Уязвимы и опасны: почему автономный транспорт и роботы нового поколения могут стать целью хакеров
На масштабной и амбициозной презентации Tesla глава компании Илон Маск представил Cybercab - беспилотное роботакси без руля и органов управления, беспилотный автономный автобус Robovan и, что неожиданно, человекоподобного робота Optimus. Маск заявил, что Optimus может стать "самым грандиозным продуктом в истории". По его словам, человекоподобные роботы в ближайшем будущем смогут выполнять широкий спектр задач - быть учителями, гувернерами, смогут выгуливать собак, стричь газон и превратят Tesla в компанию стоимостью 25 трлн долларов.
Практически одновременно с презентацией Tesla достоянием общественной стала история взлома роботов-пылесосов. Успешная кибератака произошла в нескольких городах США, в штатах Миннесота, Калифорния и Техас. Работы-пылесосы буквально преследовали по дому хозяев и домашних животных, выкрикивая непристойные ругательства через встроенные динамики.
При этом между футуристическим "Оптимусом", роботакси и роботом-пылесосом есть прямая связь. Все они относятся к новому классу устройств, который называется "киберфизическими системами" и является частью IoT (интернета вещей).
Киберфизические системы - это системы, состоящие из механизмов, а также информационных и управляющих подсистем, позволяющих представить такое устройство как единое целое. Компьютеры осуществляют мониторинг и управление физическими процессами с использованием петли обратной связи, где происходящее в физических системах оказывает влияние на вычисления и наоборот.
И если взлом роботов-пылесосов Ecovacs - лишь неприятный факт вандализма, то успешная кибератака на робота-андроида или роботизированный транспорт может привести к более серьезным последствиям.
Взбунтовавшийся или взломанный человекоподобный робот, его опасные, разрушительные и даже смертельные действия уже многократно описаны научной фантастике.
По словам руководителя центра мониторинга и реагирования компании UserGate Дмитрия Кузеванова, с точки зрения информационной безопасности разница между обычным ПК, пылесосом или роботакси невелика, так как любое умное устройство, имеющее выход в интернет, - это, по сути, мини-компьютер, и оно может быть взломано, чтобы получить с его помощью информацию, выполнить какую-то команду или стать частью ботнета.
Он также отмечает, что на безопасность влияет не сложность устройства, а отношение производителя к разработке ПО и своевременность обновлений в случае обнаружения уязвимостей: "Производитель может изначально использовать слабые, стандартные или зашитые пароли, не предусмотреть возможность обновления внутреннего ПО или наличие каких-либо защитных механизмов. Крупные производители, как правило, имеют более серьезный подход к вопросам безопасности, так как учитывают потенциальные репутационные риски для бренда. Однако гарантировать 100% защиту, к сожалению, невозможно. В случае обнаружения уязвимости и оперативного выпуска обновления его необходимо оперативно установить на устройство, а в случае с пользовательским устройствами, это маловероятно".
Руководитель управления по работе с технологическими партнерами "Лаборатории Касперского" Евгения Пономарева уверена, что атаки на киберфизические устройства являются более серьезными и опасными, чем атаки на классические IT-системы, поскольку они могут оказывать влияние на физическую безопасность человека. Более того, размер потенциального ущерба от подобной атаки может быть намного больше, а защититься от нее сложнее.
"Чем сложнее система, тем больше вероятность наличия ошибок, которые в дальнейшем могут быть использованы злоумышленниками. Как правило, роботизированные подключенные устройства состоят из большого количества компонентов и содержат множество строк кода ПО. Помимо этого, в подобных системах зачастую используется еще и сторонний код. Такой объем достаточно сложно проанализировать с точки зрения кибербезопасности", - отмечает Пономарева.
Новые подходы к разработке электронных архитектур такого рода систем и увеличение количества цифровых сервисов требуют тщательной оценки взаимного влияния функциональной безопасности и кибербезопасности.
По словам Пономаревой, производителям важно проектировать киберфизические платформы по принципу конструктивной безопасности - то есть уже на этапе проектирования и создания системы учитывать потенциальные риски и киберугрозы. Однако, по словам эксперта, данный процесс является достаточно трудоемким и требует тщательной проработки каждой функции с привязкой к архитектуре конкретной модели и экосистемы подключенного устройства (приложений, телематических платформ, систем внешних поставщиков услуг).
Очевидно, что по мере развития киберфизических систем (роботов, автономного транспорта и пр.) они станут дешевле, больше вендоров включатся в их производство и выйдут на рынок. Причем это будут компании уровня B, пытающиеся конкурировать за счет удешевления разработки и экономии на всех этапах создания продукта с целью снижения его цены. Уровень киберзащищенности таких систем будет ниже, чем у технологических лидеров, и они могут стать приоритетной целью для атак хакеров.