Какие способы защиты информации по обслуживанию и ремонту зарубежных автомобилей вы знаете
Как защитить информацию внутри компании: на бумаге или в электронных документах
Сотрудница одной компании отправляла секретные документы, и ей за это ничего не было. А в другой компании за похожее нарушение сотрудники получили по 2 года условно.
Виктория Краснова
Юрист по интеллектуальной собственности
Одна компания обнаружила, что сотрудница отправляет в соцсети фотографии конфиденциальных документов, и уволила ее. Но суд обязал компанию восстановить сотрудницу и выплатить компенсацию и моральный ущерб.
Другая компания узнала, что работники продают секретную документацию. Суд дал каждому 2 года условно.
Решение суда в таких делах зависит от того, насколько грамотно компания охраняет свои секреты.
Мы запускаем серию статей о том, как правильно защитить информацию внутри компании. Это первая обзорная статья, в ней собрали самое важное по теме.
Выберите информацию, которую стоит защитить
Компании хотят защитить информацию, которая помогает им зарабатывать.
Фирменное блюдо в кафе — салат с уникальным соусом. Посетители становятся в очередь, чтобы его попробовать, за ним приезжают из других городов. Хорошо бы хранить рецепт соуса в секрете: если сотрудник продаст его соседнему кафе, выручка упадет и бизнес серьезно пострадает.
В законе нет исчерпывающего списка сведений, которые можно защищать. Руководитель решает это сам.
Обычно компании защищают технологии производства товара, списки поставщиков и клиентов, условия сделок, финансовую отчетность, планы развития. Такую информацию можно включить в коммерческую тайну.
Есть перечень сведений, которые нельзя скрывать:
В таблице — примеры информации, которую можно и нельзя включить в коммерческую тайну:
| Можно | Нельзя |
|---|---|
| — Список клиентов и поставщиков |
— Способы и принципы ценообразования
— Маркетинговые исследования и рекламные кампании
— Технологические сведения о продукции
— Особенности производственных процессов
— Информация о методах управления и внутренней организации предприятия
— Деловая переписка
— Состав и квалификация персонала
— Потребительская информация о товаре — из чего состоит, когда произведен, условия использования и другое
— Задолженность по зарплате
— Список лиц, которые могут представлять организацию без доверенности
— Номер лицензии на осуществление деятельности
Защитите секретную информацию от сотрудников и сторонних партнеров
Чтобы защитить секретные данные, компании нужно пройти четыре шага:
Ввести режим коммерческой тайны. Это минимальная мера защиты информации. Она поможет объяснить сотрудникам, чем они не могут делиться и какое наказание будет, если они разболтают коммерческий секрет.
Чтобы ввести режим коммерческой тайны, компании нужно:
Стоит сделать неправильно — и вы уже не сможете оштрафовать или уволить сотрудника, который передает ценные сведения конкурентам.
Подробнее об этом расскажем в следующих статьях.
Сотрудницу уволили за разглашение коммерческой тайны, но компании пришлось ее восстановить и выплатить зарплату
Компания уволила секретаря за то, что она отправляла в мессенджере фотографии секретных документов. Сотрудница через суд потребовала восстановить ее в должности и компенсировать зарплату и моральный ущерб.
В компании был неправильно введен режим коммерческой тайны: невозможно было доказать, что документы входят в список конфиденциальных сведений, да и грифа «Коммерческая тайна» на них не было. А еще компания не смогла подтвердить, что сотрудница была ознакомлена с положением о коммерческой тайне.
Пришлось восстановить сотрудницу в должности и выплатить ей компенсацию.
Заключить договоры на создание продуктов. Во многих компаниях сотрудники разрабатывают: пишут коды, статьи, создают музыку, придумывают дизайн для сайтов и книг. По общему правилу все, что сотрудник создает в рабочее время и в рамках служебных задач, принадлежит компании. Но ничто не мешает работнику сказать, что он делал проект в свободное время.
Чтобы не оставаться без ценных наработок, когда человек увольняется, пишите технические задания, заключайте договоры на создание продуктов, подписывайте акты приемки-передачи изобретений и оформляйте передачу исключительных прав на служебное произведение от автора к вашей компании. Об этом тоже расскажем подробнее в следующих статьях.
