- Sähköautoihin kohdistuvat kyberhyökkäykset ovat todellisuutta niin Euroopassa kuin Suomessakin. Check Pointin tietoturva-asiantuntija Jarno Ahlström muistuttaa Drivalia Lease Finlandin videopodcastissa, että sähköauto on tietokone, joka pitää suojata turvallisuusriskeiltä.
- Työsuhdeautoilla ajavien tulee olla erityisen tarkkoja siitä, mitä sovelluksia ja salasanoja syöttävät auton datajärjestelmään.
- Uudessa EU:n turvallisuusasetuksessa edellytetään, että kyberturvallisuus on otettu huomioon myös kaikissa uusissa autoissa.
Sähköautoihin liittyvä kyberturvallisuus tiedostetaan Check Point Software Technologies -tietoturvayhtiön tietoturva-asiantuntija Jarno Ahlströmin mukaan jo melko hyvin, ja se on ollut viime aikoina paljon esillä myös julkisuudessa. Uusien autojen ja varsinkin sähköautojen tekniikka kehittyy vauhdilla. Uusi teknologia lisää myös tietoturvallisuusriskejä.
– Pitää muistaa, että auto on tietokone. Tavallisessa autossa on pitkälti toistasataa elektronista hallintapiiriä ja pari sataa miljoonaa riviä ohjelmistokoodia. F-35 hävittäjässä on ohjelmistokoodia yli neljä kertaa vähemmän. Esimerkiksi kaasupolkimen painallus ei aiheuta nykyään vaijerin vetämistä, vaan kiihdytys toimii auton tietojärjestelmän kautta, Ahlström kertoo.
Autojen kyberturvallisuuteen liittyvät ongelmat eivät ole vain teoreettisia, vaan ne tulevat Ahlströmin mielestä toteutumaan sataprosenttisesti. Auton turvallisuussuojaus on yhtä tärkeää kuin kodin ja työpaikan tietokoneidenkin.
EU:n heinäkuussa voimaan tullut uusi turvallisuusasetus kattaa myös sähköautojen kyberturvallisuushuomiot. Uusissa, EU:n alueella käyttöön otettavissa autoissa ja järjestelmissä tulee olla esimerkiksi taustajärjestelmien suojaus ja hyökkäyksien tunnistus.
– Regulaatiossa kyberturvallisuus on nyt hyvällä mallilla, mutta käytännön toteutuksiin menee vielä aikaa, Ahlström toteaa.
Haavoittuvuus on suurin kyberturvallisuuden riskitekijä
Sähköautojen kyberturvallisuuteen liitetään usein kolme pääriskiä eli signaalisieppaus, haavoittuvuus ja lataamisen riskit. Signaalisieppaukset ovat yhdistyneet jo esimerkiksi avaimettoman käynnistyksen avaimiin, koska avaimen signaali on ollut helppo kaapata. Ahlström kertoo, että autonvalmistajat ovat korjanneet ongelmaa muun muassa sillä, että paikallaan ollessa avain ei lähetä signaalia.
– Autonavain kannattaa siis pitää kotona vaikka pöydällä eikä taskussa, ettei se liiku, Ahlström vinkkaa.
Jos auton tietojärjestelmään pääsee haittaohjelma, voi sillä pahimmillaan ottaa auton ohjauksen käyttöön. Ahlström selventää, ettei toistaiseksi ole havaittu sähköautoihin erikseen suunnattua haittaohjelmaa. Kyberrikolliset kehittävät järjestelmällisesti haittaohjelmia, joten on vain ajan kysymys, milloin sellainen havaitaan.
Haavoittuvuudet voivat olla fyysisiä tai ohjelmistovirheistä johtuvia. Fyysistä haavoittuvuutta edusti tapaus, jossa etuvalon kautta pääsi käsiksi auton sähköjärjestelmään ja ohjelmointiin.
Kyberriskejä liittyy myös lataukseen. Ahlström toteaa latausasemienkin olevan tietokoneita, jotka ovat yhteydessä internettiin. Ne välittävät ainakin laskutukseen liittyviä tietoja lataajasta keskusjärjestelmään. Energiayhtiöt ovat kuitenkin suojanneet omat väylänsä, joten riski ei ole kovin suuri. Tästä huolimatta on parasta ladata luotettavilla latausasemilla. Maailmalta on jo esimerkkejä, joissa latausaseman langaton yhteys on avannut pääsyn auton käyttäjän profiiliin.
– Haavoittuvuus on suurin uhkatekijä. Sähköautojen valmistajat ovat tietoisia riskeistä ja heiltä tulee elektronisia takaisinkutsuja ja ohjelmapäivityksiä, joissa haavoittuvuuksia korjataan. Aina, kun autoihin kehitetään jotain uusia ominaisuuksia, on haavoittuvuusriski myös olemassa. Valmistajien pitää olla hereillä ja huolehtia, että päivitykset tulevat ajallaan ja riittävän laajasti, Ahlström tiivistää.
Autokannan suojaus on osa yrityksen tietoturvallisuutta
Työsuhdeautoissa kyberturvallisuusriskeiltä suojautuminen on osa yrityksen tietoturvallisuutta. Paras lääke on pitää yllä yrityksessä yleistä tietoturvallisuusajattelua, joka kattaa myös autot.
Myös Drivalia Lease Finlandin Commercial Director Vesa Kalske korostaa, että työsuhdeautoilijoiden tulee muistaa tehdä ohjelmistopäivitykset ja maahantuojien takaisinkutsut ajoissa.
– Drivalia neuvoo asiakkaitaan mahdollisissa merkkikohtaisissa kysymyksissä yhdessä laajan maahantuoja- ja autoliikekumppaniverkostonsa kanssa, Kalske toteaa.
– Kun ei tee tyhmiä asioita, niin ei joudu ongelmiin. Työsuhdeautoilijoiden ja yritysten tulee kiinnittää huomio siihen, millaisia digitaalisia palveluja ja sovelluksia autoissa käytetään ja millä tunnuksilla. Vaikka autoilija voi tehdä itse aika vähän, on omalla toiminnalla merkitystä, Ahlström sanoo.
Hän ennakoi, että hyvinkin nopealla aikataululla on mahdollista liittää sähköposti auton tietojärjestelmän näytölle. Tällöin salasanojen kanssa tulee olla erityisen tarkkana, eikä samoja salasanoja saa käyttää.
– Varsinkin työpaikan sähköpostin käyttäminen auton tietokoneen näytöltä vaatii yrityksessä uutta keskustelua turvallisuuspolitiikasta, sanoo Ahlström.
Katsele Drivalia Lease Finlandin videopodcast täältä.
Lisätietoja:
aisa Tiira-Vahala
kaisa.tiira-vahala@drivalia.com,+358 40 154 3836