Akıllı araçlar zeki, teknolojik olarak gelişmiş, navigasyon ve eğlence sistemlerine bağlanan bilgisayarlı cihazlar fakat onlar aynı zamanda kişisel verilerimizi kaydediyorlar ve hacklenme potansiyelleri bulunuyor.
Geçen ay Ticaret, Bilim ve Ulaştırma Komisyonu üyesi senatör Markey, İzleme & Hack’leme: Güvenlik & Gizlilik Boşlukları Amerikan Sürücülerini Riske Sokuyor adlı bir rapor yayınladı. Söz konusu raporda “otomotiv üreticileri bizleri siber saldırılar ya da gizlilik ihlallerine karşı koruma konusunda üzerilerine düşeni yapmadı” iddiasında bulunuluyor. Çeşitli TV programlarında “yollardaki neredeyse tüm yeni araçların hack’lemeye karşı savunmasız olduğuna” dikkat çekildi. Akıllı araçlar gerçekten hassas verileri riske atıyor mu?
Eğer bir hacker belirli bir araçtaki bilgisayar sistemine giriş yapabilirse, aracı kontrol etmesi teknik olarak mümkün. CA Technologies mühendislerinden Scott Morrison da bununla ilgili “Aracın kontrolünü veya özelliklerini internet üzerindeki başka bir kişiye kaybederseniz, bu bir güvenlik sorunudur.” diyor
www.iamthecavalry.com kurucularından Joshua Corman, fiziki risklerin otomobil endüstrisinde büyüyen bir endişe olduğunu ileri sürüyor. “Gizliliğimi seviyorum, bunun keyfini sürmek için canlı kalmak isterim” diye konuşuyor. Fiziki zarar için gerçek potansiyelin çok büyük olduğunu kabul eden Corman’ın 5 yıldızlı otomotiv siber güvenlik taslağı diğer sorularla birlikte otomotiv endüstrilerine şunu soruyor; “ürünleriniz ve tedarik zinciriniz için tasarımınızı özetleyen, geliştirme ve dayanıklılık programlarını test eden, Güvenli Yazılım Geliştirme Sürecinizin yayınladığınız bir tasdiknameniz var mı?”
IO’dan araç güvenliği araştırmaları direktörü Chris Valasek, “Benim sormak istediğim soru, ‘Şu anda suikasta uğramaktan korkuyor musunuz’. Eğer yanıtınız hayır ise, bir otomobil saldırısında fiziki zarar görmeniz pek olası değil” diyor. Valasek’e göre kişisel verilere erişim yaygın fakat aracın elektronik kontrol birimlerine (ECU) erişim çok muhtemel değil. “Giriş bariyeri gerçekten yüksek” çünkü bilginin toplanması ve paylaşımı “evrensel olarak gerçekleşmiyor.”
Bununla birlikte Corman bu hack’leme iddiasının çok itibar görmeyecek kadar masraflı olduğunu savunuyor. “Çoğu güvenlik endişeleri kredi kartları ve finansal düşmanlar hakkında oldu” diyor Corman ve ekliyor, “ama kişilere insan yeteneklerinin tüm spektrumuna maruz kaldığımızı hatırlatmak isterim.”
Arabalar hack edilebilir, ancak “Tüm araçlar birbirinden farklılar” diyor Valasek. “Ford’un mesajı BMW’den farklı.” Bir aracın bilgisayar sistemini hack etmek çok güç ve çok maliyetli ki bu yüzden tüketiciler nezdinde fiziki riskler konusunda çok fazla sağlam bir kanıt yok”
Corman, otomotiv hacker’ı Craig Smith’in New York’taki bir hacker’ın Seatle’dan 5.000 km uzaktaki bir aracı hack etmesi için bir dongle’ı kullandığı araştırma raporu örneğini kabul etmedi. Her ne kadar Corman fiziki güvenliğin yakın bir tehdit olmadığını kabul etse de, “Daha çok aracımı hack edemeyeceklerine güvenmek isterim. Bunu yapmayacaklarına dair bir umuda bel bağlamak istemem.”
Her ne kadar akıllı araçlardaki teknoloji tüketicilere çok çeşitli kolaylıklar ve lüks sunsa da, “onların birçoğu gizliliklerine olan olası etkilerini anlamıyor” diyor Markey ve raporunda fiziki güvenliğin ötesinde çeşitli endişeleri de tanımlıyor.
Scott Morrison, “arabanın güçlü bir veri toplama noktası olduğunu ve onun bağlantı yeteneklerinin konumunuzdan daha hassas verilere, nasıl sürdüğünüze ve radyoda ne dinlediğinize dair bağlantı sunabildiğini” kabul ediyor. Veriler akıllı araçlarda toplanıyor ve otomotiv endüstrisi tarafından saklanıyor ve bunlar üçüncü taraflarla paylaşılabilir. Kişisel bilgiler daha erişilebilir bilhassa da bilgisayarlar bir Bluetooth adresini görebiliyor, ki bunun sonrasında dünyaya yayın yapabilir. Markey’in bulgularına göre verinin nasıl ve kim tarafından toplandığına bağlı olarak üçüncü tarafların “sürücülerin bilgisi ya da rızası olmaksızın onlarla ilgili bilgileri ticari amaçlar için kullanmaları” olası görünüyor.
