Forskaren: Så sårbar är din bil för hackare

PREMIUM Hackerattacker drabbar bara datorer och företag. Eller hur? Tomas Bodeklint, vid statens forskningsinstitut RISE, Research Institutes of Swedens fordon- och automatiseringssektion håller inte med. På goda grunder. Han vet hur sårbara dagens moderna uppkopplade fordon verkligen är, och varför frågan bör tas på allvar.
Annons

Tiden då en bil bara var en bil är sedan länge förbi. Dagens moderna bilar, och elbilar i synnerhet, är i stort som en rullande mobiltelefon, där uppkoppling öppnat upp för allsköns bekväma tjänster och förarassisterade hjälpmedel.

I detta finns också en risk, något som statens forskningsinstitut RISE Research Institutes of Sweden granskar djupare.

Tomas Bodeklint forskar tillsammans med RISE:s övriga forskningscenter i uppkopplade bilars cybersäkerhet, en fråga som kommit att bli allt mer viktig för hela fordonsindustrin.

– Förr i tiden var en bil en ganska isolerad hårdvarubaserad miljö utan fler anslutningar än OBDII-uttaget, inleder Tomas. Så ser det inte ut idag, där allt fler fordon är uppkopplade mot nätet.

Med det infaller vissa risker, där inget är starkare än länkens svagaste punkt. Det är precis dessa svaga länkar som både fordonsindustrin själva och RISE fokuserar på att identifiera och eliminera.

För bilindustrin sker arbetet med viss blåslampa från myndighetshåll på global nivå. FN har nämligen kravställt hur fordonstillverkare måste arbeta med cybersäkerhet.

Forskaren: Så sårbar är din bil för hackare
Tomas Bodeklint är forsknings- och affärsutvecklare vid RISE:s avdelning för fordon och automatisering. Avdelningen jobbar utöver fordon även med industri, telekom, data- och IT-säkerhet.

– Sedan juli 2022 är det ett krav på att alla nya fordonsmodeller på marknaden måste uppfylla FN:s krav, det så kallade UN ECE Regulationkrav 155 gällande cybersäkerhet, förklarar Tomas. Exakt var man drar gränsen för en fordonsmodell är oklart, men det handlar om de fordon som har samma elarkitektur och externa interface inom en fordonsmodell.

Fordonsindustrins verkliga ödesdatum är dock juli 2024. Då skärps FN-resolutionen ytterligare. Då måste alla nya bilar som säljs uppfylla dessa krav. Inte enbart nya modeller.

– De flesta länder har antagit FN-resolutionen och alla biltillverkare jobbar redan idag med produkter som väntas lanseras bortåt år 2024. Så visst är det så att bilindustrin arbetar med kniven mot strupen. Uppfyller de inte FN-kravet till juli 2024 så får de heller inte sälja några nya bilar på flera viktiga världsmarknader. Precis som man kravställer utsläppsnivåer kravställer man nu också cybersäkerhetsarbetet genom fordonets hela tillverkningsprocess och för den färdiga produkten.

Varför har då FN valt att kravställa detta? Trots allt är det en fråga som fordonsindustrin själva kopplat grepp om och jobbar för fullt med, av ren självbevarelsedrift.

– Samtidigt nås vi löpande om rapporter om hackade fordon. Dessa rapporter är återkommande och det har fått myndigheter över stora delar av världen att reagera, förklarar Tomas. De ser risken för att hackade fordon skulle kunna innebära ett hot även mot samhällets grundläggande funktioner.

Forskaren: Så sårbar är din bil för hackare
VIDAR är RISE fordon och automatiserings äldsta testbädd. Här skapas en konstgjord miljö som tillåter forskarna att utföra digitala attacker på kompletta fordon, såväl trådlöst som via laddstationspunkter. Testbädden är omgiven av absorbenter som ska fånga upp alla radiovågor, så att dessa inte studsar mot väggen. En förutsättning för att testerna ska kunna ske så realistiskt som möjligt.

Det kan låta både alarmistiskt och överdrivet, men faktum är att hotet är reellt redan idag.

– Se på hackerattacken som slog ut A-kassan nyligen, påminner Tomas. Att-acken riktades mot en underleverantör av programvara som hanterade A-kassan och slog ut systemet. Exakt samma sak drabbade Coop för cirka två år tillbaka. Uppkopplade bilar är förstås inget undantaget mål för hackarna.

Föreställ dig att landet befinner sig i någon form av konfliktsituation. Genom en hackerattack slutar delar av kollektivtrafiken att fungera. Bilars funktioner sätts ur spel.

– Bilägare kommer inte längre in i sina fordon eller kan inte starta sin egen bil. Ingen kommer dit de ska och då uppstår stora och allvarliga samhällsstörningar, förklarar Tomas.

Att det inte är science fiction bevisade en grupp hackare år 2015, i den då uppmärksammade Jeep-attacken. Hackare bevisade då att de från distans bland annat kunde få bilen att stanna, mot förarens vilja.

– Det var en grupp vänligt inställda hackare som ville göra branschen uppmärksam på bilens sårbarhet, där gruppen på distans kunde ta över vissa delar av bilens funktioner, säger Tomas.

