Sårbarhet og sikkerhet ved softwareoppdateringer i tilkoblede kjøretøy 

– Hilde Waaler

For at fremtidens transportsystemer skal bli sikre, effektive og grønne må vi forstå og håndtere sårbarheter og risiko, både når vi bygger og når vi drifter systemene. Kunnskap om, og håndtering av risiko – både juridisk og i praksis – er viktig i de enkelte nye teknologiene – men ikke minst i de store transportsystemene som helhet.

Det foregår en rivende teknologisk utvikling innen intelligente transportsystemer. Utviklingen av relevant og fleksibelt regelverk som rammebetingelser for praktisk bruk av teknologien, tar derimot ofte lengre tid. I tillegg adresserer gjerne regelverket gårsdagens teknologi og ikke teknologi som er under utvikling og i ferd med å bli implementert.

Det arbeides imidlertid aktivt både i EU og internasjonalt med å tilpasse eksisterende og utvikle nytt regelverk for å tilrettelegge for utvikling og implementering av intelligente transportsystemer på en sikker og trygg måte.

I en serie artikler på siits.no tar vi for oss noen sentrale initiativ til tilpasning og nytt regelverk. I denne artikkelen fokuserer vi på sårbarhet og sikkerhet ved softwareoppdateringer i tilkoblede kjøretøy.

Bil-industrien er i en rivende utvikling og gjennomgår en grunnleggende omlegging i forbindelse med digitalisering av interne systemer som er nødvendige for å levere automatisering, sammenkobling og delt mobilitet.

– Biler inneholder i dag opp til 150 kontrollenheter og om lag 100 millioner linjer med softwarekode, sier Arve Føyen, advokat med spesialfelt innen digital teknologiutvikling. – Dette er fire ganger mer enn hva som finnes i et jagerfly, og det antas å ville øke til 300 millioner kodelinjer innen 2030, sier Føyen.

– Med en slik utvikling følger en betydelig cyber sikkerhetsrisiko: Hackere forsøker å aksessere systemer og data. Det gjør det mulig å manipulere bilens systemer, sier Føyen.

– Bilprodusentene samler også inn mye data. Data som er knyttet til enkeltpersoner. Data som kanskje i utgangspunktet er ment å forbedre bilens yteevne, men som på avveie kan misbrukes. – Før oppdaterte man bilens software når bilene var inne på periodisk kontroll på verkstedene. Nå gjøres dette over-the-air, om natten, via internett, opplyser Føyen.

– Dette truer sikkerheten i kjøretøyet og også forbrukernes personvern, understreker Føyen.

Advokat Arve Føyen

To nye FN-reguleringer

Imidlertid har det blitt etablert to nye FN-reguleringer om cybersikkerhet og software-oppdateringer som trådte i kraft i 2021, som vil bidra til å forebygge cyberrisikoen. Reguleringene mitigerer risiko ved at de etablerer klare fremgangsmåter og revisjonskrav for bil-fabrikantene. De to reguleringene er de første internasjonale, bindende normene på dette området.

Dette får betydning også i Norge. FNs økonomiske kommisjon for Europa utgir blant annet regelverk for typegodkjenning av motorvogner som innarbeides i EU regelverk og videre i Norsk lovgivning.

Denne reguleringen krever at tiltak blir iverksatt på fire områder, understreker Føyen:

  1. Håndtering av cyber-risiko i kjøretøy
  2. Sikring av kjøretøy ved design for å forebygge risiko som oppstår i verdikjeden
  3. Avdekking av og respons på sikkerhetshendelser på tvers av kjøretøyflåten
  4. Trygging og sikring av programvareoppdateringer og sikre at kjøretøyets sikkerhet ikke kompromitteres, og introdusere et juridisk grunnlag for såkalte «Over-the-Air» (O.T.A.) -oppdateringer til programvare i selve kjøretøy.

Vil dette løse alle utfordringene knyttet til datainnsamling?

Føyen understreker at reguleringen hjelper på en del. – Den stiller krav til hvordan teknologien fungerer, sikkerheten, sikring av opplysninger etc. Men reguleringene løser ikke alle problemstillinger. Det er fremdeles uklarheter til hvem som skal eie dataene som samles inn. Er det bileieren, bilprodusentene eller veimyndighetene? Og skal man gi tilgang til andre brukergrupper som for eksempel forsikringsselskaper, spør Føyen.

Hvem bør eier dataene som bilen samler inn?

– Bileierne, sier Føyen.

– Det er også utfordring knyttet til samtykke til datainnsamlingen. Når man samtykker, vet man egentlig hva man samtykker til, når man skriver under på en lang teknisk spesifikasjon? Det er ikke alltid man skjønner hva dette innebærer, sier han.

Kan forbrukerne og bileierne stole på at reguleringen er god nok?

 – Aldri, sier Føyen og legger til: Ny lovgiving tar 3-5 år å utvikle, ny teknologi utvikles mye raskere. Lovgivningen henger alltid etter den praktiske utviklingen.

Sårbarheter i fremtidens integrerte intelligente transportsystemer (SIITS)

Disse nye reglene er også fokus i forskningsprosjektet Sårbarheter i fremtidens integrerte intelligente transportsystemer (SIITS), som er støttet av Norges Forskningsråd, og som representerer et bredt sammensatt konsortium med bedriftspartnere som dekker risikostyring, samfunnssikkerhet og teknologi. Arve Føyen deltar i SIITS-prosjektet og bidrar med juridisk spisskompetanse innen regulatoriske rammebetingelser, samt spørsmål knyttet til risiko og ansvar, rettigheter til data samlet inn av sensorer etc og en rekke andre juridiske problemstillinger.

