги сильно разнится: от 50 долл. США за доступ в небольшие организации и до десятков тысяч долларов за доступ с высокими привилегиями в крупные транспортные компании. В большинстве случаев (54% от общего числа объявлений за 2023–2024 годы) стоимость одного доступа не превышает 1000 долл. США.
Атакам подвергаются миллионы автомобилей без физического доступа к ним и при минимальных трудозатратах злоумышленников. Причем если раньше криминал носил в большей степени любительский характер, то сейчас фокус имеет вымогательскую направленность.
В качестве примера уязвимости облачных инфраструктур приведу инцидент осени 2022 года. Злоумышленники получили доступ к API серверов мобильного приложения «Яндекс.Такси». Хакеры заказали сотни такси в одну точку. Налицо транспортный коллапс в масштабах крупного района.
– То есть ущерб может быть нанесен как отдельным владельцам авто, так и большим автокомпаниям.
– А также производителям транспортных средств. По оценкам опубликованного отчета аналитиков из Accenture, в период с 2019 по 2023 год автомобильная промышленность потеряла 505 млрд долл. из–за киберпреступности. Здесь и репутационные и финансовые последствия кибератак, и утечки персональных данных, и нарушения конфиденциальности, и хищение транспортных средств и угоны, и финансовые последствия для страховых компаний, а также последствия для автопроизводителей и поставщиков критически важных компонентов.
Ущербу могут быть подвергнуты, помимо крупных автопарков, также владельцы беспилотных транспортных средств и сельскохозяйственных машин.
– Кто является субъектами угроз?
– Киберпреступники. Это целая индустрия. Формируется группа организованных игроков, которые планируют свою деятельность на уровне высокоэффективного бизнеса и передовых компаний. Их мотивами являются прямая финансовая выгода (злоумышленники могут начать атаку, после чего отправить сообщение с требованием выкупа, чтобы она была прекращена), промышленный шпионаж, ведущий к возможной финансовой выгоде, поиск конкурентного преимущества.
Еще одна группа злоумышленников – хактивисты. Это отдельные лица или группы хакеров, которые осуществляют злонамеренную деятельность для продвижения повестки дня, а не для получения денежной выгоды. Их цель – продвигать политическую, религиозную или социальную повестку дня. Данное сообщество часто борется с реальной или предполагаемой несправедливостью.
Наша справка. В каждом втором инциденте были успешно атакованы веб–ресурсы организаций, преимущественно это были DDoS–атаки. Подобная активность злоумышленников отмечается на фоне сложной геополитической обстановки. Кроме того, согласно отчету компании StormWall, в третьем квартале 2023 года количество DDoS–атак в транспортной отрасли выросло на 86% по сравнению с аналогичным периодом 2022–го. Такой рост связан с деятельностью групп хактивистов, возникших в результате напряженности в киберпространстве.
Наиболее серьезным субъектом является злоумышленник, спонсируемый государством. Эта группа специализируется на обнаружении уязвимостей и их использовании в определенные моменты времени для достижения конкретных национальных целей. Их основной мотив – нанесение критического ущерба инфраструктуре недружественного государства.
– Назовите основные тренды атак на транспортный сегмент.
– Главный тренд – их удаленный характер. Почти все атаки 2023 года совершались дистанционно. Больше чем две трети дистанционных атак 2023 года были совершены с большого расстояния. Последний год показал увеличение числа обмена информацией о кибератаках в даркнете (англ. DarkNet, «черный интернет», или «теневой интернет». – Прим. ред.). Хакеры, как белые, так и черные, обмениваются информацией об алгоритмах атак и инструментами для взлома. К сожалению, злоумышленников больше, чем исследователей в области безопасности.
Прослеживается тенденция к более широкому применению шпионского ПО. В транспортной отрасли 21% инцидентов произошел с использованием данного инструмента, что превышает значение 2022 года на 13%. Похожая ситуация наблюдается с вредоносным ПО для удаленного управления. Доля его использования увеличилась почти вдвое (15% атак с его использованием в 2023 году против 8% в 2022–м). Отмечу, что большинство remote access trojans (вредоносная программа, использующая функции удаленного доступа к пораженным ресурсам. – Прим. ред.) имеют функции шпионского ПО – в частности, такие программы умеют скрытно записывать экран пользователя и определять его местоположение, регистрировать ввод данных с клавиатуры. Способы доставки вредоносных программ могут различаться: злоумышленники создают мошеннические сайты, эксплуатируют уязвимости устройств, покупают доступы в целевые компании. Однако наиболее распространенным методом является рассылка вредоносных программ по электронной почте сотрудникам организаций: этот способ был отмечен в половине успешных атак с использованием ВПО, направленных на транспортный сектор в 2023 году.
– В какую приблизительную стоимость обходятся кибер-
атаки для автоиндустрии в целом?
– О потерях автоиндустрии уже было сказано. Отмечу, что к данному пласту можно отнести и так называемую умную мобильность. К примеру, в январе текущего года Tesla объявила об обнаружении 49 уникальных уязвимостей в автомобильных информационно–развлекательных системах, зарядных устройствах для электромобилей, модемах и т. д. и выделила 1 323 750 долл. США исследователям безопасности. Это пример лишь одной компании. Потери России за все годы составили порядка 76 млрд руб.
– Думаю, борьба с транспортной киберпреступностю невозможна без госрегулирования нормативно–правового поля в этой области.
– Разумеется, регуляторы не сидят сложа руки. Так, в октябре 2022 года. Европейская ассоциация автопроизводителей (ACEA) и Европейская ассоциация автомобильных поставщиков (CLEPA) объединили усилия с Auto–ISAC, чтобы создать центральноевропейский центр обмена информацией о кибербезопасности автомобилей. Центр начал работать в том числе во взаимодействии с Агентством кибербезопасности Европейского союза (ENISA).
Тогда же NHTSA (Национальное управление безопасностью движения на трассах) опубликовало обновленные рекомендации по кибербезопасности для новых транспортных средств. Документ рекомендует применять многоуровневый подход. Реализовывать идентификацию, защиту, обнаружение, реагирование и восстановление после кибератак. Описывается, как проводить постоянный мониторинг инцидентов и уязвимостей (VSOC).
Министерство промышленности и информационных технологий Китая (MIIT) опубликовало Руководящие принципы по созданию системы стандартов кибербезопасности и защиты данных в Интернете транспортных средств. Документ раскрывается подробно в 27 отдельных нормативно–технических актах, регулирующих порядок обращения с телематическими данными и безопасную разработку ТС.
Национальное полицейское агентство (NPA) Японии объявило о подготовке нового проекта закона о дорожном движении. Положения этого закона будут включать в себя регулирование мониторинга кибербезопасности транспорта (национальный VSOC), а также допуск на дороги автономного транспорта 4–го уровня.
Существует и международное регулирование в сфере автомобильной кибербезопасности. Например, UN Regulations WP29, ECE155, ECE156 – Правила ООН о единообразных положениях, касающихся официального утверждения транспортных средств в отношении кибербезопасности и их систем управления кибербезопасностью. Требования предписывают получение сертификата соответствия для компании и Vehicle Type Approval (сертификат, подтверждающий соответствие машины установленному уровню безопасности и прочим параметрам, принятым для транспортных средств. – Прим. ред.) для каждой модели автомобиля. Без этих сертификатов с 2024 года продавать транспортные средства в ряде стран будет невозможно.
Разработан также стандарт ISO/SAE 21434 «Дорожные транспортные средства – Инженерия кибербезопасности», который предписывает комплекс мер для автопроизводителей. Внедрение требований стандарта обязательно для сертификации автотранспортных средств.
– А что в России?
– Локальные нормотворческие акты, касающиеся исключительно транспортного сегмента, в стране пока не разработаны. За последние годы транспортный сектор страны также подвергся серьезной цифровой трансформации. Наряду с позитивом этот процесс несет и серьезные риски.
В России действует Федеральный закон «О безопасности критической информационной инфраструктуры (КИИ) Российской Федерации», который ввел понятия объектов и субъектов КИИ, а также обязанности организаций по обеспечению безопасности объектов КИИ. Согласно ему организации обязаны обеспечить безопасность объектов критической инфраструктуры.
Работа с персональными данными регулируется федеральным законом «О персональных данных». Для их хранения продумана определенная логика: согласно ей наиболее важные данные разделяются и хранятся в разных системах. Например, ФИО и дата рождения – в одной, а данные о водительских правах – в другой. Чисто теоретически злоумышленники могут взломать обе эти системы, собрать все эти данные воедино и воспользоваться ими, однако сделать это довольно сложно – мошенникам точно понадобится знание SQL или других инструментов для объединения данных.
Тем не менее утечки баз данных в Excel–формате – довольно частое явление: в таких случаях информации, которая содержится в таблицах, бывает достаточно для мошеннических операций в Интернете, но недостаточно для незаконных операций в офлайне.
В распоряжении правоохранителей имеется также статья 13.12.1. КоАП РФ «Нарушение требований в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации», которым предусмотрены штрафы от 10 тыс. до 500 тыс. руб. Однако объектами внимания данных актов являются, прежде всего, организации и предприятия критической инфраструктуры, а не отдельные владельцы автомобилей и других транспортных средств.

