Äly hoi, älä jätä! — Äly tulee liikenteeseen, kyberturva uhkaa unohtua!

Vaikka parhaillaan riehuva virusepidemia on pysäyttänyt maailman liikkeen, ihmisillä, tavaroilla, tiedolla ja pääomilla tulee jatkossakin olemaan tarve ja taipumus liikkua.

Vauhtisokeuden huumassa jäämme helposti hämmästelemään uusia, hienoja innovaatioita, mutta emme muista rakentaa niistä myös käyttöturvallisia. Se kuitenkin kannattaisi.

Älykäs liikkuminen – smart mobility – on yksi kyberrikollisten kannattavimmista panos-tuotos -kohteista. Se ei ole kuitenkaan erillinen saareke, vaan kytkeytyy tiiviisti laajempiin järjestelmiin, kuten älykaupunki, tai koko digitaalinen elämäntapa.

Yksinkertaisimmillaan kyberrikollisuuden ei tarvitse olla alkeellista sähköpostikalastelua monimutkaisempaa aiheuttaakseen vähintäänkin suuria taloudellisia tappioita.

Kesäkuussa 2019 floridalaisen Riviera Beach -kaupungin poliisiaseman työntekijä avasi sähköpostiliitteen. Liitteestä purkautui kiristyshaittaohjelma, joka lukitsi joukkoliikenteen lipunmyyntijärjestelmän, kaupungin palkanmaksujärjestelmän, kunnan kaikki sähköpostipalvelimet ja lopuksi vielä hätäpuhelinjärjestelmän.

Kaupunginvaltuusto päätti maksaa salauksen purkuavaimesta hakkeriryhmän vaatimat 600 000 dollarin bitcoin-lunnaat saadakseen takaisin kaiken järjestelmissä olevan datan ja tietenkin itse järjestelmän hallinnan.

Arkistokuva. Kuva: Bosch.

Äly mukana kaikessa liikkumisessa

Liikkumismarkkinoiden kooksi maailmanlaajuisesti on arvioitu noin 6500 miljardia eli 6,5 biljoonaa euroa, pelkästään Suomessakin noin 30 miljardia.

Liikkuminen käy läpi voimakasta murrosta, jonka jokaisen arjessa näkyvimpiä ilmentymiä ovat liikkuminen palveluna (MaaS), kyytien jakaminen, taksimarkkinoiden uusjako, autojen autonominen auto- ja telematiikka, sekä liikenteen ohjausjärjestelmien digitalisoituminen.

Älykäs liikenne ei liiku kuitenkaan vain maan pinnalla, vaan myös vesi- ja ilmateillä.

Maailman merillä seilaavat rahti- ja matkustajalaivat ovat täynnä dataohjautuvia ratkaisuja, samoin koko lentoliikenne ja näiden satama- ja kenttätoiminnot sisältävät yhä enemmän automatisoituja ja autonomisia toimintoja.

Koko liikkumisen paradigma tulee muuttumaan autonomisten kulkuneuvojen, uusien kuljetusratkaisujen, liikkumisen sähköistymisen, uusien palvelujen ja fossiilitaloudesta irtautumisen muodossa.

Liikkuminen on kiinteä osa nykyistä arkea ja erityisen syvästi se kytkeytyy urbaanin älykaupungin palveluihin ja toimintoihin. Näitä ovat ihmisten, palveluiden ja datan saumattomat kuljetusketjut, dataa hyödyntävät liikkumispalvelut ja liikkumisen ohjausjärjestelmät, polttoaineiden käyttöä vähentävät ratkaisut, sekä satama- ja lentoasemien, sekä kiskoliikenteen optimoidut logistiikkaratkaisut.

Uusimpia älykkään liikkumisen muotoja ovat autonomiset maalla, merellä ja ilmassa liikkuvat dronet.

Älyratkaisut perustuvat erilaisista antureista tietokantoihin kertyneeseen dataan, jota ohjelmistosovellukset hyödyntävät tietoverkkojen välityksellä. Tämän päälle rakennetut ja keskenään kommunikoivat palveluprosessit automatisoidaan mahdollisimman pitkälle.