Hvordan ser du på viktigheten av å inkludere dette temaet inn i SIITS-prosjektet?

– Dette er svært relevant for SIITS, sier Føyen.  – For samfunn, myndigheter og bedrifter er det kritisk å tidlig og effektivt kunne ta hensyn til ny risiko, slik at nye gode mobilitetsløsninger kan tas i bruk raskt og sikkert. Leveransene i SIITS-prosjektet styrker både offentlige og private aktørers evne til å håndtere utfordringene som ligger i digitaliseringen av samfunnet og overgangen til mer bærekraftig og sikker transport, sier han.

De nye reglene om cybersikkerhet vil være lovpålagt i EU for alle nye typer kjøretøy fra juli 2022. Reglene vil videre gjelde for alle nye kjøretøy som produseres fra juli 2024.

Personvern og tilkoblede kjøretøy

I fremtidens transportsystemer er det som nevnt over stor usikkerhet knyttet til eierskap, grenser og ansvarsforhold. Hvem eier hvilke data, og ikke minst hvordan håndterer vi personopplysninger – og hvem er egentlig ansvarlige for hva når systemer er vevd sammen og avhengige av hverandre på tvers?

– Når organiseringen av transportsektoren endres og ansvarsfordelingen forskyves, blir det også svært viktig å ha forsikringsprodukter og forsikringsmodeller som møter de nye behovene, understreker Føyen. – Det er viktig å jobbe både med forståelsen av hvor eierskap og grenser går – og med utvikling av forsikringsløsninger som møter den nye virkeligheten.

Sentralt i dette er GDPR. Personvernforordningen gjelder for all behandling av personopplysninger, innsamling, registrering, sammenstilling, lagring eller utlevering.

E-privacy

E-Privacy direktivet Artikkel 5 (3) innført i norsk lov ved E-komloven § 2-7 b stiller krav om at lagring av eller tilgang til opplysninger i brukers kommunikasjonsutstyr. – Slik lagring eller tilgang, er ikke tillatt uten at brukeren er informert om hvilke opplysninger som behandles, formålet med behandlingen, hvem som behandler opplysningene, og at brukeren har samtykket til dette, understreker Føyen.

Veiledning for behandling av personopplysninger

Det europeiske Personvernrådet (EDPB) har utgitt en veiledning (Guidelines 01/2020 Version 2.0 – vedtatt 9. mars 2021) om behandling av personopplysninger i sammenheng med tilkoblede kjøretøy og mobilitets­relaterte applikasjoner, forteller Føyen.

Veiledningen fastslår at GDPR og ePrivacy direktivet gjelder for behandling av personopplysninger i tilknytning til kjøretøy som er knyttet til elektroniske kommunikasjonsnett, og at et kjøretøy som er tilknyttet må anses som «terminalutstyr» (et kjøretøy som er tilknyttet et offentlig nett for elektronisk kommunikasjon – «tilknyttet kjøretøy» – anses som en brukers kommunikasjonsutstyr – en «terminal» – på samme måte som smarttelefoner og pc’er eller smart-TV’er) i henhold til lovgivningen om elektronisk kommunikasjon.

Veiledningen fokuserer spesielt på behandling av personopplysninger knyttet til privatpersoners bruk av tilknyttede kjøretøy. Dette omfatter f. eks opplysninger om sjåfører, passasjerer, kjøretøy-eiere, andre vei-brukere osv. Særlig omfatter det personopplysninger som:

  • behandles inne i kjøretøyet
  • utveksles mellom kjøretøyet og personlige enheter koblet til det (f. eks. brukerens smarttelefon)
  • samles inn lokalt i kjøretøyet og eksporteres til eksterne aktører som f. eks bilprodusenter, infrastrukturoperatører, forsikringsselskap og bilverksteder for videre behandling.

Mangfoldet av funksjonalitet øker sårbarheten

Det finnes mange eksempler på typer applikasjoner som behandler personopplysninger fra tilkoblede kjøretøy, som f. eks navigasjon og planlegging av reiseruter, administrasjon av kjøretøyet, veisikkerhet, underholdning, førerassistanse, velvære for fører og passasjerer osv., sier Føyen.

Tobias Rademacher on Unsplash

– Mangfoldet av funksjonalitet, tjenester og grensesnitt (f. eks web, USB-sticks, RFID, og WiFi) som er tilgjengelig i tilkoblede kjøretøy, øker mulighetene for angrep og antall potensielle sårbare områder der personopplysninger kan bli kompromittert, understreker han.

– Også personopplysninger som lagres i tilkoblede kjøretøy eller på eksterne lokasjoner (som f. eks cloud computing infrastruktur), må sikres forsvarlig mot uautorisert tilgang. Eksempelvis må en mekaniker som skal utføre vedlikehold på en bil ha tilgang til de tekniske dataene i bilen. Det kan imidlertid tenkes at teknikeren vil forsøke å skaffe seg tilgang til alle data som er lagret i bilen. Det bør derfor legges opp til flere former for tilgangskontroll, påpeker Føyen.

– Til forskjell fra de fleste IoT (Internet of Things) enheter, er tilkoblede kjøretøy kritiske systemer, der sikkerhetsbrister kan medføre livsfare for brukerne og personer i nærheten. Det er derfor viktigere enn ellers å adressere risikoen for at hackere vil forsøke å utnytte sårbarheter i tilkoblede kjøretøy, avslutter Føyen.

X