Moderni auto on altis tietomurrolle siinä, missä muutkin älylaitteet, sillä niissä on paljon tietotekniikkaa ja ohjelmistoja. Uhka on todellinen, mutta tavallisen autoilijan ei tarvitse huolestua, asiantuntija lohduttaa.
Et varmaan tykkäisi, jos autosi jarrut häviäisivät tai moottori sammuisi moottoritielle.
Autot toki voivat vikaantua koska tahansa. Nämä ongelmat aiheutti kuitenkin yhdysvaltalainen hakkerikaksikko. Se otti ajossa olleen Jeep Cherokeen haltuunsa verkossa autosta löytämiensä tietoturva-aukkojen avulla. Kuljettaja ei pystynyt tekemään asialle mitään.
Nämä hakkerit olivat onneksi hyväntahtoisia ja halusivat vain esitellä löytämiään turva-aukkoja. Jeepin etähaltuunotosta löytyy Youtube-videoita. Tästä hakkeroinnista on kymmenen vuotta, mutta autojen tietoturvaongelmat ovat edelleen todellisuutta.
”Hyväntahtoiset hakkerit löysivät äskettäin tietoturvatapahtumassa lähes 50 uutta autoihin liittyvää haavoittuvuutta vain kolmessa päivässä”, tietoturvayhtiö NGITin kaupallinen johtaja, kansainvälisen tietoturvayhtiö Trend Micron Suomen-maajohtajana aiemmin toiminut Kimmo Vesajoki sanoo.
”Uusissa autoissa on niin paljon tietotekniikkaa ja ohjelmistoja, että ne ovat alttiita tietoturvauhkille siinä, missä muutkin älylaitteet”, Vesajoki sanoo.
Hän siteeraa tutkimusyhtiö Gartneria, jonka mukaan menee vielä 2–5 vuotta ennen kuin autojen tietoturva on kypsynyt asianmukaiselle tasolle.
Tietoturva jäi jalkoihin kilpailussa
Autovalmistajat alkoivat tuoda tietotekniikkaa autoihin nopeaan tahtiin aikana, jolloin alan tietoturvaa määrittäviä standardeja ei ole vielä ollut. Tietoturvan painoarvo on voinut olla pieni, kun digitoiminnallisuudet on pitänyt saada tuotantoon ennen kilpailijoita.
Sitä mukaa kuin autojen internetyhteydet ovat yleistyneet, autojen tietoturva-aukot ovat avautuneet tietomurtautujille eri puolilla maailmaa. Tämä on tietysti tehnyt ongelmasta entistä vakavamman.
Kimmo Vesajoen mukaan sähkö- ja polttomoottoriautoissa ei ole suoranaista eroa tietoturvariskien suhteen.
”Olennaisempaa on se, miten paljon älykkyyttä ja tietotekniikkaa autossa on. Verkkorikollinen pääsee tekemään pahempaa jälkeä Teslan automaattiohjausjärjestelmässä kuin vaikkapa hieman iäkkäämmän auton viihdejärjestelmässä”, Vesajoki sanoo.
Kuluttajalla ei aihetta paniikkiin
Vaikka nykyaikaisten pirssien tietoturvahaasteet ovat totisinta totta, uuden auton omistajan ei kannata vaipua epätoivoon. Todennäköisyys sille, että vihamielinen taho haluaisi tietomurtautua juuri sinun autoosi – ja että se myös onnistuisi – on häviävän pieni.
”Hakkeroinnin onnistuminen edellyttäisi ensinnäkin sitä, että kohteena olevassa autossa olisi joko paikkaamaton tai entuudestaan täysin tuntematon, niin sanottu nollapäivähaavoittuvuus”, Kimmo Vesajoki sanoo.
Vaikka tietomurto onnistuisi teknisesti, hyökkäykseen tarvitaan myös motiivi. Kyberrikoksissa se on raha.
”Ajatellaan tapausta, jossa hakkeri saisi mattimeikäläisen ajamaan kolarin. On hyvin vaikeaa keksiä, mikä voisi olla ansaintalogiikka tällaisessa destruktiivisessa hyökkäyksessä”, Vesajoki miettii.
