Пономарева: Люди загружают данные в приложения каршеринга, не задумываясь о безопасности

Менеджер по развитию бизнеса KasperskyOS Евгения Пономарева рассказала о транспортной кибербезопасности на мероприятии CyberSecurity Weekend.

Сейчас практически все новые автомобили подключены к облаку или оснащены навигационной системой. Они постепенно становятся автономными, подключенными к онлайн пространству, электрическими и общими (каршеринг прим Т-И.). 

Это приносит определенное удобство в жизнь человека, но вместе с тем и потенциальные риски, в связи с чем вопросы кибербезопасности стали особенно актуальны. До этого основные усилия автопроизводителей были сконцентрированы на физической и функциональной безопасности. Эра кибербезопасности была ознаменована появлением атак на автотранспортные средства и их влиянием на физическую безопасность. 
Среди известных примеров удаленного взлома автомобилей Jeep Cherokee и Tesla, а также инциденты с автомобилями каршеринга Car2Go. Сегодня разработчики уже воспринимают машину, как приложение на колесах и это не случайно. 

«В будущем все будет объединятся в высокопроизводительные компьютеры, где в среде виртуализации будут запускаться различные приложения вроде управления тормозной системой или системы помощи водителю», — сказала Пономарева. 

Уже сегодня в них работает порядка ста электронных блоков, которые взаимодействуют между собой, а также могут получать информацию извне. В связи с этим современные киберриски очень разнообразны: атаковать автомобиль можно через телематические платформы, например фишинг или вредоносные программы, сети связи или даже через USB при наличии физического доступа. Именно поэтому новые разработки требуют комплексной защиты для всей системы современных авто. 

Безопасные автомобильные блоки должны обмениваться информацией и отдавать команды внутри системы авто согласно строгим политикам взаимодействия, которые регламентируют связи между приложениями. Подход «Лаборатории Касперского» заключается в том, что эти политики безопасности прописываются на уровне операционной системы.

KasperskyOS становится средством изоляции процессов, она блокирует любую активность блока или приложения, если они начинают выполнять неавторизованные действия. При этом она содержит небольшое количество строк кода, которые достаточно легко можно изучить и убедиться в отсутствии уязвимостей. Таким образом, KasperskyOS не позволяет распространяться атаке дальше.

Злоумышленники могут атаковать не только сам автомобиль, но также платформы и приложения , к которым он подключен. Например, можно купить данные водителя в даркнете и пользоваться каршерингом под видом другого человека. 

«Разработчики приложений должны очень ответственно подходить к вопросам кибербезопасности на этапе создания, а также регулярно проводить аудит. Пользователи, не всегда могут проверить насколько приложение защищено, но при регистрации они загружают в него данные банковских карт, фотографию с правами, паспорт, а эту информацию крайне важно аккуратно собирать и защищать», — отметила менеджер.