Henkilöautojen tietoturva – mistä on kyse?
Henkilöautot ovat muuntumassa kovaa vauhtia IoT-laitteiksi (Internet of Things) ja alkavat vähitellen muistuttaa monilta osin myös kuluttajille tuttuja arkielämän älylaitteita.
Ajoneuvojen liitettävyys ulkomaailmaan, digitalisoituminen ja esimerkiksi jo osittaiseen autonomiseen ajoon (J3016 L3) kykenevät järjestelmät ovat vihdoin nostaneet myös henkilöautojen tietoturvan tikun nokkaan. Todellisuudessa aihe on ollut ajankohtainen jo pitkälle toistakymmentä vuotta.
Mitä autojen tietoturvalla tarkoitetaan?
Yhdysvaltain liikenneturvallisuusviraston (NHTSA) määritelmä autojen tietoturvaan liittyen on varsin pätevä sellaisenaan: ”Autojen tietoturvalla tarkoitetaan auton elektronisten järjestelmien, ohjausalgoritmien, kommunikointiväylien ja -verkkojen, auton käyttäjien, autoon liittyvän ohjelmiston ja autoon liittyvän datan suojaamista haitallisilta hyökkäyksiltä, luvattomalta pääsyltä, vahingoilta ja manipulaatiolta”.
Konkreettisia tietoturvauhkia voivat olla automallista, auton varustetasosta ja auton iästä riippuen esimerkiksi varkaus, auton ohjauksen, jarrutuksen ja vääntömomentin hallinta, auton ohjausyksiköiden ohjelmistojen korruptointi tai manipulointi, kiristystoiminta tai vaikkapa käyttäjän jäljitys ja seuranta.
Johdanto 2000-luvun henkilöauton sähköverkon rakenteeseen
Jotta autoihin liittyviä tietoturvauhkia olisi mahdollista ymmärtää tarkemmin käytännössä, tulisi ensin ymmärtää nykyaikaisen auton sähköverkon rakenne ja sen erityispiirteet.
Nykyaikaisella autolla tarkoitetaan tässä kontekstissa noin 2000-luvun henkilöautoa, jossa tavataan useita elektronisesti ohjattuja järjestelmiä. Järjestelmät toimivat myös hajautetusti kommunikoiden keskenään erilaisten tiedonsiirtoväylien kuten CAN-väylän välityksellä, ja niihin liittyy sähköisiä toimilaitteita, joita voidaan ohjata itsenäisesti: esimerkiksi sähköinen ohjaus tai sähköhydraulisesti ohjattavat jarrut.
Hyvä esimerkki hajautetusta elektronisesti ohjattavasti toiminnosta on ajonvakauden hallinta (ESC), joka kykenee itsenäisesti hallitsemaan moottorin vääntömomenttia ja jarrujen ohjausta pyöräkohtaisesti. Toinen mainio esimerkki on kaistallapitoavustin (LKA), joka kykenee hallitsemaan itsenäisesti auton ohjausta.
Esimerkkejä uhkakuvista
Edellä mainituissa esimerkeissä ajonvakauden hallinnan ohjainlaite (ESC) kykenee pyytämään vääntömomenttia moottorinohjainlaitteelta (ECM) esimerkiksi CAN-väylän välityksellä.
Ajoneuvon sijaintia suhteessa kaistaan mittaava tuulilasiin kiinnitetty kamera taas voi pyytää sähköisen ohjaustehostimen ohjainlaitteelta tiettyä ohjauspyörän vääntömomenttia tiettyyn suuntaan niin ikään CAN-väylän kautta. Mikäli nämä kyseiset CAN-väyläviestit selvitettäisiin esimerkiksi ottamalla lokeja auton väyläliikenteestä, voitaisiin niitä manuaalisesti auton CAN-väylään syöttämällä hallita ajoneuvon vääntömomenttia (kiihdytystä ja ajonopeutta), jarruja ja ohjausta.
Hakkerointi käytännössä
Esimerkiksi CAN-väyläliikenteen analysointi ja CAN-viestien julkaisu autoon ulkoisella laitteella on ammattilaiselle verrattain helppoa. CAN-väylän viestiliikenne ei kuitenkaan ole standardoitua, joten käänteismallinnetut CAN-viestit eivät yleensä toimi sellaisenaan kuin siihen tiettyyn automalliin tai sen järjestelmään, johon käänteismallinnus on tehty.
