Регулирование вопросов безопасности, связанных с системами подключенных автомобилей и данных полученных из них.
Развитие коммуникационных технологий влияет на многие производственные отрасли, в том числе и на автомобильную промышленность. На сегодняшний день, автомобиль обрастает все большим и большим функционалом, который призван сделать его эксплуатацию комфортнее и безопаснее для пользователя. Такие системы могут входить в комплектацию автомобиля либо устанавливаются в машину дополнительно. Но с внедрением таких технологий, помимо улучшения процесса езды, увеличивается и количество данных, которые собираются различными элементами системы подключенного автомобиля, а следовательно, и количество персональных данных водителя, владельца, пассажира, которые могут попасть не в те руки и использоваться не по назаначению.
Какие данные может собирать подключенный автомобиль?
Перед тем как рассматривать какие категории данных собирает подключенный автомобиль, следует ознакомится с технической частью вопроса, а именно какие виды систем подключений бывают:
1. V2V (Vehicle-to-vehicle), система подключения одного автомобиля к другому:
Беспроводная система, главная задача которой обмен информацией между двумя автомобилями. С ее помощью, подключенный автомобиль может получать данные о скорости движения, местонахождении другого автомобиля. Подобные системы способны обеспечивать безопасность и контролировать трафик на дорогах.
2. V2G (Vehicle-to-grid), система подключения автомобиля к энергосистемам:
Система, позволяющая подключать автомобили в общую электрическую сеть для подзарядки машины или возвращения лишней электроэнергии обратно в сеть. Участники системы V2G смогут продавать электроэнергию в энергосистему — в те часы, когда машина не используется, и заряжать автомобиль в часы, когда электроэнергия дешевле.
3. V2P (Vehicle-to-pedestrian), система взаимодействия автомобиля с пешеходами (а точнее их гаджетами):
Система, через которую автомобиль может взаимодействовать с находящимися в непосредственной близости от него пешеходами. Получая доступ к частотному диапазону смартфонов, которыми пользуются пешеходы, сенсоры автомобиля могут узнать скорость и направление движения мобильного гаджета, а значит, и пешехода.
4. V2I (Vehicle to Infrastructure), система подключения автомобиля к ресурсам инфраструктуры:
Данная система связи, собирает данные которые производит автомобиль и предоставляет информацию об инфраструктуре водителю. Данная система работает в комплексе с системами V2V и так же обеспечивает возможность просчета самого оптимального маршрута и помогает предотвратить возможные ДТП (в автомобилях с автопилотом).
5. V2C (Vehicle to Cloud), технология подключения автомобиля к облачным сервисам:
Подобный вид связи автомобиля с облачными средствами, создает канал передачи данных между автомобилем и сервисами сбора и хранения данных встроенных в различные приложения которые пользователь подключает к автомобилю (например сервисы позволяющие получать доступ к музыкальной онлайн библиотеке).
Подобный вид связи автомобиля с облачными средствами, создает канал передачи данных между автомобилем и сервисами сбора и хранения данных встроенных в различные приложения которые пользователь подключает к автомобилю (например сервисы позволяющие получать доступ к музыкальной онлайн библиотеке).
Пока что большинство из этих систем присутствуют в основном только в автомобилях в которых есть автопилот, но не исключено что в скором времени они в обязательном порядке будут внедряться во все автомобили и их экосистемы. И в таком случае в будущем при построении очередного маршрута на сервисе Google Maps вы будете точно знать что из-за угла вон того дома сейчас выбежит человек и вам следовало бы немного сбавить скорость своего автомобиля чтобы не попасть в ДТП. Но не стоит забывать что с подобным расширением спектра систем связи внешнего мира с автомобилем растет и уровень угроз взлома вашего автомобиля и извлечения из него ваших персональных данных, или же приведение в негодность систем автопилота что может привести к ДТП.
Среднестатистический подключенный автомобиль накапливает и обрабатывает такой объём данных (приведенная ниже классификация данных не обязательно является полной, а функция сбора и обработки той или иной группы данных зависит от того какие системы и сервисы подключены в автомобиле):
• Данные о передвижении автомобиля (скорость, преодоленное расстояние, геолокация автомобиля);
• Данные о состоянии автомобиля (состояние двигателя его температура, давление в шинах);
• Биометрические данные владельца авто, водителя (например отпечаток пальца который нужен для доступа в салон транспортного средства);
• Персональные данные владельца автомобиля (его документы, привязанные к автомобилю, данные об оплате приложений, используемых в авто);
• Данные со смартфона, водителя, пассажира, собранные при его подключении к системе автомобиля;
• Данные, получаемые при аудио/видео фиксации окружения (например, при использовании видео парктроников, установки черного ящика в авто).
