Nuo automobilių įsilaužimų iki ekosistemos rizikos
2015 m. saugumo tyrėjai Charlie Miller ir Chris Valasek parodė, kad 2014 m. Jeep Cherokee galima perimti nuotoliniu būdu. Jie pasinaudojo pažeidžiamumu automobilio informacijos ir pramogų sistemoje, kuri buvo prijungta prie mobiliojo ryšio tinklo.
Jie galėjo paveikti kelias automobilio funkcijas, įskaitant oro kondicionierių, radiją, valytuvus, o važiuojant mažu greičiu – ir transmisiją. Dėl šio pažeidžiamumo gamintojas turėjo iškviesti 1,4 mln. automobilių į servisus. Tai tapo vienu pirmųjų didelių automobilių saugumo atvejų, tiesiogiai susijusių su kibernetiniu saugumu.
Po dešimties metų JLR incidentas parodė kitą tos pačios problemos pusę. Užpuolikams nereikėjo perimti konkretaus automobilio, kad sukeltų didelio masto sutrikimų. Paveikus įmonės IT sistemas, buvo sutrikdyta gamyba, o pasekmės pasijuto platesniame pramonės tinkle.
Šie du atvejai skiriasi savo metodu, bet rodo tą pačią kryptį. Automobilių kibernetinis saugumas nebėra vien atskirų transporto priemonių apsauga. Šiandien reikia saugoti visą skaitmeninę ir veiklos ekosistemą aplink jas.
Galimų atakos taškų daugėja
Remiantis Upstream „Global Automotive and Smart Mobility Cyber Security Report“, 2025 m. 92 % automobilių sektoriaus kibernetinių atakų buvo vykdomos nuotoliniu būdu, o 86 % jų nereikalavo fizinio artumo prie automobilio. Ataskaitoje taip pat nurodoma, kad telematikos ir debesijos sistemos buvo susijusios su 67 % paviešintų incidentų, o su išpirkos reikalaujančia programine įranga susijusios atakos sudarė 44 % visų atvejų.
Šiuos skaičius reikėtų vertinti kaip konkrečios sektoriaus ataskaitos duomenis, o ne kaip universalią statistiką. Vis dėlto jie aiškiai parodo kryptį: užpuolikai vis dažniau taikosi į sistemas aplink automobilius, o ne tik į pačias transporto priemones.
Organizacijoms, kurios veikia automobilių sektoriuje arba jam tiekia sprendimus, šiandien ypač svarbios keturios rizikos sritys.
1. Mobiliosios programėlės ir debesijos API
Automobilių valdymo programėlės tapo svarbia vairuotojų patirties dalimi. Jos leidžia atrakinti duris, pradėti įkrovimą, patikrinti baterijos būseną, rasti automobilio vietą ir valdyti kitas nuotolines funkcijas.
Jei programėlės paskyra, API ar debesijos aplinka yra pažeidžiama, užpuolikai gali gauti prieigą prie funkcijų, kurios anksčiau buvo pasiekiamos tik fiziškai naudojantis automobiliu. Upstream nurodo, kad 2025 m. užpuolikai per susietas programėles pasiekė automobilių valdymo sistemas, užblokavo naudotojų prieigą, manipuliavo nuotolinėmis funkcijomis ir reikalavo išpirkos, kad prieiga būtų atkurta.
Verslui ši pamoka platesnė nei vien automobilių sektorius. Bet kuris susietas produktas, turintis mobiliąją programėlę, debesijos aplinką, kliento paskyrą, API ir nuotolinio valdymo funkcijas, susiduria su panašiomis rizikomis.
2. Telematika ir gamintojų infrastruktūra
Šiuolaikiniai automobiliai priklauso nuo telematikos sistemų, mobiliojo ryšio, debesijos platformų ir API, kurios jungia automobilį su gamintojais, paslaugų teikėjais, atstovybėmis ir automobilių parkų valdymo platformomis.
Tai naudinga ir vairuotojams, ir verslui. Tokios sistemos leidžia atlikti diagnostiką, numatyti techninės priežiūros poreikius, vykdyti nuotolinius atnaujinimus, stebėti automobilių parkus ir kurti naujas skaitmenines paslaugas.
Tačiau kartu tai sukuria ir daugiau galimų įsilaužimo taškų.
Silpna autentifikacija, netinkamai valdoma API prieiga, tapatybių valdymo spragos, debesijos konfigūracijos klaidos ar nepakankamai kontroliuojamos tiekėjų jungtys gali tapti keliu į daug platesnę aplinką. JLR incidentas aiškiai parodė, kaip kibernetinė rizika įmonės IT sistemose gali turėti veiklos pasekmių, kurios gerokai peržengia biuro sistemų ribas.
