Skoda и Volkswagen — очередные производители автомобилей, в машинах которых были обнаружены уязвимости, позволяющие злоумышленникам удаленно выполнять код. Эксплойты могут варьироваться от отслеживания GPS-координат и данных о скорости до записи разговоров в автомобиле через микрофон в салоне и, при достаточной квалификации, даже контроля таких функций, как остановка и запуск двигателя. Эти инциденты подтверждают, что уязвимости в системе безопасности подключенных автомобилей продолжают оставаться проблемой, пишет в корпоративном блоге Пэдди Харрингтон, старший аналитик Forrester.
Современные автомобили — это фактически разветвленная сеть устройств Интернета вещей, подключенных через шлюз к Интернету для связи с производителем автомобиля. В зависимости от возраста автомобиля его внутренние компоненты могут быть как совершенно новыми (что, скорее всего, означает, что при программировании учитывались соображения безопасности), так и устаревшими более чем на десятилетие, поэтому невозможно сказать, сколько уязвимостей безопасности содержится в том или ином автомобиле. Кроме того, современные удобства, такие как мобильные приложения для информационно-развлекательной системы или дистанционный запуск/остановка двигателя, позволяют владельцам удаленно взаимодействовать с автомобилем через Интернет. И, как и во всех устройствах, подключенных к Интернету, хакеры просто обожают находить новые уязвимости, которые дают им возможность контролировать устройство или автомобиль, придавая новый смысл термину «взломать компьютер».
Другая проблема современных подключенных автомобилей заключается в том, что они собирают много данных как с самого автомобиля, так и с подключенных к нему устройств. В 2023 г. федеральный судья в США вынес решение по коллективному иску о том, что производители автомобилей имеют право использовать данные, которые они собирают из проданного вам автомобиля, включая записи телефонных разговоров и текстовые сообщения, которые вы отправляете через информационно-развлекательную систему. Это серьезный вопрос конфиденциальности, но учитывая, что многие сотрудники подключают свои рабочие или личные смартфоны к своему или к арендованному автомобилю, это означает, что данные о бизнесе могут собираться этими автомобилями, передаваться производителю, а автопроизводитель может использовать их по своему усмотрению. Возможно вас это не беспокоит, но Ford, например, рассчитывает получить патент на запись разговоров, которые происходят внутри автомобилей этой марки, для того, чтобы подавать вам таргетированную рекламу. Реклама в браузере на вашем компьютере — это уже достаточно плохо, но в автомобиле!? Это означает, что Ford (и, возможно, другие автопроизводители) могут получить доступ к любому разговору, который вы ведете в своем автомобиле, что потенциально может поставить под угрозу коммерческие тайны или даже секреты национальной безопасности.
Что же можно с этим сделать? С технологической точки зрения, не так уж много. Да, как руководитель организации, вы можете использовать унифицированные решения для управления конечными точками, чтобы получить лучший контроль над мобильными устройствами, которые используются для ведения дел в вашей организации, и предложения по защите от мобильных угроз для обеспечения безопасности этих конечных точек. Но как только устройство начинает взаимодействовать с подключенным автомобилем, у вас практически нет контроля над тем, какая информация передается автомобилю, кроме как возможности просто не разрешить это делать. С точки зрения организационной политики вам необходимо ввести меры по информированию сотрудников о том, что некоторые автомобили (особенно новые) могут собирать бизнес-данные и как снизить эти риски. Это то же самое, что и существующие политики, которые многие организации внедрили для обучения сотрудников правильному использованию BYOD, например, не подключаться к открытому Wi-Fi в кофейне.
Современные автомобили несут в себе множество рисков для конфиденциальности, и все больше людей это осознают.