Существует и отдельная группа данных, полученных из подключенных автомобилей классифицированная как “Данные, раскрывающие уголовные преступления и другие нарушения”, это могут быть любые данные, собранные автомобилем, такой статус они получают от начала процесса их использования. Так, например совокупность данных о скорости и расположении автомобиля не являются данными, связанными с раскрытием преступлений, до момента начала их использования в подобных целях. Такая информация может помочь полиции уличить водителя в нарушении правил дорожного движения, или подтвердить алиби водителя, подозреваемого в совершении уголовного преступления.
Персональные данные должны использоваться в таких целях, только под юрисдикцией уполномоченного государственного органа, при этом не нарушая права и свободы лица, к которому эти данные относятся и согласно законодательству, государства в котором требуется использование этих данных. В Европе подобные данные используются согласно статье 10 GDPR.
Несмотря на то, что некоторые из перечисленных видов информации напрямую могут и не относится к персоне водителя/пассажира или владельца авто, они все равно могут относится к категории персональных данных. Самый простой пример: данные связанные с геолокацией автомобиля, лицо ответственное за обработку таких данных может узнать про некоторые привычки, предпочтения водителя/владельца автомобиля, так, например частое расположения автомобиля возле храма той или иной религиозной организации может раскрыть принадлежность водителя к определенной религиозной общине, постоянные появления авто возле заведений соответствующей тематики могут указать на сексуальную ориентацию водителя/владельца автомобиля.
Каким образом автомобиль приобретает статус подключенного, и кто внедряет в него системы собирающие и обрабатывающие данные?
Автомобиль приобретает статус подключенного в случае установки в него специального программного обеспечения (далее ПО) связанного с различными системами коммуникации и связи. Например, подключенным можно считать автомобиль оснащенный ADAS (Advanced Driver Assistance Systems – продвинутые системы помощи водителю), которые включают в себя:
- радары ближнего и дальнего действия;
- внешние и внутренние видеокамеры;
- парковочные радары;
- лазерные дальномеры (LIDAR — Light Identification Detection and Ranging — световое обнаружение и определение дальности);
- адаптивное управление светом;
- адаптивный круиз-контроль.
В таких системах собираются данные, связанные с передвижениями автомобиля, и видео фиксацией его окружения. Стоит заметить, что подобный способ получения информации связан с видео/фотосъёмкой в общественных местах. Такие данные относятся к персональным данным и должны использоваться получателями и контролерами данных, не нарушая права и свободы человека, и согласно законам государства под юрисдикцией которого находится автомобиль.
До недавнего времени внедрение подобных сервисов было прерогативой производителя автомобиля, но с развитием компаний, разрабатывающих ПО пользователи обрели возможность выбирать между провайдерами подобного рода систем. Но существует проблема, возникающая при выборе провайдера постороннего ПО, прямой доступ к данным, получаемым из автомобиля, имеет только производитель авто и именно он на основе потребностей пользователя передает их третьим лицам. В основном такая передача данных не сопровождается денежными взысканиями с третей стороны, но в случае с провайдерами ПО крупные фирмы — производители автомобилей, как правило, требуют от них выплаты, связанные с получением доступа к подобным системам автомобиля и разработки ПО для них, из-за этого цены на ПО и оборудование для автомобилей, созданные не производителями этих автомобилей, обычно, выше, что не позволяет создать условия честной конкуренции в данной области. Но больше всего от это страдает пользователь, ведь у него остается не так много опций при выборе компании, которая будет распоряжаться системами, через которые проходят его персональные данные.
В 2016 году FIA (The Fédération Internationale de l’Automobile — Интернациональная Федерация Автомобилистов) начала в Европе кампанию названную “Мой автомобиль, мои данные”, с целью помочь владельцам автомобилей разобраться в своих правах, связанных с персональными данными. Они считают, что для обеспечения прозрачности и адекватности сбора и обработки данных системами автомобиля требуется:
- Ввести специальные системы оповещения в автомобиле, которые позволят пользователю быть в курсе того какие данные передаются в сервисы сбора и обработки данных;
- Позволить владельцу автомобиля непосредственно при помощи интерфейса авто выбирать какие данные он хочет передавать в сервисы сбора и обработки данных;
- Обязать производителей автомобилей создавать защищённые, стандартизированные, мультиплатформенные площадки работы для возможности открытого доступа разных поставщиков услуг к данным автомобиля.
По мнению FIA основной проблемой, связанной с вопросами сбора и обработки данных подключенными автомобилями является тот факт, что даже при отказе от услуг производителя связанных со сбором данных, нельзя достоверно утверждать, что твой автомобиль был отключен, ведь в нем нет интерфейса как например в смартфоне, и простой пользователь без специальной диагностики (которая так же проводится производителем) не может быть уверен в том что сбор данных прекратился.