Компания не заключила договор с сотрудником и потеряла разработанный продукт
Сотрудник компании «Амедико» разработал мессенджер для телемедицины. После увольнения он открыл новую компанию — «Телепат», передал этой компании исключительные права на мессенджер и стал его продавать.
«Амедико» обратилась в суд с требованием, чтобы «Телепат» прекратил продажи мессенджера и выплатил компенсацию 5 млн рублей. Но компания не смогла подтвердить, что мессенджер был создан в рабочее время и в рамках служебных обязанностей. Суд отказал в удовлетворении иска.
Защитить интеллектуальную собственность компании. Вы можете защитить:
Если интеллектуальную собственность для компании создают сотрудники, главное — договор на создание произведения, о котором мы уже говорили. При работе с подрядчиками тоже важно прописать в договоре, что права на продукт переходят вам.
Если заказываете логотип в дизайнерском бюро, проверьте, чтобы в договоре была прописана передача прав на логотип и авторский гонорар за это. Также в договору должны прилагаться техническое задание и акту приема-передачи.
Ввести режим конфиденциальности с внешними партнерами. Так партнеры не смогут использовать вашу информацию в своей работе. Если это случится, вы сможете потребовать, чтобы партнер прекратил это делать и выплатил компенсацию.
Вы дали разработчику пароль от вашей CRM, а он скачал себе базу клиентов и продал ее конкурентам. Если по договору это была конфиденциальная информация, можно обратиться в суд.
Режим конфиденциальности может сработать и в более мирных условиях.
Владельцу пекарни нужно оборудование на кухню. Он нашел поставщика, который не только привезет нужные приборы, но и установит их. Пекарю важно, чтобы детали сделки оставались в секрете, и он подробно расписал в договоре, что нельзя рассказывать: название оборудования, стоимость, количество и другие детали поставки.
Поставщик привлек подрядчика для установки оборудования и рассказал, что и в каком количестве нужно установить в кафе. В таком случае хозяин пекарни можете подавать на поставщика в суд и требовать штраф: условия конфиденциальности были нарушены.
Без коммерческой тайны ввести режим конфиденциальности нельзя.
Компания дала сотрудникам доступ к личному кабинету партнера и заплатила за это 400 000 ₽
По договору компания «Терминал Сервис» гарантировала компании «Виакард», что логин и пароль от личного кабинета в их системе будут доступны только одному сотруднику в компании. Но фактически логин и пароль были вывешены на сайте «Терминал Сервис» в свободном доступе. Любой мог зайти в личный кабинет.
Суд счел это нарушением конфиденциальности и оштрафовал «Терминал Сервис» на 400 000 ₽.
Когда секретная информация защищена сама по себе
Есть несколько случаев, когда информацию нельзя разболтать или использовать в личных целях, даже если у компании нет режима коммерческой тайны и конфиденциальности:
Переговоры. Если во время переговоров по сделке вы рассказали партнеру секретную информацию, он не имеет права передавать ее или использовать в личных целях, даже если договор в итоге не заключили.
Договор на научно-исследовательские и опытно-конструкторские работы. Если вы заказываете разработку детали для графического планшета, который хотите выпустить на рынок, или строительный план здания, где будет ваш офис, — партнеры обязаны сохранить в тайне предмет договора, особенности рабочего процесса и его результаты.
Договор подряда. Например, вы передали подрядчику конфиденциальную информацию, которая нужна для выполнения работ. Он не имеет права передавать ее кому бы то ни было без вашего разрешения. Даже заключать договор субподряда, раскрывая ключевые сведения вашего соглашения.
Корпоративный договор — это соглашение, которое учредители подписывают, когда открывают компанию. В нем они договариваются, как будут управлять компанией, как распоряжаться имуществом компании и как из нее выйти, прописывают правила приема новых учредителей. По общему правилу все, что написано в корпоративном договоре непубличного общества, конфиденциально.
Наказать за раскрытие коммерческой тайны
Если не спросил разрешения и поделился вашими конфиденциальными сведениями, можно его наказать одним из таких способов:
| Ответственность | Наказание | Основание |
|---|---|---|
| Дисциплинарная | В зависимости от вины, по решению руководителя компании: |
—замечание
Закон не запрещает применять материальное и дисциплинарное наказание за одно и то же нарушение
Штраф для должностных лиц — от 4000 до 5000 ₽
В зависимости от тяжести проступка, наказание может применить компания — объявить выговор или уволить работника — или назначить суд — штраф или тюремное заключение.
