Хакер для «Лисяна»: эксперты рассказали об уязвимости автомобилей

Современные автомобили становятся сложнее, а значит, уязвимее для кибератак. В прошлом году было выявлено более 500 автомобильных уязвимостей. Сами атаки стало проще проводить, а информацию для взлома можно найти в интернете, отметили на конференции по кибербезопасности в ходе Транспортной недели в Москве. В предложениях по защите электроники современных машин разбирались «Известия».

Риск телематики

Практически все ведущие мировые производители запустили массовые сервисы с использованием встроенных телематических систем, рассказал первый заместитель генерального директора Научно-исследовательского института автомобильного транспорта (НИИАТ) Михаил Брячак.

Фото: Global Look Press/Jens Kalaene/dpa

Если в 2023 году 75% всех машин были оснащены телематикой, то в 2024-м уже 79%. Ожидается, что по итогам 2025 года уровень машин с такими сервисами в странах ЕС и Великобритании может достичь 100%. Общий объем поставок в прошлом году достиг 64,5 млн единиц, а к 2029 году вырастет до 82 млн. Таким образом, доля подключенных транспортных средств составит 93% от общего количества.

Среди основных тенденций этого сегмента Михаил Брячак назвал внедрение персональных помощников на базе искусственного интеллекта и беспроводное обновление бортового программного обеспечения.

— Чем шире спектр предлагаемых услуг, тем больше становится угроз и рисков в этой части, — отметил он.

Взлом с проникновением: в ГД намерены урегулировать деятельность «белых хакеров»

Парламентарии подготовили пакет законопроектов, направленных на это

Взламывать стало проще

Количество автомобильных уязвимостей, публикуемых ежегодно с 2014 года, растет, отметил директор направления автомобильной кибербезопасности АО «ГЛОНАСС» Владимир Педанов. Согласно приведенным им данным, до 2018 года количество уязвимостей не превышало нескольких десятков, но в 2019 году выросло до 266, в 2023-м их насчитывалось 426, а в 2024-м — 530. Скорее всего, в следующие годы уязвимостей будет еще больше, отмечает эксперт.

За 10 лет трансформировались и кибератаки — они становятся всё более массовыми, доступными и легкими к исполнению. Если раньше подготовка к ним занимала месяцы и даже годы работ, то сейчас требуются недели. Информацию для совершения взлома можно найти в самых обычных соцсетях.

Фото: Global Look Press/Cfoto/Keystone Press Agency

— Один из российских автопроизводителей у нас запрашивал проведение работ по анализу защищенности мультимедийной системы. И пока мы согласовывали передачу информации этой системы, нашим специалистам удалось найти ее прошивку и описание уязвимостей, которые уже были найдены другими специалистами и размещены в публичном доступе, — рассказал Владимир Педанов.

Владельцы автомобилей Li Auto (Lixiang) в России с июня начали обращаться с жалобами на взлом мастер-аккаунтов — ключей к полному управлению машиной через приложение. Злоумышленники, получив контроль над автомобилем, требовали выкуп — в среднем 250 тыс. рублей.

Уязвимость современных автомобилей ощутил более широкий круг автомобилистов. Так, владельцы автомобилей ушедших из России марок лишились многих онлайн-сервисов.

Взлом завода

Фокус смещается на причинение вреда бизнесу в целом, отмечают эксперты. Достаточно вспомнить хакерский взлом британского автопроизводителя Jaguar Land Rover в августе 2025 года. Он обошелся экономике Великобритании в $2,5 млрд и затронул более 5 тыс. различных организаций в стране.

Фото: ИЗВЕСТИЯ/Сергей Коньков

В США в начале года ввели бан на технологии подключенных автомобилей из Китая и России. Якобы они могут собирать данные и передавать их «злонамеренным субъектам».

Как испытывают авто на кибербезопасность

Совокупный объем кода, который управляет современным автомобилем, может превосходить 100 млн строк, что сравнимо с крупными банковскими системами, отмечает заместитель генерального директора Научно-испытательного института систем обеспечения комплексной безопасности Олег Ассур.

— Совокупная сложность приводит к ошибкам. Ошибки приводят к уязвимостям, которые, в свою очередь, приводят к кибератакам. Чтобы минимизировать этот риск, в мире существует практика испытаний, — отметил он.

Поставить на учет: в России создали единую базу цифровых следов кибермошенников

Собранные данные помогут выявлять преступников на системной основе

Так, на первом этапе машину тестирует автопроизводитель. На следующем этапе включается испытательная лаборатория. В завершение проводится тест на проникновение — когда исследователь выступает в роли злоумышленника. Он на практике подтверждает те возможные уязвимости, которые обнаруживаются на предыдущих этапах. Далее производитель осуществляет доработки в соответствии с рекомендациями и приходит на повторные испытания. Такой цикл проводится, пока уровень риска не станет приемлемым, отмечает Олег Ассур.

