Kategoriarkiv: Informationssäkerhet

Brittiska effekter av autonoma fordon

Den brittiska sammanslutningen SMMT, Society of Motor Manufacturers and Traders, har skrivit en rapport om effekterna av fordonsautomation med rekommendationer till regeringen [1].

De potentiella effekterna med CAV = Connected and Autonomous Vehicles sägs vara:

  • Kan ge £51 miljarder årligen till den brittiska ekonomin vid år 2030
  • Kan skapa 320 000 nya arbetstillfällen, varav 25 000 inom fordonstillverkning vid år 2030
  • Kan spara 2 500 liv och undvika 25 000 allvarliga olyckor mellan år 2014 och 2030
  • Kan ge renare mobilitet och minskade utsläpp
  • Kan förbättra trafikflöde, effektivitet och minska bränsleförbrukning
  • Kan ge mobilitet åt äldre och handikappade
  • Kan öka produktiviteten

För att nå detta måste man bland annat säkra tillgänglighet och skydd av data, men också uppdatera lagstiftningen och ta fram en nationell strategi för området, där man fokuserar några få viktiga områden.

Källor

[1] K.Scharring,  S.Nash, D.Wong:  Connected and Autonomous Vehicles – Position Paper, The Society of Motor Manufacturers and Traders Ltd, February 2017 Länk

Internet-guru varnar för bristande säkerhet

Internetsäkerhets-gurun Eugene Kapersky varnar för bristande säkerhet i uppkopplade bilar i en intervju i Financial Times [1] [2].

Han säger att målsättningen med datasäkerhet är att en attack ska kosta mer än den skada den kan åstadkomma, men att det kommer att ta upp mot tio år att uppnå detta för fordonsindustrin.

Källor

[1] Peter Campbell: Internet-linked cars face hack threat, warns security expert, Financial Times 2016-04-17 Länk

[2] Connected cars “safer but less secure” – Kaspersky, Mobile World Live 2016-04-18 Länk

IT-säkerhet på FFI-konferensen

Tisdag 24 november hölls årets programkonferens för FFI, Fordonsstrategisk Forskning och Innovation, i Berns salonger i Stockholm. Temat i år var ”Digitalisering för trafiksäkerhet, miljö och svensk konkurrenskraft!” Automatiserade fordon nämndes förstås flera gånger i såväl föredrag om trender som i diskussioner och resultapresentationer, även om det inte var huvudfokus denna gång.

Det som jag tyckte var av störst intresse var Robert Malmgrens föredrag om IT-säkerhet. Robert är säkerhetskonsult i bolaget ROMAB och enligt tidningen Computer Sweden, Sveriges främste IT-säkerhetsexpert.

Moderna bilar är i princip datorer på hjul med över 100 miljoner rader kod. Men till skillnad från våra hemdatorer är konsekvenserna av ”oväntat besök” i form av virus, hackning etc. betydligt allvarligare. Tyvärr är fortfarande många bilar alltför åtkomliga för attacker och intrång på många sätt, inte bara i själva bilen utan också i hela det uppkopplade ekosystemet. Det går lätt att hitta dåliga exempel, bland annat i själva uppdateringsprocessen – Robert visade ett antal.

Men det går också att hitta goda exempel, inte minst från Tesla Motors, som förutom att de använder ”over the air”-uppdateringar också erbjuder tipspengar för tips om buggar och säkerhetsfel. Man belönar alltså istället för att jaga och bestraffa.

Robert rekommenderar branschen att konstruera systemen redan från början med tanke på säkerhet, med grundsäkerhet, underhållbarhet och hantering av 3e-partslösningar, samt att ha lösningar för snabba, säkra och fungerande uppdateringar.

Enligt Robert så kommer Volkswagengruppens mjukvarufifflande att öka kunders, intresseorganisationers och myndigheters krav på IT i bilar.

Roberts presentation hittar ni här.