Lisäksi analysointi ja viestin julkaisu autoon vaatisi yleensä paikallisen pääsyn autoon. Tämä lienee osasyy siihen, että autojen tietoturvaan on suhtauduttu varsin kevyesti vasta aivan viime vuosiin saakka, jolloin autoihin alkoi tulla liitettävyyteen liittyviä ominaisuuksia, jotka mahdollistavat autoon pääsyn myös langattomasti. Edellä kuvatun kaltainen ajoneuvon ajokäytöksen manipulointi ja haltuunotto on teknisesti täysin mahdollista, mutta jää uhkana satunnaiselle autonkuljettajalle lähinnä teoreettiselle tasolle.
Kuuluisa takaisinkutsu
Vuonna 2015 valkohattuhakkerit (eettiset hakkerit) onnistuivat ottamaan haltuunsa erään yleisen yhdysvaltalaisajoneuvovalmistajan automallin ohjauksen ja vääntömomentinhallinnan. Kyseisen mallin multimediaohjainlaitteessa oli saatavilla suojaamaton WLAN-yhteys, jonka kautta hakkerit onnistuivat mukauttamaan multimediaohjainlaitteen ohjelmistoa siten, että he pystyivät käänteismallintamaan ja julkaisemaan erilaisia CAN-viestejä sen kautta.
Automalliin tehtiin laaja takaisinkutsu näiden löytöjen tiimoilta. Nykyaikainen ajoneuvo tukee usein internet-yhteyttä tai muita langattomia yhteyksiä ja mahdollistaa ulkoisten älylaitteiden liittämiseen – näin ollen esimerkiksi auton sisäiseen CAN-väylän viestiliikenteeseen pääsy ei vaadi enää välttämättä fyysistä pääsyä tai liitäntää ajoneuvoon.
Nykyaikainen teknologia luo uudenlaisia uhkakuvia
Uudemmissa, 2010- ja 2020-luvun autoissa tavataan liitettävyysominaisuuksien lisäksi myös auton itsenäiseen hallintaan kykeneviä, hienostuneita ADAS-järjestelmiä ja osittaisen autonomisen ajon mahdollistavia järjestelmiä. Lisäksi autoissa voi olla langattomia ohjelmistonpäivitysmahdollisuuksia (OTA – Over the Air), ajoneuvojen- ja ajoneuvon ja ulkoisten järjestelmien välisiä kommunikaatiosovelluksia (V2V – Vehicle-to-Vehicle ja V2X – Vehicle-to-Everything) sekä esimerkiksi sähkö- ja hybridiautojen osalta ajoneuvon ja latausinfran välistä kommunikaatiota.
Useissa autoissa on myös erilaisia sovelluksia, jotka saattavat jakaa tai säilöä esimerkiksi henkilötiedoiksi luokiteltavaa dataa, kuten sijainti- ja ajokäyttäytymistietoja. Kaikki nämä seikat tuovat mukanaan uudenlaisia uhkia, tietoturva- ja turvallisuusriskejä sekä väärinkäyttömahdollisuuksia.
Tietoturvastandardi ISO 21434
Autojen tietoturvaa koskeva standardi astui voimaan heinäkuussa 2022, ja sen soveltaminen tulee pakolliseksi kaikkiin uusiin autoihin heinäkuusta 2024 alkaen. Tiettyjen käytännön menetelmien sijaan standardi luo holistisen näkökulman siihen, miten tietoturvaa tulisi aiheena lähestyä.
Nykyisin autojen tietoturva on integroitu osa kaikkien elektronisten järjestelmien suunnittelua, validointia ja testausta, ja se on huomioitu keskeisesti ohjausyksiköiden käyttöjärjestelmätasolta aina auton fyysiseen tiedonsiirtotopologiaan ja sähköverkon rakenteeseen asti.
Useita hienostuneita suojamekanismeja käytetään esimerkiksi ohjausyksikköjen väliseen tiedonsiirtoon, ohjausyksikköjen paikallis- ja etäohjelmistopäivityksiin sekä ulkoiseen, esimerkiksi huoltoliikkeille tarkoitettujen diagnoositesterien ja ajoneuvon ohjausyksiköiden väliseen kommunikaatioon liittyen.
Kirjoittaja: Valtteri Härkönen