Kiristyshaittaohjelmat ovat rikollisten toimiva työkalu perinteisissä tietokoneissa, joissa on tyypillisesti paljon käyttäjän henkilökohtaisia tai työhön liittyviä tietoja. Autoihin kohdistuvilla tietovarkauksilla on hankalampaa tienata.
Modernit autot toki tallentavat tyypillisesti kaikenlaista dataa ajokäyttäytymisestä. Mutta mitä kyberrikollinen tekee tiedolla, että olen toissa päivänä käynyt Tampereella keskinopeudella 79 kilometriä tunnissa?
Sääntely velvoittaa valmistajia
Kimmo Vesajoki painottaa, että auton haltijan mahdollisuudet huolehtia pirssin tietoturvasta ovat rajalliset. Tietoturva on viime kädessä valmistajien vastuulla.
”Sinä tai minä emme voi ostaa autoon palomuuria tai virustorjuntaa. On erittäin hyvä, että autovalmistajiin kohdistuu yhä enemmän regulaatiota, joka velvoittaa ne huolehtimaan tästä tehtävästään”, Vesajoki sanoo.
Hän mainitsee esimerkkinä YK:n Euroopan talouskomission jäsenmaita sitovat kyberturvallisuusasetukset, jotka astuivat voimaan heinäkuussa 2024. ”Niiden mukaan autojen on oltava tietoturvallisia koko 15–20 vuoden elinkaarensa ajan”, Vesajoki sanoo.
Hoida päivitykset ja karsi turhuudet
Vaikka vastuu on valmistajilla, peltilehmän omistaja voi toki toimia tietoturvan tehostamiseksi.
Autovalmistajat tukkivat tietoturva-aukkoja päivityksillä sitä mukaa kuin haavoittuvuuksia ilmenee. Yhä useamman automerkin päivitykset tulevat verkon kautta, tai sitten ne tehdään paikan päällä merkkihuollossa.
Oli tapa sitten kumpi tahansa, on tärkeätä huolehtia, että auto saa päivityksensä, siinä missä mikä tahansa älylaite.
Luonnollisesti on syytä seurata myös mahdollisia tietoturvaan liittyviä takaisinkutsuja.
Riskejä voi minimoida myös pidättäytymällä sellaisista kolmannen osapuolen sovelluksista ja ajoneuvoverkkoon liitettävistä laitteista, joita ei oikeasti tarvitse. Mitä vähemmän potentiaalisia reittejä verkkorikolliselle on tarjolla, sitä parempi.
Rajoita auton langattomia yhteyksiä ja/tai pääsyä niihin, jos mahdollista – rajoitathan myös fyysistä pääsyä autoosi pitämällä sen lukittuna. Ajotietokoneen porttiin asennettava lukko on omiaan ehkäisemään varkausyrityksiä, eikä se helpota tietomurtautujankaan elämää.
Jos hallitset autoa kännykkäsovelluksella, pidä puhelimesta erityisen hyvää huolta. Varmista, että sekin saa päivityksensä ja että näyttölukko on käytössä.
Museoauto on tietoturvallisin
Auton valmistaja on tietoturvassa paljon vartijana. Entäpä jos vaikka valtiollinen toimija ottaisi autovalmistajan haltuunsa ja lähettäisi tietyssä maassa käytössä oleviin ajoneuvoihin haittaohjelmia ohjelmistopäivityksenä tai tekisi niille muuta kiusaa?
Tai viallinen päivitys tekisi tahattomasti hallaa koko ajoneuvokannalle?
Tällaiset skenaariot eivät onneksi ole todennäköisiä, mutta niitä ei voi täysin sulkea poiskaan. Niinpä jos haluaa varmasti välttää nykyaikaisten autojen potentiaalisetkin tietoturvaongelmat, on viisainta suosia vanhempaa kalustoa, jossa tietotekniikkaa ei ole lainkaan – tai mennä kävellen.
Kari Ahokas
Kuva: ChatGPT
Lähteinä Kimmo Vesajoen haastattelun lisäksi muun muassa BBC, FBI ja Helsingin Sanomat.