Сотрудники решили продать конфиденциальные сведения и получили по 2 года условно
Сотрудники продавали через интернет отчетность компании по одной из товарных категорий. Во время контрольной закупки их поймали.
Сотрудники пытались оправдаться тем, что все данные из отчетности и так можно было найти на официальном сайте компании, но суд не поверил в эти оправдания. В компании был установлен режим коммерческой тайны, где было четко прописано, какие сведения считаются конфиденциальными.
В итоге обоих сотрудников осудили на 2 года условно и запретили переезжать до окончания наказания.
Партнеров тоже можно привлечь к ответственности. Чаще всего через суд добиваются выплаты компенсации.
ИП нарушил условия агентского договора о конфиденциальности и выплатил штраф
ИП заключил с компанией агентский договор, по которому должен был привлекать клиентов и продавать продукцию компании на определенной территории. Потенциальный клиент обратился в компанию, чтобы купить продукцию. По правилам договора клиент был передан ИП. Но ИП отправил клиенту прайс другого производителя. Это стало известно компании.
Она обратилась в суд, чтобы получить компенсацию от ИП за то, что он нарушил условия агентского договора. По нему ИП не должен пользоваться информацией компании, в том числе данными о клиентах, в личных целях.
Суд принял сторону компании и обязал ИП выплатить штраф 100 000₽ и судебные издержки.
Главное
Защищать можно любую информацию, которая может принести вашей компании прибыль, если это не запрещено законом.
Для защиты ценной информации:
За незаконное распространение коммерческой информации нарушителя могут уволить, назначить штраф до 1 500 000 ₽ или посадить в тюрьму на срок до 7 лет.
Подписка на новое в Бизнес-секретах
Подборки материалов о том, как вести бизнес в России: советы юристов и бухгалтеров, опыт владельцев бизнеса, разборы нового в законах, приглашения на вебинары с экспертами.
Сейчас читают
Необоснованная налоговая выгода: что это такое и как бизнесу избежать штрафов и доначисления налогов
Если ФНС выявит необоснованную налоговую выгоду, бизнесу могут доначислить налоги и назначить штраф. Разбираем, как экономить на налогах без негативных последствий
Оферта: что это и зачем она нужна
Одному бизнесу оферта поможет ускорить заключение договоров с клиентами, а другому — будет нужна по закону. Что включить в оферту и как избежать типовых ошибок — в статье
Что может проверить Роспотребнадзор в продуктовом магазине
Каким санитарным нормам должен соответствовать продуктовый магазин и что будет проверять Роспотребнадзор
Рассылка для бизнеса
Получайте первыми приглашения на вебинары, анонсы курсов и подборки статей, которые помогут сделать бизнес сильнее
© 2006—2021, АО «Тинькофф Банк», Лицензия ЦБ РФ № 2673 — Команда проекта
Тинькофф Бизнес защищает персональные данные пользователей и обрабатывает Cookies только для персонализации сервисов. Запретить обработку Cookies можно в настройках Вашего браузера. Пожалуйста, ознакомьтесь с Условиями обработки персональных данных и Cookies.
Чтобы скачать чек-лист,
подпишитесь на рассылку о бизнесе
После подписки вам откроется страница для скачивания
Информационная безопасность автомобилей
Вопросы защиты автомобилей становятся все более актуальными параллельно с развитием информационных систем, лежащих в их основе.
Содержание
2021: Создание консорциума для защиты авто от кибератак
В середине августа 2021 года стало известно о том, что для предотвращения угона и кражи данных автопроизводители будут проверять ПО своих машин на наличие недостатков в системе безопасности и обмениваться информацией о тенденциях кибератак. Для этого создана организация Car Connected Cybersecurity Consortium, в которую войдут более 90 членов. Подробнее здесь.
Популярные модели Volkswagen и Ford взломаны
Остановка всего 20% автомобилей в час пик полностью парализует транспортное движение в городе
По словам ученых из Технологического института Джорджии, в будущем количество беспилотных автомобилей вырастет до 10 млн. Об этом стало известно 30 июля 2019 года. Ученые опасаются, что киберпреступники смогут парализовать городской трафик, взломав лишь небольшую часть беспилотных автомобилей.
