Navigacijos paieškos, lokacijos istorija, sinchronizuoti kontaktai, „Spotify“ ar el. pašto paskyros – visa tai dažnai lieka modernaus automobilio atmintyje net ir tuomet, kai transporto priemonė jau priklauso kitam savininkui.
Automobilių rinkos ir kibernetinio saugumo ekspertai vieningai pabrėžia – modernių automobilių vairuotojai turėtų skirti daugiau dėmesio savo duomenų apsaugai, juolab kad tam dažnai pakanka kelių elementarių veiksmų.
Ištrinti pamiršta dažniau, nei patikrinti
Anot „Bravoauto“ prekių ženklą valdančios įmonės „Inchcape Lietuva“ naudotų automobilių verslo vadovės Augustinos Černiauskaitės, tai nėra pavieniai atvejai – su neištrintais duomenimis susiduriama nuolat.
„Daugelis naudotų automobilių, ypač turinčių pažangesnes multimedijos sistemas, išlieka su sinchronizuotais kontaktais, „Bluetooth“ įrenginiais, navigacijos istorija, net „Google“ ar „Apple“ paskyromis. Automobiliai, turintys multimedijos sistemas, prijungiamas prie „Android Auto“, „Apple CarPlay“ ar net Wi-Fi ryšio, dažnai saugo naudotojų duomenis, jei šie nebuvo ištrinti rankiniu būdu“, – sako pašnekovė.
Anot jos, įmonėje taikomos tam tikros vidaus procedūros, kurios padeda apsaugoti buvusių savininkų duomenis. „Prieš parduodant automobilį, automatiškai atliekamas gamyklinių nustatymų atstatymas (angl. factory reset). Vis dėlto smulkesni pardavėjai dažnai šio žingsnio neatlieka.“
Pašnekovė taip pat atkreipia dėmesį, kad tik labai maža dalis pirkėjų patys pasidomi ar paklausia, ar automobilio sistema buvo išvalyta.
„Remiantis Lietuvos automobilių pirkėjų elgsena, pagrindinis dėmesys dažniausiai skiriamas techninei būklei, ridos patikrai, serviso istorijai, o ne duomenų apsaugai. Tačiau sąmoningumas auga – ypač tarp jaunesnių pirkėjų ar tų, kurie įsigyja naujesnius, modernius automobilius su „connected car“ funkcijomis.“
Ji taip pat pateikia konkrečias rekomendacijas tiek buvusiems, tiek būsimiems automobilių savininkams.
„Buvusiam savininkui rekomenduojama atlikti visos multimedijos sistemos gamyklinių nustatymų atstatymą, ištrinti „Bluetooth“ įrenginius, navigacijos istoriją, kontaktus, paskyras ir kt. Jei automobilis turi prijungtą paskyrą (pvz., „My BMW“), būtina atsijungti ir panaikinti ryšį su automobiliu. Taip pat reikėtų pašalinti SIM korteles, jei jos buvo naudotos, pavyzdžiui, duomenų perdavimui.
Naujajam savininkui svarbu patikrinti automobilio sistemos nustatymus – ar nėra likusių paskyrų ar kontaktų. Jei reikia – atlikti papildomą nustatymų atstatymą. Reikėtų įjungti tik savo paskyrą, jei automobilis palaiko vartotojo prisijungimą. Taip pat verta apsvarstyti galimybę atnaujinti programinę įrangą – kai kurios saugumo spragos gali būti pataisytos naujinimų metu“, – pažymi A. Černiauskaitė.
Automobiliuose kaupiama informacija – asmens duomenys?
Buvimo vietos istorija, navigacijos paieškos, vairavimo įpročiai ar net balso komandos – tai tik dalis informacijos, kurią gali fiksuoti šiuolaikiniai automobiliai.
Visa ši informacija, kaip nurodo Valstybinės duomenų apsaugos inspekcijos, Teisės skyriaus patarėja Oksana Pedaniuk, pagal Bendrąjį duomenų apsaugos reglamentą (BDAR) laikoma asmens duomenimis.
Parduodant automobilį, duomenų apsaugos pareiga tenka ir buvusiam savininkui. Jis turėtų ištrinti asmeninius duomenis iš transporto priemonės sistemų bei atkurti gamyklinius nustatymus. Jei to nepadarė, vis tiek gali pasinaudoti teise prašyti ištrinti duomenis – tokią galimybę numato BDAR 17 straipsnis. Tiesa, ši teisė nėra absoliuti – ją gali apriboti, pavyzdžiui, būtinybė apginti teisėtus reikalavimus.
Net jei duomenys saugomi už Europos Sąjungos ribų – pavyzdžiui, gamintojo serveriuose JAV ar kitose trečiosiose šalyse – vairuotojo teisės nepradingsta. Pasak VDAI atstovės, duomenų valdytojas vis tiek privalo informuoti, kaip bus įgyvendinami tokie prašymai, ir pateikti aiškius kontaktus.
