Регулювання питань безпеки, пов’язаних з системами підключених автомобілів і даних отриманих з них.

Розвиток комунікаційних технологій впливає на багато виробничих галузей, в тому числі і на автомобільну промисловість. На сьогоднішній день, до автомобілю додають все більшу кількість функцій покликаних зробити його експлуатацію комфортнішою і безпечнішою для користувачів. Такі системи можуть входити в початкову комплектацію автомобіля або встановлюються в машину додатково. Але з впровадженням таких технологій, окрім покращення процесу їзди, збільшується й кількість даних, що збираються різними елементами системи підключеного автомобіля – зокрема персональних даних водія, власника, пасажира, що можуть потрапити не в ті руки і використовуватися не за призначенням.

 Які дані може збирати підключений автомобіль?

 Перед тим як розглянути які категорії даних збирає підключений автомобіль, слід ознайомитися з технічною частиною питання, а саме які види підключень бувають:

1. V2V (Vehicle-to-vehicle) – система підключення одного автомобіля до іншого:

 Бездротова система, головне завдання якої обмін інформацією між двома автомобілями. За допомогою цієї системи, підключений автомобіль може отримувати дані про швидкість руху, місцезнаходження іншого автомобіля тощо. Подібні системи здатні забезпечувати безпеку і контролювати трафік на дорогах.

2. V2G (Vehicle-to-grid), система підключення автомобіля до енергосистем:

 Система, що дозволяє підключати автомобілі в загальну електричну мережу для підзарядки машини або повернення зайвої електроенергії назад в мережу. Учасники системи V2G зможуть продавати електроенергію в енергосистему – в ті години, коли машина не використовується, і заряджати автомобіль в години, коли електроенергія дешевша.

3. V2P (Vehicle-to-pedestrian), система взаємодії автомобіля з пішоходами (а точніше їх гаджетами):

Система, через яку автомобіль може взаємодіяти з поруч розташованими від нього пішоходами. Отримуючи доступ до частотного діапазону смартфонів, якими користуються пішоходи, сенсори автомобіля можуть дізнатися швидкість і напрямок руху мобільного гаджета і пішохода.

4. V2I (Vehicle to Infrastructure), система підключення автомобіля до ресурсів інфраструктури:

Дана система зв’язку, збирає дані вироблені автомобілем і надає інформацію про інфраструктуру водієві. Дана система працює в комплексі з системами V2V і так само забезпечує можливість прорахунку найоптимальнішого маршруту і допомагає запобігти можливим ДТП (в автомобілях з автопілотом).

5. V2C (Vehicle to Cloud), технологія підключення автомобіля до хмарних сервісів:

Подібний вид зв’язку автомобіля з хмарними засобами, створює канал передачі даних між автомобілем і сервісами, що збирають та зберігають дані вбудовані в різні додатки які користувач підключає до автомобіля (наприклад сервіси,  що дозволяють отримувати доступ до музичної онлайн бібліотеки).

Поки що більшість з цих систем присутні в основному тільки в автомобілях в яких є автопілот, але не виключено, що незабаром вони будуть впроваджуватися без виключення в усі автомобілі й їх екосистеми. Якщо це трапиться, в майбутньому при побудові чергового маршруту на сервісі Google Maps ви будете точно знати що з-за рогу ось цього будинку зараз вибіжить людина і вам варто було б трохи зменшити швидкість свого автомобіля щоб не потрапити в ДТП. Але не варто забувати, що з подібним розширенням спектра систем зв’язку зовнішнього світу з автомобілем зростає і рівень загроз злому системи вашого автомобіля і вилучення з нього ваших персональних даних, або ж приведення в непридатність систем автопілота – що може привести до ДТП.

