Inteligentne samochody, czyli cyfrowi szpiedzy. Unia Europejska powinna wziąć przykład z Chin

Na polskim rynku pojawia się coraz więcej chińskich samochodów. W pierwszych dziewięciu miesiącach tego roku udział aut z Państwa Środka osiągnął około 7 proc. Ze względu na atrakcyjną politykę cenową chińskich koncernów, te samochody staną się jeszcze bardziej popularne.

Tymczasem, jak ostrzega Ośrodek Studiów Wschodnich (OSW) w raporcie „Smartfony na kółkach”, same władze Chin uważają te pojazdy za zagrożenie dla bezpieczeństwa państwa. Twierdzą bowiem, że są podatne na cyberataki. Zbierają też wrażliwe dane nie tylko z zewnątrz – jak choćby nagrania infrastruktury krytycznej – ale i z wewnątrz. Chodzi m.in. o dane biometryczne kierowcy i pasażerów oraz nagrania rozmów. Chiny obawiają się też wycieku danych z aut za granicę, co dałoby zachodnim wywiadom ogromną wiedzę o Państwie Środka. Służby mogłyby m.in. znać sytuację wokół jednostek wojskowych, budynków rządowych czy ocenić sytuację gospodarczą.

Przeczytaj: Cyfrowe „Among us", czyli AI w rękach cyberprzestępców

„Inteligentne pojazdy, jako środki transportu wykorzystywane w życiu codziennym, mają naturalną przewagę w pozyskiwaniu i gromadzeniu danych geoprzestrzennych z rozległych obszarów, przez długi czas i na wielu poziomach. Ogromne ilości zgromadzonych danych można wykorzystać do analizy wywiadowczej, oceny infrastruktury wojskowej i cywilnej oraz analizy wzorców działań w sferze obronnej i gospodarczej. Stwarzają tym samym potencjalne zagrożenie dla bezpieczeństwa państwa” – czytamy w oświadczeniu chińskiej komisji standaryzacyjnej.

Ostrzega także, że pojazdy zbierają dane geoprzestrzenne z miejsc objętych tajemnicą państwową. Komisja zwraca również uwagę, że pojazdy mogą stać się obiektem ataków hakerskich nie tylko w celu kradzieży danych, ale także przejęcia kontroli nad systemami autonomicznej jazdy i wykorzystania ich m.in. do sabotażu.

Nic więc dziwnego, że w dokumencie „Podstawowe wymagania dotyczące testów bezpieczeństwa systemu czujników wykorzystujących dane przestrzenno-czasowe inteligentnych i połączonych pojazdów” komisja standaryzacyjna pisze, że „szerokie wykorzystanie i promocja pojazdów oraz marek zagranicznych producentów na terenie kraju stwarzają potencjalne i niemożliwe do oszacowania zagrożenia dla bezpieczeństwa informacji geoprzestrzennych oraz bezpieczeństwa narodowego Chin”.

Samochody muszą uzyskać specjalny certyfikat

Dlatego też, jak wynika z raportu OSW, obowiązują dwie kluczowe ustawy: o cyberbezpieczeństwie z 2017 r. oraz o bezpieczeństwie danych z 2021 r. Uzupełniają je regulacje administracyjne i techniczne, które państwo na bieżąco aktualizuje. Z przepisów wynika m.in., że kluczowe dane z pojazdów można przechowywać wyłącznie w Chinach. Ich transfer wymaga zgody organów państwowych. Producenci muszą także wdrożyć systemy zarządzania bezpieczeństwem oraz kategoryzować dane według ich znaczenia dla państwa.

Nakładają one na producentów liczne obowiązki. To m.in.: przechowywanie kluczowych danych wyłącznie w Chinach (ich transfer za granicę wymaga zgody Państwowej Administracji ds. Cyberprzestrzeni Chin), wdrożenie systemów zarządzania bezpieczeństwem, kategoryzowanie danych według znaczenia – w tym dla państwa – oraz dokonywanie ocen ryzyka i raportowanie do regulatorów.

Do tego samochody muszą przechodzić specjalną weryfikację. Bez uzyskania odpowiedniego certyfikatu auta Tesli nie mogły m.in. parkować ani przejeżdżać w pobliżu lotnisk, budynków rządowych czy miejsc oficjalnych wizyt najważniejszych przedstawicieli państwa i partii.

Aby uzyskać certyfikat, auto musi przejść test skuteczności anonimizacji danych, takich jak twarze kierowców, pasażerów, przechodniów czy innych uczestników ruchu. System musi wykryć co najmniej 90 proc. takich informacji i poddać je anonimizacji. Ponadto zbierania danych z kabiny nie można przekazywać na zewnątrz bez zgody nagrywanych osób. Ten proces nie może się automatycznie włączać. Pojazd musi również poinformować kierowcę o przetwarzaniu danych osobowych i uzasadnić konieczność ich zbierania. W sierpniu 2025 r. dodano kolejny wymóg: dane zbierane przez pojazd muszą być adekwatne do realizowanej funkcji. Przykładowo, w przypadku wykrywania przeszkód kamery nie powinny nagrywać twarzy przechodniów w wysokiej jakości.