Kehityksen tuloksena kulkuneuvoista on tulossa digitaalisia alustoja, jotka hyödyntävät mahdollisimman pitkälle valmiiksi automatisoituja palveluprosesseja.

Tämän hetken teknologisen kehityksen huippuna pidetään kytkeytyneitä automatisoituja kulkuneuvoja (CAV – Connected Automated Vehicle). Palveluissa kehityksen kärjessä ovat uudet palvelumallit, joissa paketoidaan nykyisiä palveluja helposti käytettäviksi kokonaisuuksiksi, kuten liikkuminen palveluna (MaaS – Mobility as a Service).

CAV-kulkuneuvot kytkeytyvät internetiin vertaisverkkojen, tai suoran internet-yhteyden kautta, aistivat reaaliajassa ympäristöään erilaisten sensorien, kameroiden ja tutkien kautta, sekä kommunikoivat toistensa ja ympäristön infrastruktuurin kanssa.

Arkistokuva. Kuva: Daimler.

Kaikki kytkeytyvät internetiin

Tutkijat ovat kehittäneet käsitteen, ajoneuvojen internet (IoV – Internet of Vehicles), jossa automatisoidut järjestelmät keskustelevat keskenään neljällä tietoliikenteen tasolla:

  • ajoneuvosta sensoriin (V2S – Vehicle to Sensor)
  • ajoneuvosta ajoneuvoon (V2V – Vehicle to Vehicle)
  • ajoneuvosta infraan (V2R – Vehicle to Roadside)
  • ajoneuvosta internetiin (V2I – Vehicle to Internet)

V2S-verkot ovat lyhyen matkan yhteyksiä, jossa ajoneuvon sisäiset sensorit viestivät ajotietokoneen (ECU – Electronic Control Unit) kanssa ja säätävät esimerkiksi jarruja.

V2R-tietoliikenne seuraa ajoneuvon ja ympäröivän infrastruktuurin välistä viestintää, kuten liikennevaloja ja muun liikenteen nopeutta.

V2I-liikenteessä ajoneuvo kiinnittyy suoraan internetiin mobiilitukiaseman välityksellä, mitä kautta kuljettaja saa tietoa esimerkiksi edessä olevista ruuhkista, tai matkan varrella olevista palveluista ja internetiin välittyy tietoa muun muassa ajoneuvon sijainnista.

V2V-liikenteessä ajoneuvot viestivät toisilleen esimerkiksi nopeudestaan ja keskinäisestä sijainnistaan.

Älykkään liikenteen avainroolissa – hyvässä ja pahassa – ovat tietoverkot, internetin lisäksi erityisesti matkapuhelin- ja satelliittiverkot. 5G-teknologian varaan tullaan rakentamaan huomattava määrä vielä näkymättömiä palveluja ja moni niistä perustuu satelliiteista saatavaan sijaintitietoon.

Lisäksi maanpäällisiä robotteja ohjataan jatkossa entistä useammin satelliittien välityksellä.

Muun muassa Google ja Facebook kehittävät lisäksi uutta globaalia internet-verkkoa, joka perustuu matalan kiertoradan satelliitteihin, yläilmakehän ilmapalloihin ja aurinkoenergiaa käyttäviin lentokoneisiin.

Tällä hetkellä lähes kaikki älyliikenteen laitteet ovat globaaleja, sarjavalmisteisia tuotteita, jotka vaativat tietoliikenneyhteyden toimiakseen. Sujuvat tietoliikenneyhteydet edellyttävät globaaleja langallisia ja langattomia standardeja ja rajapintoja, jotka huomioidaan tuotesuunnittelussa.

Tämän tietävät myös kyberrikolliset.

Erityisesti autoliikenteen väliseen viestintään suunnitellaan käytettäväksi LTE- ja 5G-yhteyksiä.