 Середньостатистичний підключений автомобіль накопичує і обробляє такий обсяг даних: (наведена нижче класифікація даних не обов’язково є повною, а функція збору та обробки тієї чи іншої групи даних залежить від того які системи і сервіси підключені до автомобіля):

• Дані про пересування автомобіля (швидкість, подолану відстань, геолокація автомобіля);

• Дані про стан автомобіля (стан двигуна його температура, тиск в шинах);

• Біометричні дані власника авто, водія (наприклад відбиток пальця що потрібен для доступу у салон транспортного засобу);

• Персональні дані власника автомобіля (його документи прив’язані до автомобіля, дані про оплату додатків, що використовуються в авто);

• Дані зі смартфона, водія, пасажира, зібрані при його підключенні до системи автомобіля;

• Дані, одержувані при аудіо / відео фіксації оточення (наприклад, при використанні відео парктроніков, встановлення чорного ящика в авто).

Існує і окрема група даних, отриманих з підключених автомобілів що класифікується як “Дані, що розкривають кримінальні злочини і інші порушення”, це можуть бути будь-які дані, зібрані автомобілем, такий статус вони отримують від початку процесу їх використання. Так, наприклад сукупність даних про швидкість і розташування автомобіля не є даними, пов’язаними з розкриттям злочинів, до моменту початку їх використання в подібних цілях. Така інформація може допомогти поліції викрити водія якщо відбулось порушення правил дорожнього руху, або підтвердити алібі водія, підозрюваного у скоєнні кримінального злочину. Персональні дані повинні використовуватися в таких цілях, тільки під юрисдикцією уповноваженого державного органу, при цьому не порушуючи права і свободи особи, до якого ці дані мають вдношення і відповідно до законодавства, держави – в якому потрібне використання цих даних. В Європі подібні дані використовуються відповідно до статті 10 GDPR.

Незважаючи на те, що деякі з перерахованих видів інформації безпосередньо можуть і не відноситись до персони водія / пасажира або власника авто, вони все одно можуть відноситись до категорії персональних даних. Найпростіший приклад – дані пов’язані з геолокацією автомобіля: особа відповідальна за обробку таких даних може також дізнатися про деякі звички, уподобання водія / власника автомобіля. Так, наприклад часте розташування автомобіля біля храму тієї чи іншої релігійної організації може розкрити приналежність водія до певної релігійної спільноти, постійні появи авто біля закладів відповідної тематики можуть вказати на сексуальну орієнтацію водія / власника автомобіля. Поки що прецедентів пов’язаних з обробкою і нецільовим використанням таких даних, які порушують права користувача, не було, але ж і дані технології не так давно були впроваджені в екосистему автомобіля.

Яким чином автомобіль набуває статус підключеного, і хто впроваджує в нього системи?

 Автомобіль набуває статус підключеного в разі установки в нього спеціального програмного забезпечення (далі ПЗ) пов’язаного з різними системами комунікації та зв’язку. Наприклад, підключеним можна вважати автомобіль оснащений ADAS (Advanced Driver Assistance Systems — передові системи допомоги водію), котрі включають в себе:

• радари ближньої та далекого дії;
• зовнішні і внутрішні відеокамери;
• паркувальні радари;
• лазерні далекоміри (LIDAR – Light Identification Detection and Ranging – світлове виявлення і визначення дальності);
• адаптивне управління світлом;
• адаптивний круїз-контроль.

У таких системах збираються дані, пов’язані з пересуваннями автомобіля, і відео фіксацію його оточення. Варто зауважити, що подібний спосіб отримання інформації пов’язаний з відео / фотозйомкою в громадських місцях. Такі дані є персональними даними і повинні використовуватися одержувачами і контролерами даних, не порушуючи права і свободи людини, і відповідно до законів держави, де знаходиться автомобіль.[1]