Certyfikat nie jest wydawany dożywotnio – musi być odnawiany co dwa lata. Spośród zagranicznych pojazdów posiadają go jedynie dwa modele: Tesla 3 i Tesla Y.

Jakie jeszcze warunki muszą spełniać inteligentne pojazdy w Chinach?

Raport OSW wymienia także chińskie przepisy dotyczące cyberbezpieczeństwa, które muszą spełniać inteligentne pojazdy dopuszczone do chińskiego rynku. Samochody te są znacznie bardziej narażone na ataki hakerskie i przejęcie kontroli nad autonomicznymi funkcjami. Może to doprowadzić m.in. do paraliżu dróg, zablokowania kluczowych tras czy nawet do katastrof.

Każdy pojazd musi mieć wbudowany system cyberbezpieczeństwa obejmujący cały cykl – od produkcji po wycofanie z użytkowania. System powinien zawierać m.in. ocenę ryzyka, monitorowanie zagrożeń, wykrywanie luk oraz procedury reagowania na incydenty.

Wszystkie nieużywane porty komunikacyjne pojazdu powinny być zamknięte, a porty USB i serwisowe muszą mieć kontrolowany dostęp oraz zabezpieczenia antywirusowe. Kierowcy i pasażerowie nie mogą instalować nieautoryzowanych aplikacji, a aplikacje dopuszczone do użytku producent powinien dokładnie sprawdzić. Auto musi również prowadzić logi bezpieczeństwa, a wszelkie aktualizacje powinny być monitorowane i rejestrowane. Komunikacja z chmurą producenta musi odbywać się z użyciem bezpiecznych protokołów, a oprogramowanie powinno być zdolne do neutralizowania malware.

Przeczytaj: „Przegrywamy wyścig szpiegów”. Zachód sam finansuje tych, którzy wykradają mu technologie (WYWIAD)

Pekin może wykorzystać inteligentne auta do celów szpiegowskich

Pekin – jak zauważa Ośrodek Studiów Wschodnich – na razie przygotowuje się głównie do obrony swoich danych. Dokumenty strategiczne dopuszczają jednak także działania ofensywne. Już dziś zalecają łączenie technologii cywilnych i wojskowych w rozwoju inteligentnych pojazdów. Przykładowo art. 7 chińskiej ustawy o wywiadzie pozwala zobowiązać lokalnych producentów do przekazywania danych gromadzonych za granicą. W 2023 r. wykryto też chińskie urządzenia śledzące w pojazdach należących do rządu Wielkiej Brytanii.

Zbieranie danych, przed którym broni się Pekin, można aktywować w autach sprzedawanych poza Chinami i umożliwiać pozyskiwanie informacji o infrastrukturze krytycznej czy ruchu wokół baz wojskowych. OSW wskazuje również na ryzyko przekazywania takich danych rosyjskim służbom w związku z pogłębiającą się współpracą Chin i Rosji. Ze względu na możliwość zdalnego sterowania pojazdami, mogą one także zostać wykorzystane do aktów dywersji. Ośrodek podkreśla, że standardy cyberbezpieczeństwa powinny objąć również producentów europejskich i amerykańskich.

Co powinna zrobić Unia Europejska

OSW uważa, że Unia Europejska powinna wzorować się na chińskich regulacjach. Jasno określają one zasady certyfikacji zagranicznych pojazdów, rozwiązania techniczne oraz kontrolę przepływu danych. Jednocześnie Bruksela mogłaby argumentować Pekinowi, że wprowadza analogiczne wymogi. Taki proces zwiększyłby suwerenność cyfrową UE i poprawił bezpieczeństwo inteligentnych pojazdów.

Analitycy podkreślają, że Europa musi szybko wdrożyć takie regulacje, ponieważ liczba chińskich pojazdów na drogach UE gwałtownie rośnie. Są bardzo konkurencyjne cenowo, a zaawansowane funkcje trafiają nie tylko do aut elektrycznych, lecz także hybrydowych i spalinowych. Im szybciej regulacje wejdą w życie, tym mniejszy będzie opór konsumentów wobec kolejnych wymogów UE, które mogą podnieść ceny pojazdów.

UE powinna również nadrobić zaległości wobec innych państw Zachodu. Stany Zjednoczone w 2024 r. wprowadziły zakaz stosowania chińskiego i rosyjskiego oprogramowania oraz sprzętu łączności w pojazdach produkowanych od 2027 r. Wielka Brytania zaostrzyła zasady poruszania się chińskich elektryków w pobliżu wybranych obiektów. Izrael zakazał wysokim rangą wojskowym korzystania z chińskich pojazdów oraz wjazdu takich aut do baz wojskowych.

Przeczytaj: Cyberbezpieczeństwo. To nie technologia zawodzi. To człowiek, który klika „dalej”

OSW ostrzega także, że w regulacjach państw UE i samej Brukseli brakuje obowiązkowych audytów bezpieczeństwa oraz norm technicznych. „W efekcie obecnie większość państw nie ma nawet narzędzi pozwalających na regularne sprawdzanie, na ile ryzyka omawiane w niniejszym raporcie – w tym te wskazywane wprost w chińskich dokumentach – materializują się na terenie UE” – czytamy w raporcie.