Autovalmistajat ovat sopimassa yhteisistä menettelyistä, jotka huomioidaan 5G-verkkojen kehitystyössä, samoin IoT:n aiheuttama langattomien anturien, sekä audiovisuaalisen hyöty- ja viihdesisällön nopea kasvu.

Kyberturva uhkaa unohtua

Siellä, missä liikkuu rahaa, ihmisiä ja innovaatioita, liikkuu myös vakoilijoita ja rikollisia. Lienee selvää, että tämä pätee myös älyliikenteen ratkaisuihin.

Liikkumisvälineet tuottavat massiivisesti uutta dataa, jota tarvitaan liikkumisen suorituskyvyn, käyttökokemuksen ja turvallisuuden parantamiseen. Sen vuoksi valmistajat seuraavat kulkuvälineen ja kuljettajan käyttäytymistä, välineiden käyttöastetta, huoltoa ja ylläpitoa, reitinvalintaa jne. Järjestelmien keräämä data on älyliikenneratkaisujen arvokkain hyödyke.

Kerätty data tallennetaan useille eri paikoissa sijaitseville palvelimille, palvelimia ylläpitävät useat alihankkijat yksityisellä ja julkisella sektorilla ja dataa käytetään koneoppimisen raaka-aineena uusien algoritmien opettamisessa. Tämä edellyttää laajaa yksituumaisuutta ja sopimusviidakkoa eri toimijoiden kesken.

Data kerätään pääosin langattomien verkkojen välityksellä, mistä tiedon salakuuntelu ja kaappaus on teoriassa yksinkertaista. Jos siinä onnistutaan, koko järjestelmän lamauttaminen onnistuu vaivattomasti.

Erityisen haavoittuvia ovat pienimmät verkkoon kytkeytyneet sensorit, joissa ei juurikaan ole turvallisuuden parantamista mahdollistavia komponentteja. Myös MaaS-järjestelmät ovat haavoittuvia, koska niiden tarjoamat palvelut perustuvat palvelutuottajien tarjoamaan avoimeen sensoridataan ja palveluketjun heikoimman lenkin kyberturvakyvykkyyteen.

Arkistokuva. Kuva: Bosch.

Autot ovat haavoittuvia

Autojen kohdalla on käytännössä kolme murtautumisreittiä:

  • auton lähellä bluetooth-, wifi- ja OBD2-väylät
  • julkinen internet, josta hakkerit voivat murtautua palveluntarjoajan pilvipalveluun ja edelleen useampaan autoon samanaikaisesti
  • palvelu-appin kautta pilveen ja sieltä edelleen autoihin.

Amerikkalaisen Upstream Securityn keräämän tilaston mukaan älyliikenteeseen kohdistuneiden kyberhyökkäysten määrä on kovassa kasvussa. Viimeisten kuukausien aikana on raportoitu esimerkiksi tällaisia tapauksia – lista on loputon:

  • venäläisestä autonjakopalvelusta löydettiin useita valetilejä
  • vakava salausalgoritmin ohjelmointivirhe suurten autovalmistajien käyttämässä kaukosäätimessä
  • harrastelijoiden tekemällä open source -appilla pystyttiin lamauttamaan autovalmistajan virallinen app ja ottamaan auto haltuun
  • hakkerit onnistuivat kaappaamaan auton ja muuttamaan kojelaudassa näkymiä lukemia
  • hakkerit kiihdyttivät kaapatun auton kovaan vauhtiin kuljettajan voimatta tehdä mitään
  • bensa-aseman tankkausmittariin ujutettu haittaohjelma kaappasi käyttäjien luottokorttitiedot
  • auton vuokrannut henkilö huomasi viikkojen päästä voivansa edelleen seurata ja kontrolloida vuokra-autonsa liikkumista
  • hakkeri huijasi Google Mapsin navigointia ja rakensi virtuaalisen liikenneruuhkan
  • hakkerit lamauttivat saksalaisen autonosien valmistajan palvelunestohyökkäyksellä
  • hakkerien tutka-app pystyi seuraamaan Teslojen liikkumista
  • auton CAN-väylään asennetulla laitteella pudotettiin matkamittarilukemaa
  • hakkerit tarjosivat verkossa kymmeniin automerkkeihin soveltuvaa CAN-väylän murto-ohjelmaa
  • hakkerit murtautuivat auton kamerajärjestelmään ja muokkasivat sen näkymää
  • hakkerit murtautuivat autonomisten autojen satelliittisignaaliin ja ohjasivat autot ojaan
  • haittaohjelma lamautti poliisiautojen laptop-tietokoneet ja pudotti ne verkosta
  • hakkeroidut Lime-potkulaudat ryhtyivät tekemään seksuaalisia ehdotuksia käyttäjilleen
  • chicagolaisen autonjakopalvelun app-sovellus murrettiin ja sata autoa katosi yhden päivän aikana.