Главными последствиями таких кибератак на беспилотные автомобили станут дорожно-транспортные происшествия, а также огромные пробки, в которые попадут машины скорой помощи с ранеными, больными и умирающими людьми.
Исследователи смоделировали ситуацию, как взлом нескольких беспилотных автомобилей может повлиять на городской трафик в Манхэттене (район Нью-Йорка).
По словам исследователей, остановка всего 20% автомобилей в час пик полностью парализует транспортное движение в городе. Город будет разделен на несколько секторов, что позволит перемещаться между кварталами, однако добраться в другой конец уже будет невозможно. Взлом и принудительная остановка 10% автомобилей в час пик приведет к блокировке движения машин скорой помощи. Результаты исследования также показали, что такие последствия могут возникнуть и в любое другое время дня.
2018: «По своей уязвимости авто напоминают ПК начала 90-х». Почему автомобилистам стоит опасаться хакеров
Параллельно с двумя хакерами проблемой информационной безопасности автомобилей занимались в Центре безопасности встроенных автомобильных систем (The Center for Automotive Embedded Systems Security, CAESS), созданном совместно Калифорнийским университетом в Сан-Диего и Университетом штата Вашингтон. На его сайте есть ряд полезных статей.
Неведомая прежде опасность порождена уязвимостью телематических систем, которыми комплектуются современные автомобили. Не какое-то гипотетическое, а совершенно реальное внешнее вторжение может лишить водителя возможности управлять машиной и сделать ее источником опасности не только для тех, кто внутри, но и для окружающих. За последние годы мы стали свидетелями террористических актов с использованием украденных автомобилей. А теперь представьте себе, что автомобиль захвачен и находится под дистанционным управлением злоумышленника. И это реальность, а не фантастика.
Белые шапки считаются хорошими парнями, потому что при взломе систем они следуют принятым правилам и признают ответственность перед законом.
Серые шапки могут иметь хорошие намерения, но обнаружив уязвимости они не всегда сообщают о них немедленно. При этом, сами себя они считают хорошими, а закон может ошибаться.
Черные шапки считаются киберпреступниками. Они не различают легальное от нелегального, используют обнаруженные уязвимости в личных или политических целях, а может просто для удовольствия.
По своему воздействию на общественное мнение эту и еще несколько сопутствующих публикаций можно сравнить со знаменитой книгой «Опасен на любой скорости» (Unsafe at Any Speed: The Designed-In Dangers of the American Automobile), опубликованной в США в 1965 году Ральфом Нейдером, где автор раскрыл проблемы безопасности американских моделей тех лет. Под влиянием книги автомобильная промышленность во всем мире заметно переориентировалась, сделав безопасность одним из важнейших приоритетов.
На конференции Defcon 2015 Миллер и Валачек предоставили отчет на 92 страницах, где они систематизировали угрозы и проранжировали модели автомобилей по степени защищенности. В своем выступлении Миллер сказал:
После того, как проблема Jeep hack была решена, вскрылась другая, намного более серьезная. Она связана с несовершенством стандартов, по которым строятся сети контроллеров CAN (Controller Area Network). Идея CAN была предложена в середине 80-х немецкой компанией Robert Bosch, которая задумывала ее в качестве экономичного средства для объединения контроллеров. Актуальность этой задачи понятна любому, кто хоть раз видел системы коммуникации в объектах автоматизации. Это километры и километры кабельной проводки, которыми опутаны и промышленные объекты, и энергетические агрегаты, и даже летательные аппараты. Традиционный способ связи распределенных по объекту контроллеров жгутами проводов по своей технической сложности, по ценовым и по весовым параметрам для столь массового изделия, коим является автомобиль, оказался непригоден. Требовалось альтернативное решение, сокращающее количество проводов, поэтому был предложен протокол CAN, для которого достаточно любой проводной пары. Переход на CAN позволяет сэкономить несколько килограммов меди на каждом автомобиле и упрощает проводку.
Протокол CAN был создан в 1983 году, а в 1993 он был принят в качестве стандарта ISO 11898 Международной организацией по стандартизации и одобрен правительственными органами большинства стран мира. Он создан без предположения о возможности злонамеренного вторжения в работу сети, поэтому не дает даже теоретической возможности обнаружить адресованные CAN вредоносные действия. По состоянию на 2018 год CAN является неотъемлемой частью любого автомобиля.