Существует прецедент, когда внедрение технологий для подключенного автомобиля стало обязательным на законодательном уровне, а именно инициатива eCall. Данная программа была создана в Европейском Союзе, с целью увеличить безопасность пользователей транспортных средств, данная программа включает в себя совокупность датчиков и ПО, призванных в случае повреждения автомобиля в следствии аварии вызывать службу 112 передавая ей координаты автомобиля, для наибыстрейшего оказания помощи водителю и пассажирам автомобиля. В 2018 инициатива eCall стала обязательным образом внедряться во все легковые автомобили. Существует “Рабочий документ о защите данных и внедрении конфиденциальности в систему инициативы eCall”, которым определяются принципы функционирования eCall в качестве сервиса применяющего сбор данных так же данной инициативе посвящен раздел в “Руководстве по обработке персональных данных в контексте подключенных автомобилей и связанных с ними приложений”. С позволения пользователя данная программа может получать данные как про автомобиль и произошедшее ДТП, так и свои личные данные, например номер страхового полиса, паспортные данные для ускорения процесса оказания помощи, проверки принадлежности к клубам автомобилистов, предотвращения проблем, связанных с языковым барьером. Исходя из положений нормативно правовых актов связанных с данной инициативой eCall собирает данные непрерывно, но передает их только в момент когда приложение активируется, подобный механизм полностью оправдан принципом безопасности персональных данных а именно минимизации сбора и обработки, так как это приложение не выводит данные за пределы системы автомобиля до того момента пока в этом нет нужды, но тот факт что некоторый объем данных все равно хранится в автомобиле создает определенные риски для пользователей.
Какие существуют инструкции по защите систем автомобиля, в том числе систем связанных со сбором персональных данных?
Из-за постоянного увеличения сенсоров/ПО/оборудования в автомобилях увеличивается и количество уязвимостей, которые могут повлечь за собой взлом автомобиля. Не стоит также забывать, что машина — это источник повышенной опасности, и взлом системы навигации в авто, управляемом автопилотом, может привести к очень печальным последствиям, потому к вопросам защиты его систем от взлома следует относится с максимальной серьезностью. Правительство Великобритании выпустило в 2017 году руководство про “Принципы кибербезопасности в подключенных и автоматизированных транспортных средствах”, из данного руководства можно подчеркнуть 8 основных принципов для создания надлежащего уровня кибербезопасности в системах подключенных, автомобилей:
1.Вопросы по организационной безопасности должны продвигаться на уровне правления компании:
• На уровне правления компании должна быть обеспечена персональная ответственность за безопасность продукта будь то физическая или кибербезопасность, такая ответственность должна быть должным образом четко распределена по кадрам всей компании;
• Осуществлять обучение персонала, с целью внедрить «культуру безопасности», чтобы гарантировать, что люди понимают свою роль и ответственность в вопросах безопасности систем автомобиля.
2. Риски безопасности должны оцениваться и управляться надлежащим образом пропорционально:
• В компании должны существовать процедуры оценки рисков и управления ими. Разработаны специальные процессы для идентификации, категоризации, определения приоритетов и обработки угроз безопасности;
• Компании должны сотрудничать и взаимодействовать с осведомленными третьими сторонами для повышения своей компетенции в вопросах, связанных с угрозами и иметь возможность разрабатывать качественный план для их решения.
3.Компаниям необходимо предоставлять сервисное обслуживание включающее реагирование на инциденты связанные с угрозами безопасности, чтобы обеспечить защиту систем в течение всего срока их службы:
• Компании создают план обеспечения безопасности в течение всего срока службы своих систем, включая любые необходимые услуги поддержки;
• Должна существовать активная программа для выявления критических уязвимостей и соответствующая система для их пропорционального уменьшения.
4.Все компании, включая субподрядчиков, поставщиков и потенциальных третьих лиц, должны работать вместе для повышения безопасности системы:
• Компании совместно планируют, как системы будут безопасно и надежно взаимодействовать с внешними устройствами, соединениями (включая экосистему), услугами (включая обслуживание), центрами управления. Этот пункт включает в себя согласование и разработку стандартов и требований к данным;
• Компании, включая поставщиков и третьи стороны, должны иметь возможность предоставлять гарантии, такие как независимая проверка или сертификация, своих процессов и продуктов безопасности.
5.Системы защиты должны быть разработаны с использованием технологии многослойности:
• В архитектуре безопасности применяются методы углубленной защиты и сегментации, направленные на снижение рисков с помощью дополнительных средств контроля, таких как мониторинг, оповещение, сегрегация, уменьшение областей вероятных атак, использование специальных протоколов безопасности;
• Внешние и внутренние системы, включая облачные серверы, через которые можно получить доступ к системе, должны иметь соответствующие уровни защиты и мониторинга для предотвращения несанкционированного доступа.