Volvo Cars tar ansvaret för bilar i autonom mod

Volvo Cars  VD Håkan Samuelsson har uttalat sig i Washington D.C. om de legala hindren för automatiserade fordon [1]. Han säger också att VCC kommer att ta det fulla ansvaret närhelst en av deras bilar i autonom mod – vilket är en stor nyhet och ett steg framåt, från den vanliga positionen hos biltillverkarna om att ställa frågor men inte besvara dem, mot att förenkla kommande regelverk.

Håkan Samuelsson trycker på att det är nödvändigt att de olika amerikanska delstaterna harmoniserar sin lagstiftning, om inte landet ska förlora sin ledande ställning [2]. I dagsläget är det bara tillåtet med testverksamhet i en handfull delstater, och då med olika regelverk.

VCC säger också att de ser all slags hackning av bilar som en kriminell handling, eftersom koden skyddas (i USA) av Digital Millennium Copyright Act. Detta är i själva verket grundvalen för att kunna ta ansvaret.

Källor

[1] Chris Ziegler: Volvo says it will take the blame if one of its self-driving cars crashes, The Verge 2015-10-07 Länk

[2] Andrew Hard: Drive Me: Volvo urges US gov to establish guidelines for autonomous car testing, Digital Trends 2015-10-07 Länk

Legala ramverk för att dela data

Vid konferensen Automotive Apps and Connected Driving Technologies i Berlin 28-29 september hölls två intressanta presentationer om legala ramverk för att dela data. Utgångspunkten för båda är att digitalisering skapar värden först när data delas mellan aktörer. Men var går gränsen mellan privata data som skall skyddas av integritetsskäl och tekniska data som är offentliga?

Prof Gerrit Hornong, Univ of Passau inledde med att konstatera att data som samlas in i fordon skapar nya affärsmöjligheter. Denna data kan vara relaterad till fordonet, föraren, omgivningen (t ex väder, trafik) och tredjepartstjänster (t ex försäkring, verkstad). Det finns en lång rad potentiella ägare av dessa data. Men begreppet att ”äga” när det gäller data måste definieras. Ett ägande kan t ex transfereras på olika sätt och ägandet har både rättigheter och skyldigheter kopplade. Vem som är ägare behöver inte vara uppenbart när data kommuniceras. Men ägandet är startpunkten för klagomål och avtalsförhandlingar med andra.

Den personliga integriteten skyddas av lag inom EU. Prof Hornong menade att det nödvändiga godkännandet från individen oftast fixas när man klickar ok i en ruta med finstilt text. Den personliga integrititen skyddas av lag, men att ”få rätt” i någon domstol är mer komplicerat. Förr krävdes det ett mycket tydligt syfte för att samla data.

Det finns många krav att ställa på de avtal som skall upprättas mellan parter i en digitaliserad värld. Här kommer flera överlappande och kompletterande lagstiftningar in som Prof Hornong visade många exempel på. För att tillgodose konkurrenslagstiftning skall man inte få data ”inlåst” hos en leverantör, men detta skapar många följdfrågor. Andra lagstiftningar som nämndes var konsumentskyddslagar och datasäkerhetslagar. Han summerade med att de ekonomiska möjligheterna gör att viktiga principer för tolkning och lagstiftning måste läggas fast för hur information skall hanteras. En ny EU-reform är på väg men denna tar inte in dessa frågor. Han menade att det behövs ”legal innovation”.

Dr Marc Störung, advokat vid Osborne Clarke utgick i sin presentation från EU lagstiftning för skydd av personlig integritet Article 1 Directive 95/46/EC. Denna lag skyddar personer, inte data så därför är denna inte fullt tillämplig. Han tog även in Motor Vehicle Block Exemption Regulation som skall skydda konkurrens i försäljning och reparation av fordon. Denna lagstiftning kan göra att fordonstillverkare vill dela viss information som idag är knutna till typgodkännandet. Störung sa också att EUs hantering av Microsofts dominerande ställning samt Tollcollect (vägavgiftssystemet i Tyskland) för att öppna telematikdata kan vara ledande fall. Men Störungs slutsats var att lagstiftningen inte ger mycket hjälp idag.