До недавнього часу впровадження подібних сервісів було прерогативою виробників автомобіля, але з розвитком компаній, що розробляють ПЗ користувачі знайшли можливість вибирати між провайдерами подібного роду систем. Проблема, що виникає при виборі провайдера стороннього ПЗ – прямий доступ до даних, що одержуються з автомобіля, має тільки виробник авто і саме він на основі потреб користувача передає їх третім особам. Така передача даних не супроводжується грошовими стягненнями з третьої сторони, але у випадку з провайдерами ПЗ, великі фірми – виробники автомобілів, як правило, вимагають від них виплати, пов’язані з отриманням доступу до подібних систем автомобіля і розробки ПЗ для них, через цього ціни на ПЗ і обладнання для автомобілів, створеного не виробниками автомобілів, зазвичай набагато вище, що не дозволяє створити умови чесної конкуренції в цій галузі. Найбільше від цього страждає користувач, адже у нього залишається не так багато опцій при обранні компанії, яка буде розпоряджатися системами, через які проходять його персональні дані.

 У 2016 році FIA (The Fédération Internationale de l’Automobile – Інтернаціональна Федерація Автомобілістів) почала в Європі кампанію “Мій автомобіль, мої дані”, з метою допомогти власникам автомобілів розібратися в своїх правах, пов’язаних з персональними даними. Вони вважають, що для забезпечення прозорості та адекватності збору і обробки даних системами автомобіля потрібно:

• Запровадити спеціальні системи оповіщення в автомобілі, які дозволять користувачу бути в курсі того, які дані передаються в сервіси збору та обробки даних;
• Дозволити власнику автомобіля безпосередньо за допомогою інтерфейсу авто вибирати які дані він хоче передавати в сервіси збору і обробки даних;
• Зобов’язати виробників автомобілів створювати захищені, стандартизовані, мультиплатформенні системи для можливості відкритого доступу різних постачальників послуг до даних автомобіля.

 На думку FIA основною проблемою, пов’язаною з питаннями збору та обробки даних підключеними автомобілями є той факт, що навіть при відмові від послуг виробника пов’язаних зі збором даних, не можна достовірно стверджувати, що твій автомобіль був відключений, адже в ньому немає інтерфейсу, як, наприклад, в смартфоні, і звичайний користувач без спеціальної діагностики (яка так само проводиться виробником) не може бути впевнений в тому що збір даних припинився.

 Існує прецедент, коли впровадження технологій для підключеного автомобіля стало обов’язковим на законодавчому рівні – мова йде про  ініціативу eCall. Дана програма була створена в Європейському Союзі, з метою збільшити безпеку користувачів транспортних засобів. Програма включає в себе сукупність датчиків і ПЗ, що в разі пошкодження автомобіля в результаті аварії викликати службу 112 передаючи їй координати автомобіля, для найшвидшого надання допомоги водієві і пасажирам автомобіля .
У 2018 ініціатива eCall стала обов’язковим чином впроваджуватися в усі легкові автомобілі. Існує “Робочий документ про захист даних і впровадженні конфіденційності в систему ініціативи eCall“. яким визначаються принципи функціювання eCall, в якості сервісу який застосовує збір даних. З дозволу користувача дана програма має змогу отримувати дані як про автомобіль та ДТП що трапилось, так і свої особисті дані, наприклад номер страхового поліса, паспортні дані для прискорення процесу надання допомоги, перевірки належності до клубів автомобілістів, запобігання проблем пов’язаних з мовним бар’єром. Виходячи з положень нормативно-правових актів, пов’язаних з даною ініціативою, eCall збирає дані безперервно, але передає їх тільки в момент, коли додаток активується, подібний механізм повністю виправданий принципом безпеки персональних даних, а саме мінімізації збору і обробки, так як цей додаток не виводить дані за межі системи автомобіля до того моменту поки в цьому немає потреби, але той факт що певний обсяг даних все одно зберігається в автомобілі – створює певні ризики для користувачів.

Які існують інструкції щодо захисту систем автомобіля, в тому числі систем пов’язаних зі збором персональних даних?