Esant poreikiui, vairuotojai taip pat gali prašyti savo duomenų kopijų, riboti jų tvarkymą ar reikalauti ištrynimo – net kai duomenis renka užsienyje veikiantys gamintojai. Jei tokie prašymai atmetami, atsisakymas turi būti pagrįstas aiškiai ir suprantamai.
Kol kas, anot VDAI, skundų dėl automobilių renkamų duomenų ar galimų privatumo pažeidimų Lietuvoje nebuvo gauta. Tačiau tai nereiškia, kad tokia rizika neegzistuoja – vis daugiau transporto priemonių tampa mobiliais duomenų centrais, todėl tiek gamintojai, tiek naudotojai turėtų skirti daugiau dėmesio tam, kas ir kaip jose išsaugoma.
Rekomenduoja elgtis kaip su išmaniu telefonu
Kauno technologijos universiteto (KTU) profesorius, Kibernetinio saugumo kompetencijų centro vadovas Šarūnas Grigaliūnas sako, kad šiuolaikinis automobilis, prijungtas prie interneto, kelia tiek pat rizikų kaip bet kuris kitas išmanusis įrenginys.
Pasak jo, transporto priemonėje įmontuotas telematikos modulis nuolat bendrauja su gamintojo serveriais ir siunčia informaciją apie vairavimą, maršrutus, jutiklius bei net balso komandų įrašus.
„Pagrindinė rizika yra privatumas“, – įspėja profesorius. Anot jo, iš išsiųstų duomenų galima sudaryti labai išsamų vartotojo profilį – kur gyvenama, kada lankomasi pas gydytoją ar sporto klube. Tokia informacija gali būti panaudota draudimo kainodaroje, rinkodaroje ar net nusikalstamiems veiksmams. Be to, išlieka reali grėsmė, kad silpnai apsaugoti duomenų srautai taps priemone kenkėjiškam kodui patekti į automobilio vidaus tinklą.
Š. Grigaliūnas atkreipia dėmesį ir į konkrečias saugumo spragas, pavyzdžiui, „BlueBorne“ tipo pažeidžiamumus per „Bluetooth“, leidžiančius pavogti automobilį vos per kelias minutes. Taip pat dažnai pamirštama rizika – neištrinti likę duomenys, kurie išlieka net po telefono atjungimo ar automobilio pardavimo.
Vertindamas šiuolaikinių automobilių duomenų apsaugą, jis pabrėžia, kad viskas priklauso nuo gamintojo saugumo kultūros ir ar šis laikosi tarptautinių reikalavimų. Tačiau net ir tai negarantuoja saugumo. „Toyota“ net aštuonerius metus laikė atvirus klientų duomenis debesijoje, o per paprastą API spragą buvo perimta milijonų „Kia“ automobilių kontrolė.
Pasak jo, visa išplėstinė ryšio infrastruktūra – nuo eSIM iki mobiliųjų programėlių – didina atakos paviršių, o vartotojams tai reiškia būtinybę reguliariai diegti atnaujinimus, išvalyti sistemų atmintį po naudojimo ir taikyti principą „nulio pasitikėjimo“ tiek automobilyje, tiek debesijoje.
Atsakydamas į klausimą, ar realu, kad įsilaužėliai galėtų pasiekti jautrią informaciją, profesorius teigia: „Taip, tai visiškai realu“ ir kartu pateikia keletą pavyzdžių: naudotų „Tesla“ kompiuterių įsigijimas su visais savininkų slapukais ir kelionių istorija, masiniai „Bluetooth“ pažeidžiamumai, ar „Kia“ atvejis, kai užteko žinoti automobilio numerį, norint jį atrakinti ir užvesti.
Kalbėdamas apie gamintojų pažangą, Š. Grigaliūnas pastebi, kad dauguma jų jau įsteigė saugumo padalinius, pradėjo taikyti „secure-by-design“ principus, įsitraukė į „Bug bounty“ programas. Vis dėlto jis akcentuoja, kad problemos slypi operaciniame lygmenyje: per lėti reakcijos ciklai, silpnas tiekimo grandinių auditas ir per mažai dėmesio likutinei informacijai automobilio atmintyje.
Paklaustas, ką turėtų daryti vartotojas, norėdamas apsisaugoti, pašnekovas siūlo elgtis su automobiliu taip pat kaip su išmaniuoju telefonu – išjungti nenaudojamas funkcijas, ištrinti duomenis prieš keitimą ar pardavimą, naudoti dviejų faktorių autentifikavimą, riboti sinchronizavimą, o naujinimus diegti reguliariai. „Kuo mažesnis jūsų skaitmeninis pėdsakas – tuo saugiau.“
Apibendrindamas, kibernetinio saugumo ekspertas pažymi, kad saugus duomenų valdymas turėtų remtis trimis principais: „mažink, atskirk, suteik kontrolę“. Gamintojas turėtų rinkti tik būtinus duomenis, naudotojas – turėti aiškų privatumo valdymo skydelį, o pati sistema – veikti pagal griežtas, testavimu pagrįstas taisykles.