Фото: РИА Новости/Константин Чалабов

Следующий уровень испытаний — киберполигоны, позволяющие проверять более сложные, комплексные сценарии — несколько объектов, взаимодействие с дорожной инфраструктурой, взаимодействие связи, телематики.

Нужен свой регламент

В международной практике существуют стандарты кибербезопасности (R155, R156, ISO/SAE 21434), отмечают эксперты отрасли. Они уже стали обязательной частью выхода на рынок в ряде стран. Правило R155 было расширено на мотоциклы и скутеры. Местные стандарты появились в Китае и Индии.

— Правило R155 существует в России в «подвешенном» состоянии. То есть впереди нас в этом вопросе ушли не только Европа, США, Китай, но и Индия, — отмечает Владимир Педанов.

В России следует национальный регламент на их базе, считает Михаил Брячак, и, кроме того, необходимо сформировать методики анализа защищенности программного обеспечения автомобилей и создать отраслевой центр компетенций по кибербезопасности транспорта.

Фото: Global Look Press/Klaus-Dietmar Gabbert/dpa

Для создания собственной системы испытаний и сертификации кибербезопасности транспорта есть все возможности, считает Олег Ассур.

— В России одна из лучших школ кибербезопасности в мире, — отметил он.

Награда найдет хакера

Кроме того, существует программа поиска уязвимостей за вознаграждение Bug Bounty, напомнил директор АО «Позитив Текнолоджис» Владимир Исаев. Они уже применяются в российской практике, например Минцифры, как один из способов проверки государственных информационных систем взаимодействия с населением. В частности, такую проверку проходили «Госуслуги», отметил Владимир Исаев.

Фото: ИЗВЕСТИЯ/Александр Казаков

— В модели обязательной системы сертификации мы имеем определенные границы в виде специалистов, лабораторий, инструментария, сроков. В формате Bug Bounty на платформах и площадках, которые предлагают такие сервисы, зарегистрированы тысячи специалистов, так называемых белых хакеров. Каждый из них специализируется на какой-то своей области. Они за вознаграждение ищут те самые ошибки уязвимости в размещенной компанией программе. Таким образом, мы получаем максимальную глубину проверки, — рассказал он.

Особая категория

Владимир Педанов рассказал, что при участии Минпромторга ведется работа по созданию Центра управления информационной безопасностью SOC. Пилотный проект проводится совместно с ФГУП НПП «Гамма».

— То есть первое, что мы будем делать, мы будем пытаться взламывать автомобили. Второе, мы будем пытаться зафиксировать возможности этого взлома на основе телематических данных. Работа над экспериментом у нас тянется с прошлого ноября, но наконец-то мы переходим в практическую плоскость, когда эксперимент официально запущен, и работы у нас уже начались. Сейчас ведется проработка передачи телематических данных от разных транспортных средств. Команда хакеров уже получила задание на взлом, отработку тестирования. И надеюсь, что в скором времени мы сможем поделиться с вами информацией, — рассказал он.

Фото: ИЗВЕСТИЯ/Анна Селина

Специалисты НПП ГАМА при поддержке автоматизируют процесс сбора данных, обеспечивают анализ инцидентов и реагирование на эти инциденты. Причем транспортные средства, перевозящие опасные грузы, беспилотные авто, транспорт госслужащих и общественный транспорт, объединены в особую категорию.

Локализуйте данные

Для новых импортных, нелокализованных автомобилей прорабатывается отдельный подход с локализацией данных, которые с этих транспортных средств могут отправляться за границу.

— Всё время ходят разговоры от том, что якобы все китайские автомобили передают некую информацию куда-то, но куда — никто не знает, — отмечает партнер «Автостата» Игорь Моржаретто.

При этом рядовому покупателю, как правило, всё равно, куда идет информация с его автомобиля и какая, считает главный редактор «За рулем» Максим Кадаков.

— Мы предлагаем локализовывать данные, которые передаются с иностранных транспортных средств за рубеж по аналогии с защитной персонализацией. И в качестве инструмента контроля мы предлагаем использовать сим-карту «ГЛОНАСС». То есть мы отходим от инициатив, которые предлагались в том числе НТИ «Автонет», другими участниками отрасли по созданию единого хранилища, единой библиотеки данных. Мы переходим к децентрализованному хранилищу, когда данные будут оставаться у их владельцев, у автопроизводителей, у локальных партнеров. Наша роль будет в том, чтобы контролировать то, что этот процесс реален, он не фальсифицируется и данные действительно хранятся в России, — отметил Владимир Педанов.