Подход к безопасности «подключенных» автомобилей
За сто с небольшим лет автомобиль прошел путь от чисто механического к сложному кибер-физическому устройству. Наша задача состоит в том, чтобы, обеспечивая кибербезопасность автомобиля, повысить его физическую безопасность.
Вы когда-нибудь задумывались о том, как работает ваш автомобиль? Конечно же, есть энтузиасты, которые досконально знают, как работает двигатель внутреннего сгорания и чем цикл Аткинсона отличается от цикла Миллера. Я вот не могу похвастаться такими глубокими знаниями, впрочем, я не одинок в этом. Большинство воспринимает современный автомобиль как некое средство передвижения из точки А в точку Б, не задумываясь при этом, что происходит внутри автомобиля, когда водитель, скажем, нажимает педаль акселератора или поворачивает руль. Давайте же попробуем проследить эволюцию автомобиля и понять, как эти изменения повлияли и могут повлиять на нас с вами.
Многие годы, с момента изобретения, автомобиль оставался чисто механическим устройством, корректнее сказать — электромеханическим. Педаль газа через тросик соединялась с дроссельной заслонкой, которая при нажатии на педаль открывалась, добавляя смеси в цилиндры. Тормоза довольно долго тоже были связаны механически с педалью, потом появились различные усилители. Ни о какой электронике в начинке автомобиля речи не шло. Давайте условно называть это первым поколением автомобилей, или Auto 1.0.
Переход ко второму поколению начался с появлением массовых полупроводниковых технологий — в автомобилях массово стали устанавливать электронные блоки. Пионерами стали блоки управления двигателем и антиблокировочная система.
До создания электронного блока эти функции подачи в цилиндры двигателя воздушно-топливной смеси в нужной консистенции выполнял карбюратор, на совершенствование которого были направлены основные силы конструкторов. Первые электронные блоки управления двигателем были созданы итальянцами из Alfa Romeo для их модели 6C2500, что произошло в середине 1950-х годов. Назывался этот блок Caproni-Fuscaldo.
Что до AБС, то эта технология была запатентована Bosch еще в 1936 году. Но на практике реализовать эту идею не удалось из-за отсутствия в те годы цифровой электроники, которая позволила бы за доли секунды реагировать на блокировку колес. Первые успешно действующие образцы АБС появились на автомобилях производства Daimler-Benz благодаря талантливому инженеру Гейнцу Либеру, который до Daimler работал в Teldix GmbH, где и разработал фундаментальные основы АБС.
Внедрение первых электронных цифровых блоков — это своеобразный мостик от первого поколения ко второму. По-настоящему второе поколение машин появилось с внедрением CAN-шины (Controller Area Network Bus). CAN разработана компанией Robert Bosch GmbH в середине 1980-х. Появление CAN-шины обусловлено в первую очередь желанием автопроизводителей сэкономить на проводах, ведь с ростом количества различных электронных блоков увеличивалось и количество проводов, и постепенно электропроводка стала третьим по весу компонентом автомобиля. CAN-шина как раз и позволила избавиться от кучи проводов, объединив все электронные компоненты единым каналом обмена данными. Первый автомобиль с шиной CAN был представлен в 1986 году — это был BMW 850 купе. За счет применения данной шины в автомобиле было использовано на 2 км меньше проводки, общий сброшенный вес составил 50 кг. В 2006-м более 70% проданных автомобилей использовали CAN Bus. С начала 2008 года Ассоциация автомобильных инженеров (SAE) потребовала, чтобы все 100% новых автомобилей, продаваемых в США, использовали бы CAN Bus. С поголовным внедрением универсальной шины передачи данных завершился переход к автомобилю 2.0.
В настоящее время мы видим уже переход к третьему поколению — Connected Car, машина, подключенная к Сети. Connected Car — это автомобиль, имеющий доступ к Интернету, обычно с Wi-Fi-точкой доступа внутри. Благодаря наличию доступа к Сети возможно предоставление различных дополнительных сервисов как для водителя и пассажиров, так и для автопроизводителя и сторонних компаний. Например, автоматическая нотификация о трафике, дорожных проблемах или других событиях; услуги автоконсьержа (отправка SMS о предполагаемом времени прибытия, бронирование парковок и т.д.); определение стиля вождения, что может влиять на стоимость автостраховки; различные сервисы для владельцев грузовых автомашин и автобусов; сбор телеметрии и предсказание поломок и многое другое.