Barriärer och möjligheter med självkörande fordon

Investeraren Alex Rubalcava skriver i sin blogg [1] om barriärer och möjligheter med självkörande fordon. Inledningsvis sammanfattar han vad han ser att många analytiker kommit fram till:

  • Någon, t.ex. Uber kommer att erbjuda autonoma delade bilar. Sådana tjänster har potential att minska antalet bilar med 75-90% till en kostnad som är av 10-50% av dagens Uber-tjänster, eftersom man inte behöver betala några förare.
  • Den förbättrade trafiksäkerheten med autonoma fordon kommer att minska försäkringspremierna med 50-90%.
  • Mycket av markytorna i städer som idag används till parkering kommer att användas till annat.
  • Trafikmängden kommer att minska kraftigt trots att reslängden per person inte kommer att förändras mycket.
  • De första autonoma bilarna på marknaden kommer att lanseras mellan 2017 och 2020, varefter transportinfrastrukturen snabbt kommer att förändras.

De stora vinsterna i form av ökad funktionalitet kopplad till kraftigt minskade kostnader kommer att överväga de barriärer som finns eller kommer att uppstå. Några sådana barriärer som han nämnder är:

  • Tekniska hinder, att ta fram sensorer och system med tillräcklig kapabilitet.
  • Legala hinder, dvs. att fordonen blir tillåtna och att man kan hantera ansvarsfrågor.
  • Förr eller senare kommer någon att använda självkörande fordon för terrorandamål – att t.ex. fylla en bil med sprängämnen och köra den till något mål utan att själv behöva vara i närheten. När det händer kommer samhället att överreagera, anser Alex Rubalcava.
  • Bilarna kommer att hackade för att styra bilarna med sina passagerare någonstans.
  • Lång tid att skala upp och ersätta dagens fordonspark.

Egen kommentar

Inlägget är skrivet för amerikanska förhållanden och får ses som en personlig inlaga. Det är dock intressant att han dels samlar ihop vinsterna och också tar upp en barriär jag inte sett beskriven förut.

Källor

A Roadmap for a World Without Drivers, Alex Rubalcava 2015-08-26 Länk

Vad är ute och vad är inne?

Autonoma fordon är definitivt inne, i alla fall enligt årets upplaga av Hype Cycle for Emerging Technologies som publicerats av Gartner [1]. Autonomous vehicles har nämligen hamnat på toppen av Hype Cycle, följt av Internet of Things och Advanced Aanalytics with Self-service Delivery.

Egen kommentar

I deras genomgång av den ovannämnda rapporten påpekar Forbes [2] att det är märkligt att rapporten inte tar upp Cybersecurity, speciellt med tanke på informationssäkerhetsproblem i moderna fordon som demonstrerats vid flera tillfällen under årets gång.

Källor

[1] Gartner. Press Release. Gartner’s 2015 Hype Cycle for Emerging Technologies Identifies the Computing Innovations That Organizations Should Monitor. 2015-08-18 Länk

[2] Press, G., Forbes. Self-Driving Cars Compete With The IoT For The Title Of Most Hyped Technology; Big Data Out. 2015-08-18 Länk

Informationssäkerhet: ett hinder för uppkopplade och automatiserade fordon?

Två hackers från USA har demonstrerat hur enkelt det är att hacka sig in i en Jeep Cherokee [1]. De har visat hur man kan fjärrstyra infotainment- och underhållningssystem samt andra funktioner som blinkers och vindrutetorkare. De har dessutom visat att man kan komma åt fordonets säkerhetskritiska funktioner som styrning och bromsning.

Detta har de lyckats med genom att läsa av och skicka kommandon via nätverksbussen CAN. Det är säkerhetsluckorna i mjukvaran Uconnect som Jeep Cherokee, liksom flera andra av Fiat Chrysler fordonsmodeller är utrustade med, som möjliggjort detta. Efter demonstrationen har Chrysler släppt en uppdatering av Uconnect som ska täppa till dessa luckor.