6.Безопасность ПО должна быть гарантирована на весь срок его эксплуатации:
• Компании должны применять методы безопасного кодирования для пропорционального управления рисками от известных и неизвестных уязвимостей в ПО;
• Предоставить владельцам автомобилей возможность безопасно и надежно обновлять ПО и так же возвращаться к прошлым исправным версиям ПО, если последнее обновление было некачественным.
7.Процессы хранения и передачи данных должны быть безопасны и иметь возможности контроля над ними:
• Данные должны быть достаточно защищенными при хранении и передаче, чтобы только авторизованный получатель или система автомобиля могли получать к ним доступ;
• Пользователи должны иметь возможность удалять конфиденциальные (чувствительные) данные, хранящиеся в системах автомобиля и подключенных системах.
8.Система должна быть разработана таким образом, чтобы она была устойчивой к атакам и реагировала соответствующим образом в случае отказа ее защиты или датчиков:
• Система должна быть в состоянии противостоять получению поврежденных, недействительных или вредоносных файлов или команд через свои внешние и внутренние интерфейсы.
• Системы создаются отказоустойчивыми даже в случае, когда критичные для безопасности функции скомпрометированы или перестают работать. Системы должны быть способны реагировать соответствующим образом в случае сбоя критических функций, не связанных с безопасностью.
Выполнение данных принципов производителями автомобилей/ПО/оборудования может гарантировать пользователям безопасность эксплуатации систем подключенных автомобилей и надежную защиту их персональных данных.
Какими принципами должны руководствоваться контролеры данных при их сборе?
Производителям транспортных средств/оборудования и ПО, поставщикам и другим контролерам данных не стоит так же забывать про соблюдение принципов минимизации и анонимизации собираемых данных для того чтобы исключить возможность применения их против пользователей автомобилей.
Принцип минимизации заключается в том что контролеры данных должны уделять внимание лишь тем категориям данных, которые им необходимы (критичны) от подключенного транспортного средства для проведения диагностики и обеспечивания нормальной работы ПО/оборудования и не более. Как уже было приведено в пример, данные о местоположении являются особенно важными и могут выявить многие жизненные привычки субъектов сбора данных. Соответственно, контролеры и получатели данных в этой отрасли должны быть особенно бдительными, чтобы не собирать и не обрабатывать больший объём данных чем требуется для выполнения их функций, за исключением тех случаев, когда использование подобных данных является абсолютной необходимостью (с соглашения пользователя).
Так же важно использовать принцип анонимизации данных. В случае если данные должны быть извлечены из транспортного средства, следует рассмотреть вопрос об их анонимизации, прежде чем совершать их изъятие. Согласно EDPB (European Data Protection Board — Европейский совет по защите данных), принципы защиты данных не применяются к анонимной информации, а именно информация, которая не относится к идентифицированному физическому лицу. Когда набор данных действительно анонимизировав, а отдельные лица перестают идентифицироваться, европейский Закон о защите данных больше не применяется. Как следствие, анонимизация, где это уместно, может быть хорошим стратегическим ходом для сохранения возможностей провайдеров ПО/оборудования и снижения рисков в отношении персональных данных, полученных из подключенных автомобилей.
За системами, внедряемыми в подключенные автомобили, конечно, стоит будущее, но на данный момент времени не существует единого решения или идеального барьера для всех угроз, которые возникают в следствии такой модернизации транспортного средства. Пользователи даже не задумываются что банальное использование GPS и систем парктроников может привести к тому, что их машина станет “свидетелем” преступления, или что при следующем техническом осмотре черного ящика их автомобиля работник сервисной службы случайно узнает что член религиозной общины не следует ее постулатам. Данные, аккумулируемые автомобилем по большей части следует классифицировать как персональные, а любой из приведенных сценариев, связанных с их получением третьими лицами и последующим возможным использовании во вред пользователю можно расценивать как угрозу привычному образу жизни человека.
И это, не беря в расчет тот факт, что в целом взлом системы подобного автомобиля может нанести ущерб здоровью людей (взлом систем автопилота). Отсутствие здоровой конкуренции на рынке подобных модификаций так же оказывает пагубное влияние на безопасность систем подключенного автомобиля. Сейчас производителям автомобилей, ПО, оборудования следует прислушаться к рекомендациям государств и международных организаций призванных повысить уровень безопасности подобных систем, а также предоставить независимым производителям возможность разрабатывать и поддерживать подобное ПО без нужды постоянно платить производителям за обращение к ним для получения тех или иных данных.
Лаптев Никита