Подобные технологии есть уже у большинства ведущих автопроизводителей, например Volvo On Call, Chrysler UConnect, General Motors OnStar. Чем же принципиально отличается авто 3.0 от авто 2.0? Несмотря на то что технически Auto 3.0 — это тот же автомобиль 2.0, но с подключением одного или нескольких из электронных блоков к Интернету, с точки зрения владельца машины, это добавляет кучу приятных и полезных сервисов, включая возможность пользоваться доступом в Интернет прямо в пути (не забывайте, что за рулем не стоит твитить или постить в Facebook — это может закончиться очень печально). А вот с точки зрения эксперта по кибербезопасности, разница просто огромная — к автомашине, ее внутренним системам появился удаленный доступ, со всеми вытекающими отсюда последствиями.
И последствия не заставили себя долго ждать. Год назад на конференции Black Hat исследователи Чарли Миллер и Крис Валасек опубликовали отчет об успешном удаленном взломе автомобиля. Сначала водитель не смог управлять взбесившимися кондиционером, радио и дворниками лобового стекла. А потом и самим автомобилем. Газ и тормоз Jeep слушались только находящихся где-то вдали исследователей, но не хозяина в салоне автомобиля.
Машина не была никак модифицирована. Проделать все это позволила уязвимость в установленной на борту системе Uconnect, отвечающей за связь с внешним миром через инфраструктуру сотового оператора Sprint в автомобилях автоконцерна FCA (Chrysler, Dodge, Fiat, Jeep и Ram). Достаточно знать внешний IP-адрес жертвы, для того чтобы перезаписать код в головном устройстве машины. Разумеется, концерн FCA оперативно отреагировал и выпустил программную заплатку для Uconnect, которую можно поставить либо у официального дилера, либо самостоятельно через USB-порт.
Это был не первый инцидент, показывающий недостатки базовых механизмов безопасности, встроенных в современные автомобили по умолчанию. До этого уже были и локальный перехват управления через диагностический порт OBD-II, и подмена обновлений ПО через фальшивую сотовую базовую станцию.
Для того чтобы построить надежную и правильную систему безопасности, нужно в первую очередь знать, от чего защищаться. Выше я привел примеры успешных атак, но это всего лишь примеры, хоть и очень ценные. Давайте подойдем к вопросу формирования векторов атак, используя чуть более формализованный подход, а затем, уже зная, от чего мы защищаемся, обсудим возможные варианты защиты от этих угроз.
С нашей точки зрения, современный подключенный автомобиль — это не только и не столько компьютер на колесах. Это в первую очередь киберфизическое устройство, во-вторых, это цифровое или киберустройство, в-третьих, это масса облачных сервисов, которыми пользуется автомобиль (хотя зачастую водитель может и не подозревать, что такие сервисы существуют), и, конечно же, мобильные устройства, которые тоже общаются не только с облачными сервисами, но и с автомобилем.
Эти моменты важно понимать в первую очередь для того, чтобы правильно определить векторы потенциальных атак.
Итак, угрозы. Я не буду утомлять читателя данными из наших исследований о деталях угроз (это тема для других статей), а сразу же перейду к выводам. Мы рассматриваем пять основных категорий векторов: атаки на облачные сервисы, различный сетевой доступ (пути доставки), маршрутизатор в автомобиле (если кратко, то это устройство работает как сетевой маршрутизатор, соединяет различные электронные узлы и содержит таблицы маршрутизации пакетов автомобильных шин данных), автомобильные шины передачи команд и электронные блоки управления автомобиля:
Разумеется, этот список в значительной степени зависит от конфигурации конкретного автомобиля и может как уменьшаться, так и увеличиваться за счет новых векторов угроз.
Мы видим, что есть пути проникновения и компрометации автомобиля, но остается вопрос «Зачем?». Зачем кому-то взламывать автомобиль? Есть несколько причин.
Во-первых, это могут быть деньги. Концепция Ransomware вполне может найти применение и в автомобильной теме. Только представьте, что утром вы пытаетесь завести свой автомобиль, а он не заводится, и на экране надпись, гласящая, что ваша машина заблокирована и для разблокировки надо перевести столько-то биткойнов туда-то. Что вы бы сделали в такой ситуации?