Forskaren: Så sårbar är din bil för hackare
Nätbaserade spellistor och molntjänster har sedan länge hittat in i våra fordon, tillsammans med mobiltelefonens innehåll och funktioner. Tekniken har fört mycket gott med sig, men har också skapat utrymme för digitala säkerhetsluckor.

Flera andra rapporter rörande andra övertaganden i bilar av olika fabrikat har därefter följt, där funktioner i varierande grad kunnat tas över på distans av obehöriga. Det är i det ljuset som forskningen ska ses. Därför har Tomas lugnande besked till bilägare över hela landet.

– Som bilägare behöver man inte vara orolig att någon hackare har intresse av att ta sig in i en enskild bil, menar han. Däremot handlar det om att känna till riskerna och hur det skulle kunna användas för att störa viktiga samhällsfunktioner.

Tomas Bodeklints bedömning är att det finns väldigt lite som den enskilda bilägaren kan göra för att skydda sitt moderna uppkopplade fordon från hackerattacker.

– Fundera över vilka appar som du laddar ned, vilka funktioner du ger bilens system access till och vilka villkor du godkänner för att starta vissa applikationer. Och fundera på hur lämpligt det är att ladda ned optimeringsmjukvaror som inte är sanktionerade av biltillverkaren själv till din bil, råder han.

Samtidigt är det svårt att freda sig som bilägare.

– Om du köper en ny bil så nyttjar du alldeles säkert tillverkarens digitala tjänster kopplade mot bilen, bilen kanske är uppkopplad mot delningstjänster och så vidare, säger Tomas.

Med elbilar och pluginhybrider ökar sårbarheten ytterligare.

– Bilfabrikanterna gör allt för att säkra sin produkt, men de kan inte ta ansvar för yttre omgivande faktorer, beskriver Tomas. En laddkabel är egentligen också en nätverkskabel som du ansluter mot din laddbox i ditt smarta uppkopplade hem som kanske saknar brandvägg.

Kanske är det en bostadsrättsförening som upprättar laddboxen. Då har hyresgästen med sin elbil ännu mindre kontroll på säkerheten.

Forskaren: Så sårbar är din bil för hackare
En laddkabel som ansluts till en elbil är mer än bara en laddkabel. I princip är det samtidigt som att ansluta en nätverkskabel direkt till din elbil, menar Tomas Bodeklint.

Större elektronikproducenter har hela avdelningar som jobbar enbart med cybersäkerhet.

– Men den där lilla fjärrstyrda blåtandskontakten som låter dig reglera lampan där hemma, den är kanske inte så smart när allt kommer till kritan. Den kan vara den svaga länken som hackare behöver för att nå annan digital nätverksinformation. Och har du elbil med laddbox hemma så är bilen också ansluten till ditt smarta uppkopplade hem, förklarar Tomas.

Elbilar är även utsatta vid publika laddstolpar.

– Inom bilindustrin har problemet blivit mer definierat, fortsätter Tomas. Där finns idag processer och standarder kring hur problemen ska behandlas, följas upp och säkras. På den punkten är laddstolpsbranschen ännu inte lika utvecklad.

Därför arbetar RISE, tillsammans med svensk fordonsindustri och leverantörer av laddstolpar, på att hitta en branschstandard som även ska säkra laddstolpar.

– Främst arbetar vi tillsammans med svenska leverantörer, men vi sitter också med i internationella råd och bidrar även i dessa sammanhang med den forskningskunskap vi har, säger Tomas.

Arbetet är dock komplext och en – vad Tomas själv beskriver det som – ständig katt och råtta-lek mellan de som vill täppa till luckorna i säkerhetssystemet och de som gör allt för att bryta sig igenom det.

– Det händer här och nu och det är en aldrig avslutad kamp, menar Tomas Bodeklint.

Forskaren: Så sårbar är din bil för hackare

TRE SORTERS HACKARE

Forskaren: Så sårbar är din bil för hackare
• Samhällsstörande attacker

Hackergrupper där det i regel finns misstanke om statsfinansieringfrån annan makt. Attackernas enda syfte är att skada eller slå ut viktiga samhällsfunktioner genom att störa ut eller spärra digitala tjänster och funktioner.

• Ransomwareattacker

Digitala attacker som sker helt i ekonomiskt vinstsyfte. Hackare tar sig in i digitala system för att komma över information, ta kontroll eller kryptera funktioner.

– Det är oftast kriminella hacker-nätverk som ägnar sig åt detta och de drivs helt av ekonomiska intressen, säger Tomas Bodeklint. Dessa attacker är vanligt förekommande. Inget företag skyltar med att de betalat hackare för att återfå kontrollen över företagets egna data, men det finns flera fall där mycket tyder på att så har hänt. Då har det handlat om mångmiljonbelopp i dollar räknat.

• Hobbyhackare

Grupp tre är de som mest ser det som en spännande utmaning. Helt enkelt se om det är möjligt att ta sig in i olika system, för att ändra funktioner eller inställningar från distans.

– Denna grupp kan ibland gränsa till ransomwaregruppen, men nöjer sig oftast med att utmana systemet.

Annons
Annons
Rulla till toppen