Через постійне збільшення сенсорів / ПО та обладнання в автомобілях збільшується й кількість вразливостей, які можуть спричинити за собою злом систем автомобіля. Не варто також забувати, що автомобіль – це джерело підвищеної небезпеки, і злом системи навігації в авто, керованому автопілотом, може привести до дуже сумних наслідків, тож до питань захисту його систем від злому варто відноситися з максимальною уважністю. Уряд Великобританії створив в 2017 році керівництво про “Принципи кібербезпеки в підключених і автоматизованих транспортних засобах”, з цього посібника можна підкреслити 8 основних принципів для створення належного рівня кібербезпеки в системах підключених, автомобілів:

 1. Питання з організаційної безпеки повинні просуватися на рівні правління компанії:

• На рівні правління у компанії повинна бути забезпечена персональна відповідальність за безпеку продукту будь то фізична або кібербезпека, така відповідальність повинна бути належним чином чітко розподілена по кадрам всієї компанії;

• Здійснювати навчання персоналу, з метою впровадити «культуру безпеки», щоб гарантувати, що люди розуміють свою роль і відповідальність у питаннях безпеки систем автомобіля.

 2. Ризики безпеки повинні оцінюватися і управлятися належним чином пропорційно:

• У компанії повинні існувати процедури оцінки ризиків та управління ними. Розроблено спеціальні процеси для ідентифікації, категоризації, визначення пріоритетів і обробки загроз безпеки;

• Компанії повинні співпрацювати і взаємодіяти з обізнаними третіми сторонами для підвищення своєї компетенції в питаннях, що пов’язані з загрозами і мати можливість розробляти якісний план для їх вирішення.

3. Компаніям необхідно надавати сервісне обслуговування включаючи реагування на інциденти пов’язані із загрозами безпеки, щоб забезпечити захист систем протягом усього терміну їх служби:

• Компанії створюють план забезпечення безпеки протягом усього терміну служби своїх систем, включаючи будь-які необхідні послуги підтримки;

• Повинна існувати активна програма для виявлення критичних вразливостей і відповідна система для їх пропорційного зменшення.

 4. Всі компанії, включаючи субпідрядників, постачальників і потенційних третіх осіб, повинні працювати разом для підвищення безпеки системи:

• Компанії спільно планують, як системи будуть безпечно і надійно взаємодіяти з зовнішніми пристроями, зв’язками (включаючи екосистему), послугами (включаючи обслуговування), центрами управління. Цей пункт включає в себе узгодження і розробку стандартів і вимог до даних;

• Компанії, включаючи постачальників і треті сторони, повинні мати можливість надавати гарантії, такі як незалежна перевірка або сертифікація, своїх процесів і продуктів безпеки.

 5. Системи захисту повинні бути розроблені з використанням технології багатошаровості:

• В архітектурі безпеки застосовуються методи поглибленої захисту і сегментації, спрямовані на зниження ризиків за допомогою додаткових засобів контролю, таких як моніторинг, оповіщення, сегрегація, зменшення областей ймовірних атак, використання спеціальних протоколів безпеки;

• Зовнішні і внутрішні системи, включаючи хмарні сервери, через які можна отримати доступ до системи, повинні мати відповідні рівні захисту і моніторингу для запобігання несанкціонованому доступу.

 6. Безпека ПО повинна бути гарантована на весь термін його експлуатації:

• Компанії повинні застосовувати методи безпечного кодування для пропорційного управління ризиками від відомих і невідомих вразливостей в ПЗ;

• Надати власникам автомобілів можливість безпечно і надійно оновлювати ПЗ і так само повертатися до минулих справних версій ПЗ, якщо останнє оновлення було неякісним.

7. Процеси зберігання і передачі даних повинні бути безпечні і мати можливості контролю над ними:

• Дані повинні бути досить захищеними при зберіганні і передачі, щоб тільки авторизований одержувач або система автомобіля могли отримувати до них доступ;

• Користувачі повинні мати можливість видаляти конфіденційні (чутливі) дані, що зберігаються в системах автомобіля і підключених системах.