Otomotiv üreticilerinin onların özel bilgilerinin nasıl izlendiği ve saklandığına dair açık ve anlaşılır esaslarla tüketicilere karşı daha şeffaf olması gerekiyor, diyor Morrison. “Gizlilik riski veri etrafında çıkıyor: veri kime ait ve veriyi kimin gördüğüyle nasıl bir ilişki oluşturuyorsunuz? Özel bilgilerimizi kimin muhafaza ettiğini bilmemiz gerekiyor. Veri ve koruma konusunda sahip olduğumuz en büyük güçlüklerden bir tanesi onun etrafında oldukça dar kontroller oluşturmaktır.” diye ekliyor Morrison.
O verinin bazı kullanımları, yol yardımı gibi, verileri koruyabilir fakat toplanan verilerin nasıl paylaşılabileceğine dair açık prensipler bulunmuyor. Morrison bunu şöyle açıklıyor: “Yol yardımının ötesinde sigorta endüstrisinde bir örnek görüldü. Eğer otomobiliniz sürüş alışkanlıklarınız (hız ve manevra gibi) hakkında sigorta firmasıyla veri paylaşıyorsa bu sigorta primlerinde indirim ya da geri ödemeyle sonuçlanabilir.” Sigortadaki indirimli primler tüketicilere bir miktar tasarruf sağlayabilse de, “uygulamaya bağlı olarak, aracınızdan paylaşılan veri sosyal güvenlik numaranız ya da adresinizi içeren bilgilere bağlanabilir veya bunları gönderebilir ve bu bilgi dolandırıcılığı ya da diğer kötü amaçlar için kullanılabilir,” diye dikkat çekiyor Morrison.
Gizliliğin korunması hakkındaki konuşmalar sürüyor ama Markey raporunun ikinci bölümünde otomotiv endüstrisinde var olan uyumsuzlukların altını çiziyor. Markey’in bulgularına göre, “otomotiv üreticileri sürüş geçmişi bilgilerini toplayan ve kablosuz olarak üçüncü taraf veri merkezleri dahil olmak üzere veri merkezlerine ileten teknolojiler sunuyor ve çoğu bilgiyi korumaya yönelik etkin bir yaklaşımı tanımlamıyor.” Markey, imalatçıların tüketicilerin gizliliği ve fiziki güvenliğini korumak için neler yaptığını da öğrenmek istiyor.
“İmalatçılar tüketiciler için hayatı daha iyi hale getirmeye çalışıyor. Bir ‘bilgilendirme ve rıza’ yaklaşımı tüketicileri daha fazla rahatlatabilir. Ve yakın zamanda oluşturulan otomobil ISAC (enformasyon paylaşım ve analiz merkezi) tehditleri ve onlarla nasıl savaşılacağını daha iyi anlamamıza yardımcı olacak.” Morrison, “Bana göre en büyük bilinmeyen kişisel verilerimizin korunduğunu nasıl temin edeceğimiz ve imalatçılarla onların partnerlerinin bizim bilgilerimizin iyi birer muhafızları olmalarıdır.”
Tüm otomotiv üreticilerinin müştereken sahip oldukları bir şey, güvenlik ve gizliliğin korunması hakkındaki artan endişeleri. Morrison dahil olmak üzere çoğu şunu savunuyor: “Endüstrinin 5 yıldızlı çarpışma derecelendirmesini tamamlamak için 5 yıldızlı bir veri koruma derecelendirmesini oluşturması gerekiyor. Ardından sadece rekabetçi kalabilmek için bilginin iyi bir biçimde korunması kendiliğinden ortaya çıkıyor.”
Proaktif olmak tüketici için mevcut ve gelecekteki tehlikelerle savaşmada yardımcı olacak. “Büyük bir tehdit haline gelmeden önce güvenlik/gizlilik hakkında düşünmeye başlamak istiyoruz” diyor Valasek. Otomotiv endüstrileri yeni ürünlerini tasarlarken güvenlik ölçütleri inşa etmek istiyor. “Onlarla daha sonradan uğraşmak yerine güvenlik ölçütlerini imalat sırasında oluşturmamız gerekiyor” diyor Valasek. Corman daha fazlasını istiyor. “Tekerlekli bilgisayarların kaçınılmaz olarak hack’leneceği esasına hazır olmamız gerekiyor,” diyor Corman ve ekliyor, “sürücünün haklar bildirgesiyle www.iamthecavalry.com’un önerdiği temel becerilerin bir birleşimi tüketicileri korumaya yönelik zarif bir çözüm olabilir.”