Analitycy ośrodka zwracają uwagę, że część państw członkowskich – jak choćby Węgry – mogłaby blokować wspólne unijne regulacje. Dlatego proponują stworzenie koalicji państw wdrażających jednolite zasady, przy jednoczesnym przygotowaniu rekomendacji przez Komisję Europejską.

Eksperci apelują do kierowców o czujność

Samochody elektryczne są szczególnie narażone na cyberataki. Dzieje się tak głównie z powodu architektury opartej na oprogramowaniu i stałej łączności z siecią – potwierdza raport Check Point Software Technologies. Jak podkreśla firma w oświadczeniu dla XYZ, właściciele powinni zachować czujność, ale nie popadać w panikę.

– Samochody są dziś znacznie bardziej połączone i zależne od oprogramowania niż tradycyjne pojazdy, co zwiększa ich podatność na ataki. Funkcje, które kiedyś były dostępne tylko w luksusowych markach, dziś są standardem nawet w podstawowych modelach – mówi Wojciech Głażewski, dyrektor polskiego oddziału firmy.

Samochody są dziś znacznie bardziej połączone i zależne od oprogramowania niż tradycyjne pojazdy, co zwiększa ich podatność na ataki.

Celem ataków mogą być nie tylko auta prywatne, lecz także autobusy, które kupują miasta w ramach smart transportu. Z raportu Agencji Unii Europejskiej ds. Cyberbezpieczeństwa wynika, że sektor transportu należy już do najbardziej atakowanych w UE.

Ryzyko nie jest teoretyczne. W marcu 2023 r. – jak przypomina Check Point – hakerzy przejęli kontrolę nad Teslą. Jednocześnie producenci często niewystarczająco dbają o dane użytkowników. 84 proc. z nich sprzedaje dane brokerom, a ponad połowa deklaruje gotowość przekazania ich służbom państwowym. Dane pozostawiają także kierowcy. Według danych Samar w 2023 r. w Polsce sprzedano 730 tys. używanych aut, w których często pozostawały informacje poprzednich właścicieli, takie jak SMS-y czy historia podróży. Dlatego Check Point podkreśla, że regulatorzy i producenci muszą działać wspólnie. Zwłaszcza że przyszłość motoryzacji będzie coraz bardziej połączona i autonomiczna. Pytanie o bezpieczeństwo nowoczesnych aut – nie tylko chińskich – przestaje być retoryczne.

– Każdy producent, który sprzedaje pojazdy na rynku Unii Europejskiej, niezależnie od kraju pochodzenia, musi spełnić te same wymagania wynikające z europejskiego systemu homologacji. Obejmuje on m.in. międzynarodowe regulaminy UNECE dotyczące cyberbezpieczeństwa pojazdów oraz zarządzania aktualizacjami oprogramowania. Zostały one włączone do systemu homologacji UE i są warunkiem dopuszczenia samochodu do sprzedaży w Europie – tłumaczy XYZ Janusz Ellert, szef marki Xpeng w Polsce.

Cyberbezpieczeństwo i cyfrowe bezpieczeństwo pojazdów to dziś wyzwanie całej globalnej branży motoryzacyjnej, a odpowiedzią na nie są jasne zasady, transparentność i egzekwowanie prawa.

Bez spełnienia tych wymogów pojazdu nie można legalnie oferować na rynku.

– Równie istotną kwestią jest ochrona danych. Producenci samochodów działający w Unii Europejskiej podlegają przepisom RODO oraz nadzorowi europejskich instytucji. To oznacza, że standardy przetwarzania danych użytkowników wynikają z prawa. Cyberbezpieczeństwo i cyfrowe bezpieczeństwo pojazdów to dziś wyzwanie całej globalnej branży motoryzacyjnej. Odpowiedzią na nie są jasne zasady, transparentność i egzekwowanie prawa – podsumowuje Janusz Ellert.

Przeczytaj: Fałszywe inwestycje, prawdziwe twarze. Tak oszuści kradną zaufanie Polaków

Główne wnioski

1. Inteligentne samochody – zwłaszcza chińskie – stanowią realne zagrożenie dla bezpieczeństwa państw. Masowo zbierają dane geoprzestrzenne, biometryczne i komunikacyjne oraz są podatne na cyberataki i zdalne przejęcie kontroli.
2. Chiny bardzo poważnie traktują to zagrożenie i wprowadziły jedne z najbardziej restrykcyjnych regulacji cyberbezpieczeństwa na świecie. Obejmują one certyfikację pojazdów, lokalne przechowywanie danych i ścisłą kontrolę ich transferu.
3. Unia Europejska wyraźnie pozostaje w tyle. Brakuje jej obowiązkowych audytów, norm technicznych i wspólnych ram prawnych, mimo szybko rosnącej liczby chińskich aut na europejskich drogach.