Беседу вел Шамиль БАЙБЕКОВ

* * *

От редакции. В России транспорт особенно значим для экономики, поэтому цифровая трансформация, одна из основ национального развития, пронизывает среди прочего и транспортный сектор. Согласно стратегии цифровой трансформации транспорта в ближайшие годы планируется активное внедрение технологий искусственного интеллекта, сбора и обработки больших данных, технологий в области управления производством, систем автоматизации управления. Ожидается, что интеграция новых технологий поможет сократить число ДТП, увеличить грузооборот, а также приведет к снижению стоимости логистических сервисов и увеличению средней скорости логистики на региональной маршрутной сети. Все эти изменения приведут к более эффективной и безопасной работе транспорта.
В то же время экспертное сообщество напоминает, что технологии должны быть, прежде всего, спроектированы и интегрированы с учетом принципов информационной безопасности, поскольку любое усложнение информационных систем увеличивает и количество потенциальных киберугроз.
Транспортный сектор имеет огромное значение для экономики и социальной жизни общества. Кибератака может нарушить нормальное функционирование города, региона или целого государства, а ее последствия могут нанести ущерб сразу нескольким отраслям экономики. Чтобы не допустить разрушительных последствий, регуляторам необходимо обращать внимание на потенциальные киберугрозы в масштабе отрасли, а компаниям транспортного сектора – выстраивать процессы информационной безопасности, основываясь прежде всего на понимании недопустимых для организации событий.