Automobilių gamintojams ir tiekėjams kibernetinis saugumas nebėra vien produkto saugumo klausimas. Tai taip pat įmonės architektūros, tiekėjų rizikos, debesijos saugumo ir veiklos atsparumo klausimas.
3. Tiekimo grandinės ir trečiųjų šalių prieiga
Automobilių įmonės veikia sudėtinguose tiekėjų tinkluose. Programinės įrangos tiekėjai, komponentų gamintojai, logistikos partneriai, atstovybės, automobilių parkų platformos, mokėjimų paslaugų teikėjai ir debesijos partneriai gali turėti prieigą prie skirtingų platesnės ekosistemos dalių.
Todėl trečiųjų šalių prieiga tampa itin svarbia saugumo sritimi.
Daugelis incidentų neprasideda nuo labai sudėtingo techninio įsilaužimo į automobilį. Jie prasideda nuo pavogtų prisijungimo duomenų, silpnų prieigos kontrolės priemonių, phishing atakų, viešai pasiekiamų sistemų ar nepakankamai kontroliuojamų tiekėjų jungčių.
Automobilių tiekimo grandinėje veikiančioms organizacijoms tai reiškia, kad saugumo vertinimai neturėtų apsiriboti tik vidine infrastruktūra. Jie turėtų apimti ir tiekėjų prieigą, nuotolinį administravimą, duomenų mainus, priklausomybes incidentų valdymo procese ir sutartinius saugumo reikalavimus.
4. Elektromobilių įkrovimo infrastruktūra
Elektromobilių įkrovimo infrastruktūra sukuria dar vieną rizikos sluoksnį. Įkrovimo stotelės yra prijungti įrenginiai, kurie gali tvarkyti mokėjimo duomenis, tapatybės informaciją, įkrovimo autorizaciją ir komunikaciją tiek su automobiliais, tiek su galinėmis platformomis.
2025 m. spalį buvo paskelbtas CVE-2025-12357 pažeidžiamumas, susijęs su „man-in-the-middle“ tipo ataka SLAC susiejimo protokole, naudojamame ISO 15118-2 elektromobilių įkrovimo komunikacijoje. Konkrečiam pažeidžiamumui išnaudoti reikalingas fizinis artumas, tačiau platesnė reikšmė yra struktūrinė.
Įkrovikliai nebėra vien paprasti elektros tiekimo taškai. Tai susietos sistemos, kurios tvarko pinigus, tapatybę, programinę įrangą ir elektros energiją. Plečiantis įkrovimo tinklams, jie tampa tos pačios susietų sistemų rizikos aplinkos dalimi kaip automobiliai, mobiliosios programėlės, debesijos platformos ir automobilių parkų infrastruktūra.
DI prideda dar vieną sudėtingumo sluoksnį
Dirbtinis intelektas taip pat keičia automobilių kibernetinio saugumo aplinką.
Užpuolikams generatyvinis DI gali padėti automatizuoti phishing atakas, pagreitinti informacijos rinkimą, padėti ieškoti pažeidžiamumų ir padaryti socialinę inžineriją įtikinamesnę.
Gynybos ir produkto pusėje automobiliai bei susietos mobilumo sistemos vis dažniau naudoja DI vairuotojo pagalbos funkcijoms, balso sąsajoms, salono stebėsenai, diagnostikai ir automatizavimui. Kiekviena tokia integracija gali pagerinti funkcionalumą, bet kartu sukurti naujų duomenų srautų, sprendimo taškų ir priklausomybių.
Upstream DI paremtas automobilių architektūras įvardija kaip vieną iš veiksnių, plečiančių automobilių atakų paviršių.
Verslui svarbiausia suprasti ne tai, kad DI savaime yra nesaugus. Esmė ta, kad DI naudojančioms sistemoms reikia tokios pačios saugumo disciplinos kaip ir kitiems kritiniams programinės įrangos komponentams: grėsmių modeliavimo, prieigos kontrolės, testavimo, stebėsenos ir aiškaus valdymo.
Reguliacinė kartelė pakilo
Organizacijoms, veikiančioms Europos rinkoje arba tiekiančioms jai sprendimus, kibernetinis saugumas vis dažniau tampa ne tik gerąja praktika, bet ir reguliaciniu reikalavimu.
