Už niekoľkokrát sme písali o tom, že automobilové spoločnosti zhromažďujú množstvo údajov o vlastníkoch svojich vozidiel a častokrát ani presne nevieme, čo sa s nimi deje, nehovoriac už o tom, že zďaleka nie vždy ich dostatočne chránia. Dokazuje to ďalšia veľká kauza koncernu Volkswagen. Jeho softvérová divízia Cariad uložila citlivé informácie o približne 800 000 elektrických autách (elektromobiloch a plug-in hybridoch) značiek Volkswagen, Audi, Seat a Škoda na cloudový server Amazonu do zložky s voľným prístupom.
Nezabezpečené dáta na voľne prístupnom serveri
Vážny problém ako prvý nahlásil Chaos Computer Club (CCC), jedna z najväčších organizácií etických hekerov v Európe. Podľa CCC bola zraniteľnosť objavená 26. novembra a bezodkladne nahlásená automobilke Volkswagen a nemeckým úradom. Tie dali koncernu 30 dní na nápravu, prípad zverejnili až po nej, čo je samozrejme vzhľadom na citlivosť dát klientov úplne v poriadku.
Čítajte viac Šéfa marketingu čínskeho Volkswagenu deportovali. Neprešiel testom na drogyUkázalo sa, že Cariad uchovával dáta z elektrických modelov v zle nakonfigurovanej cloudovej zložke, ktorá bola niekoľko mesiacov verejne prístupná komukoľvek. V dôsledku toho bolo možné sledovať polohu vodičov či získať ich osobné údaje, keďže v nezabezpečenom úložisku sa nachádzali celé terabajty dát.
Veľa z 800 000 postihnutých elektromobilov jazdilo po cestách v Nemecku (okolo 300 000). Výrazné zastúpenie mali aj vozidlá z Nórska (80 000), Švédska (68 000), Veľkej Británie (63 000), Holandska (61 000), Francúzska (53 000), Belgicka (68 000), Dánska (35 000), Švajčiarska (11 000) či Rakúska. Verejne dostupné zdroje sa o Slovensku a Českej republike konkrétne nezmieňujú.
Dáta síce boli anonymizované, no nie dostatočne a etickí hekeri z CCC dokázali bez problému spojiť konkrétne autá s ich vlastníkmi. To je ďalší závažný problém, pretože okrem súkromných osôb sa medzi postihnutými objavili aj policajné autá z Hamburgu a vozidlá patriace politikom či spravodajským službám.
Kyberbezpečnosť len na papieri?
Podľa Nariadenia EÚ 2016/679 (GDPR) môžu spoločnosti za takéto úniky čeliť vysokým finančným sankciám, ktoré môžu dosiahnuť až 20 miliónov eur alebo 4 % z ich celosvetového ročného obratu – podľa toho, ktorá suma je vyššia. Okrem toho sú tu aj ďalšie predpisy, napríklad nariadenia OSN WP.29, ktoré od výrobcov vyžadujú dôkladnú ochranu systémov v vozidlách a ochranu dát pred neoprávnenými prístupmi.
Čítajte viac Dáta z áut sú veľký biznis. Automobilky ho chcú celý pre sebaVolkswagen si z nich však zjavne ťažkú hlavu nerobil a otázkou je, do akej miery automobilky naozaj dokážu predchádzať bezpečnostným chybám a veľkým únikom dát. Aj keď Volkswagen alibisticky tvrdí, že že únik bol „technickým problémom, ktorý je už vyriešený“, mnohí experti považujú podobné incidenty len za vrchol ľadovca. S rastúcou digitalizáciou a konektivitou sa podobné úniky budú objavovať čoraz častejšie.
Vzniká aj podozrenie, či prioritou automobiliek nie je skôr rýchle zavádzanie nových online služieb s cieľom uspokojiť dopyt po „inteligentných“ vozidlách, zatiaľ čo ochrana súkromia a dostatočné testovanie systémov sú na okraji záujmu. Podľa vyjadrenia spoločnosti Cariad sú pre ňu dáta nevyhnutné na „poskytovanie, vývoj a zlepšovanie digitálnych funkcií“ pre zákazníkov a ponúkanie personalizovaných služieb. Problém však spočíva v tom, že s čoraz väčšou mierou konektivity rastú i nároky na zabezpečenie a do neho sa automobilkám evidentne investovať akosi nechce. Nemajú totiž z toho žiadny zisk.