Во-вторых, это шпионаж. В автомобилях ведь не только ездят, но и работают и проводят переговоры. Включив микрофон или камеру внутри салона, можно получить доступ к эксклюзивной информации. Не секрет, что чем дальше, тем больше персональной информации будет храниться в машинах. Dr Dieter Zetsche, Chairman Daimler AG не так давно заявил, говоря о будущем компании: «Мы работаем над машинами нового поколения, которые будут служить как самые настоящие компаньоны. Они будут изучать ваши привычки, адаптироваться к вашему выбору, предсказывать ваши шаги и взаимодействовать с вашими социальными сетями».
В-третьих, это атаки с целью навредить водителю, пассажирам или другим участникам движения.
Надеюсь, что я вас уже достаточно напугал и вы уже сомневаетесь, покупать или не покупать современный автомобиль. Я совершенно не призываю отказаться от всех благ, которые приносят нам бортовая электроника и подключение к Сети. Я призываю автопроизводителей и тех, кто делает компоненты для машин, серьезно отнестись к проблеме и разрабатывать свои новые автомобили с учетом новых рисков.
Мы в «Лаборатории Касперского» исповедуем подход, основанный на четком понимании того, какие риски существуют, и на анализе этих рисков. Для управления киберрисками могут использоваться разные защитные технологии, имеющие свои плюсы и свои минусы.
Подход «Лаборатории Касперского» для обеспечения внутренней безопасности современных автомобилей основывается на двух базовых архитектурных принципах: изоляция и контролируемые коммуникации. Изоляция гарантирует, что две независимые сущности (приложения, драйверы, виртуальные машины) никак не смогут повлиять друг на друга. Например, развлекательные приложения не будут оказывать влияния на технологическую сеть. Ни на борту самолета, ни в автомобиле.
Контроль коммуникаций тоже очень пригодился бы хозяину Jeep. Именно такой контроль гарантирует, что две независимые сущности, которые должны взаимодействовать для работы системы, будут делать это четко в соответствии с политиками безопасности. Использование криптографии и аутентификации для передачи и приема информации вовне и обратно также является неотъемлемой частью защищенной системы.
Описанный подход, изоляция и контроль коммуникации, является основополагающим принципом работы KasperskyOS, микроядерной безопасной операционной системы с контролируемым межпроцессным взаимодействием. Каждый логический домен получает свое адресное пространство, и все общение между доменами всегда проходит через монитор безопасности.
Из бортовой электроники, управляющей критическими функциями автомобиля и теоретически подверженной атакам, можно назвать головное устройство (head unit, HU) и электронные блоки управления (electronic control unit, ECU). Вторые в современном автомобиле образуют целую сеть контроллеров — это блоки управления двигателем, трансмиссией, подвеской и т.д. В результате появляется огромный потенциал для использования в автоиндустрии операционной системы KasperskyOS. Auto 3.0 требует изменения типа мышления, самого подхода к архитектуре систем безопасности.
Подключенный автомобиль — это всего лишь клиент для огромного набора облачных сервисов. Это привычные карты и навигация, информирование о трафике и дорожной ситуации, мониторинг качества вождения, управление флотом автомобилей для бизнесов и многое другое. В очень недалеком будущем автомобиль будет постоянно на связи, обмениваться мегабайтами данных и принимать решения за водителя, серьезно облегчая его жизнь. И все эти плюсы могут обернуться огромными проблемами, если не уделить должного внимания кибербезопасности облачной инфраструктуры, аутентификации, шифрованию трафика, хранению криптоключей и многому другому.
За 100 с небольшим лет автомобиль прошел путь от чисто механического к сложному киберфизическому устройству. Теперь в нем тесно переплетены физические приспособления, влияющие на безопасность участников движения, и цифровые системы, которые, с одной стороны, связаны с внешним миром, а с другой — с теми самыми физическими устройствами. И наша задача состоит в том, чтобы, обеспечивая кибербезопасность автомобиля, повысить его физическую безопасность.
А что же будет дальше? Как насчет автомобиля 4.0? Автопилоты, умная организация дорожного движения. Не хотел бы вас пугать, но с ростом цифровых плюсов увеличивается и количество цифровых рисков. Но это уже тема для другого исследования и отдельной статьи.
- Какие способы возбуждения применяют в машинах постоянного тока
- Какие способы применяются при пуске двигателя автомобиля