JT EEK reglamentas Nr. 155 reikalauja, kad transporto priemonių gamintojai turėtų sertifikuotą kibernetinio saugumo valdymo sistemą, apimančią visą transporto priemonės gyvavimo ciklą. Susijęs JT EEK reglamentas Nr. 156 skirtas programinės įrangos atnaujinimų valdymui, įskaitant nuotolinius, arba over-the-air, atnaujinimus. Nuo 2024 m. liepos šie reikalavimai taikomi naujiems automobiliams, gaminamiems atitinkamoms rinkoms.
NIS2 taip pat išplečia kibernetinio saugumo įsipareigojimus visoje ES. Priklausomai nuo vaidmens, į jos taikymo sritį gali patekti automobilių tiekėjai, automobilių parkus valdančios įmonės, susietų produktų gamintojai, skaitmeninių paslaugų teikėjai ir kitos platesnėje mobilumo ekosistemoje veikiančios organizacijos.
Lietuvoje atnaujintas Kibernetinio saugumo įstatymas įsigaliojo 2024 m. spalio 18 d. Nacionalinis kibernetinio saugumo centras prie Krašto apsaugos ministerijos 2025 m. parengė pirminį į taikymo sritį patenkančių subjektų registrą, kuriame identifikavo daugiau nei 1 400 organizacijų. Šioms organizacijoms taikomi kibernetinio saugumo valdymo, incidentų pranešimo, rizikos valdymo ir techninio saugumo reikalavimai, o reikalavimų įgyvendinimo terminai priklauso nuo to, kada organizacija buvo oficialiai informuota.
Atitiktis savaime dar nereiškia atsparumo. Tačiau ji tapo pagrindu vertinant partnerius, renkantis tiekėjus ir kuriant klientų pasitikėjimą reguliuojamuose bei susietuose sektoriuose.
Ką organizacijos turėtų įsivertinti dabar?
Svarbiausia – nustoti žiūrėti į automobilių kibernetinį saugumą kaip į siaurą transporto priemonės saugumo klausimą.
Gamintojams, tiekėjams, automobilių parkus valdančioms įmonėms, elektromobilių infrastruktūros teikėjams ir įmonėms, kuriančioms ar valdančioms susietus produktus, svarbu vertinti visą aplinką aplink produktą.
Tai apima:
- įmonės IT sistemas ir tapatybių valdymą;
- debesijos platformas ir API;
- mobiliąsias programėles ir klientų paskyras;
- telematikos ir nuotolinės prieigos sistemas;
- programinės įrangos atnaujinimo procesus;
- tiekėjų ir trečiųjų šalių prieigą;
- reagavimo į incidentus procedūras;
- NIS2, R155, R156 ir kitus aktualius atitikties reikalavimus.
Saugumo testavimas taip pat turėtų atspindėti realų užpuolikų veikimo būdą. Tai reiškia, kad neužtenka vertinti izoliuotų sistemų. Reikia žiūrėti, kaip silpnosios vietos gali susijungti per programėles, API, debesijos infrastruktūrą, naudotojus, tiekėjus ir veiklos procesus.
Automobilių kibernetinis saugumas šiandien yra susietų sistemų saugumas
Automobilių pramonė tampa vis labiau priklausoma nuo programinės įrangos, susieta ir priklausoma nuo skaitmeninės infrastruktūros. Tai gerina naudotojo patirtį, didina veiklos efektyvumą, padeda geriau matyti ir naudoti duomenis bei atveria naujus verslo modelius.
Tačiau kartu didina ir rizikas.
JLR incidentas parodė, kaip kibernetinė ataka prieš įmonės sistemas gali paveikti gamybą, tiekėjus ir platesnę ekonomiką. Upstream duomenys rodo tą pačią tendenciją kitu kampu: užpuolikai vis dažniau taikosi į nuotolines, susietas, debesija paremtas ir programinės įrangos valdomas ekosistemos dalis.
Automobilių sektoriaus ir susietų sistemų įmonėms klausimas nebėra vien tai, ar saugus pats automobilis. Svarbu klausti, ar visa skaitmeninė aplinka aplink jį yra pakankamai atspari.
Organizacijos, kurios naudoja susietus automobilius, tiekia sprendimus automobilių pramonei, valdo elektromobilių infrastruktūrą ar ruošiasi NIS2 reikalavimams, turėtų jau dabar įsivertinti savo rizikas.
Struktūruota NIS2 spragų analizė, atitikties planas, įsiskverbimo testavimas, debesijos saugumo peržiūra ar nepriklausomas saugumo vertinimas gali padėti nustatyti didžiausias rizikas ir aiškiai susidėlioti prioritetus. Susisiekite su mūsų komanda.