 8. Система повинна бути розроблена таким чином, щоб вона була стійкою до атак і реагувала відповідним чином в разі відмови її захисту або датчиків:

• Система повинна мати змогу протистояти отриманню пошкоджених, недійсних або шкідливих файлів або команд через свої зовнішні та внутрішні інтерфейси.

• Системи створюються відмовостійкими навіть, коли критичні для безпеки функції скомпрометовані або перестають працювати. Системи повинні бути здатні реагувати відповідним чином якщо відбувся збій критичних функцій, не пов’язаних з безпекою.[1]

 Виконання даних принципів виробниками автомобілів / ПО / обладнання може гарантувати користувачам безпеку експлуатації систем підключених автомобілів і надійний захист їх персональних даних.

 

Якими принципами повинні керуватися контролери даних під час їх збирання?

 Виробникам транспортних засобів / обладнання і ПЗ, постачальникам і іншим контролерам даних не варто також забувати про дотримання принципів мінімізації та анонімізації зібраних даних для того, щоб виключити можливість застосування їх проти користувачів автомобілів.

Принцип мінімізації полягає в тому що контролери даних повинні приділяти увагу лише тим категоріям даних, які їм необхідні (критичні) від підключеного транспортного засобу для проведення діагностики та забезпечення нормальної роботи ПО / обладнання і не більше. Як вже було сказано вище, дані про місцерозташування є особливо важливими і можуть виявити багато життєвих звичок суб’єктів збору даних. Відповідно, контролери та одержувачі даних в цій галузі повинні бути особливо пильними, щоб не збирати і не обробляти більший обсяг даних ніж потрібно для виконання їх функцій, за винятком тих випадків, коли використання подібних даних є абсолютною необхідністю (зі згоди користувача).

 Так само важливо використовувати принцип анонімізації даних. Якщо дані повинні бути вилучені з транспортного засобу, слід розглянути питання про їх анонімізацію перш ніж здійснювати їх вилучення. Згідно EDPB (European Data Protection Board – Європейська рада із захисту даних), принципи захисту даних не застосовуються до анонімної інформації, а саме інформація, яка не відноситься до ідентифікованої фізичній особі. Коли набір даних дійсно анонімізовано, а окремі особи перестають ідентифікуватися, європейський Закон про захист даних більше не застосовується. Як наслідок, анонімізація, де це доречно, може бути гарним стратегічним ходом для збереження можливостей провайдерів ПО / обладнання і зниження ризиків щодо персональних даних, отриманих з підключених автомобілів.

 За системами, які впроваджуються в підключені автомобілі, звичайно, стоїть майбутнє, але на даний момент не існує єдиного рішення або ідеального рішення для всіх загроз, які виникають в результаті такої модернізації транспортного засобу. Користувачі навіть не замислюються, що банальне використання GPS і систем зручного паркінгу, може привести до того, що їх машина стане “свідком” злочину, або що при наступному технічному огляді чорного ящика їх автомобіля, працівник сервісної служби випадково дізнається, що член релігійної громади не слідує її постулатам. Дані, що акумулюються автомобілем здебільшого слід класифікувати як персональні, а будь-який з наведених сценаріїв, пов’язаних з їх отриманням третіми особами і подальшим можливим використанням не за призначенням можна розцінювати як загрозу звичного способу життя людини. І це, не беручи до уваги той факт, що в цілому злом системи подібного автомобіля може завдати шкоди здоров’ю людей (злом систем автопілота). Відсутність здорової конкуренції на ринку подібних модифікацій так само створює поганий вплив на безпеку систем підключеного автомобіля. Зараз виробникам автомобілів, ПЗ, обладнання слід прислухатися до рекомендацій держав і міжнародних організацій покликаних підвищити рівень безпеки подібних систем, а також надати незалежним виробникам можливість розробляти і підтримувати подібне ПЗ без потреби постійно платити виробникам за звернення до них для отримання тих чи інших даних.

 

                                                                                                                                     Лаптєв Микита