För att säkerställa hög säkerhet i fordon har två amerikanska senatorer föreslagit en ny lag som kräver att bilar och lastbilar som säljs i USA ska uppfylla vissa krav gällande säkerhet och sekretess [2].

Egen kommentar

Förutom att återkalla och uppdatera 11 miljoner fordon som drabbats av det ovan beskrivna säkerhetsproblemet, måste Fiat Chrysler Automobile också betala ett straff på 105 miljoner dollar [3]. Utredningen från den amerikanska trafiksäkerhetsmyndigheten NHTSA har nämligen visat att företaget inte åtgärdat problemet i tid samt inte underrättat fordonsägarna och myndigheten om problemet.

Informationssäkerhet i moderna fordon har också diskuterats GP i en intervju med Håkan Burden från Viktoria Swedish ICT [4].
Vill ni dock få an annan synvinkel på det hela så kan ni läsa följande artikel: Car hacking stunt exaggerates the risks [5].

Källor

[1] Greenberg, A., Wired. Hackers Remotely Kill a Jeep on the Highway—With Me in It. 2015-07-21 Länk
[2] Greenberg, A., Wired. Senate Bill Seeks Standards For Cars’ Defenses From Hackers. 2015-07-21 Länk
[3] NHTSA. U.S. DOT announces Fiat Chrysler enforcement action. 2015-07-26. Länk
[4] Borén., E. Göteborgs Posten. Uppkopplade bilar en möjlig säkerhetsrisk. 2015-07-27 Länk
[5] Keron, D., Autotech Council. Car hacking stunt exaggerates the risks. 2015-07-23. Länk

Informationssäkerhet och integritet

Informationssäkerhet och integritet relaterade till avancerade tekniska lösningar som automatiserade fordon är oerhört viktiga att beakta redan när de designas, menar David Lindsay, associerad professor vid Monash University i Australien. Han ger några exempel på aspekter som är viktiga att ta hänsyn till:

  • Nya möjligheter att skapa användarprofiler kommer att uppstå som en konsekvens av att fordon blir uppkopplade. Frågan är då vilken information som behöver avidentifieras och på vilket sätt för att inte äventyra användarens integritet.
  • För att få information vid olycksfall kommer många automatiserade fordon att logga en hel del information i sina ”svarta lådor”. Frågan är vilken information som ska få loggas, vem som äger den och vem som har rättighet att komma åt den. En annan viktig aspekt är hur sådan information ska skyddas från inkräktare.
  • Något som blir alltmer populärt är s.k. predictive search där algoritmer försöker gissa vad användaren önskar göra och utifrån det ge honom/henne relevanta förslag. Det är inte uteslutet att något sådant implementeras i automatiserade fordon. Frågan är då hur detta kommer att påverka människans förmåga att fatta beslut.

Nytt konsortium för att bekämpa hackers

Fordonstillverkarna i USA håller på att bilda ett nytt konsortium där de kan utbyta information med varandra och samverka kring informationssäkerhet i automatiserade och uppkopplade fordon [1, 2]. Målet är att göra det väldigt svårt för hackers att komma åt fordonsinformation.

Enligt David Strickland från Venable LLP, som presenterat idén om konsortiet under en SAE-konferens, kommer det alltid att finnas en risk att någon bryter sig in i systemet, men konsortiet ska verka för att minimera den här risken. Idén stöds av Alliance of Automobile Manufacturers och Association of Global Automakers.

Det kommer ta ungefär ett år att bilda konsortiet och definiera dess ramar. Just nu är planen att det ska kallas Information Sharing Advisory Center (Auto-ISAC).

Källor

[1] Lindsay, D., The Conversation. Data mining the new black box of self-driving.  Cars. 2014-10-21. Länk

[2] Sedgwick, D., Automotive News. Auto industry forming consortium to fight hackers. 2014-10-21 Länk