Autovalmistajien keräämä ja omistama data on muiden alustapalvelujen tavoin niiden omassa, rajattomassa käytössä. Lisäksi auton käytöstä syntyvä data on yhdistettävissä rekisterinpitäjän tietoon auton omistajasta, tai vuokraajasta. Jos tiedot joutuvat rikollisiin käsiin, voivat vahingot kertautua.

Henkilön työ- ja vapaa-ajan digitaalinen jalanjälki hajaantuu nopeasti eri tietokantoihin ja altistuu muun muassa identiteettivarkauksille. Tieto auton, pyörän, tai potkulaudan vuokrauksesta tallentuu pilveen, samoin matkalippu- ja muut verkkokauppaostokset, henkilön matkapuhelimen sijaintiin perustuva liikkuminen ja muu paikkatieto.

Kaikki tämä mahdollistaa sujuvat palvelut ja käyttökokemuksen, mutta myös suuret kyberriskit. Useista pienistä tietovuodoista kertyy tietoa megatietokantoihin, joissa tietoja yhdistämällä päästään syvälle käyttäjäkohtaisiin profiileihin.

Kyberturvaa pitää johtaa

Turvatietoisuus tekee vasta tuloaan digitaalisiin palveluihin ja ratkaisuihin. On ryhdytty puhumaan ”security by design” -ajattelusta, jossa turvallisuus on huomioitu jo tuotteen kehitysvaiheessa: ohjelmistokehityksessä noudattamalla ohjelmoinnin parhaita käytäntöjä, hyödyntämällä autentikointi- ja varmenneratkaisuja, sekä tekemällä tuotteille ja palveluille säännöllisiä stressitestejä. Tässä toiminnassa ollaan kuitenkin vielä alkumetreillä.

Älyliikenne on monen muun dataohjautuvan yhteiskunnan osan tavoin monista toimijoista koostuva ekosysteemi sisältäen tuotteen suunnittelun, tuotannon, huollon ja palvelut. Ollakseen mahdollisimman aukoton koko ekosysteemin tulisi huomioida sama laadukas ja huolellinen kyberturvakulttuuri. Kokonaisvaltainen ajattelu komponenttien valmistuksesta aina liikkumisen palveluihin saakka olisi tarpeen.

Kaiken tämän jälkeen on jäljellä vielä kysymys, kuinka tätä kaikkea johdetaan niin, että myös ihmisten toimintatavat pysyvästi muuttuvat ja huolellinen kyberturvakulttuuri juurtuu organisaatioon?

Katso tästä muita juttuja autonomisesta liikenteestä.

Ilman ajantasaista ja oikeaan tilannekuvaan perustuvaa kyberturvastrategiaa hyvää lopputulosta on mahdotonta saavuttaa. Kokonaisuuden toiminta riippuu siitä, että niin teknologia, ihmiset, kuin prosessitkin kulkevat samaan suuntaan.

Avainkysymys kuuluu, kuinka mahdollistetaan turvalliset digitaaliset palvelut ja digitaalinen yhteiskunta, koska sitä me loppupeleissä kuitenkin tavoittelemme.

Juttu on alunperin julkaistu englanniksi kyberturvayritys Cyberwatch Finlandin Magazinen numerossa 1/2020: https://www.cyberwatchfinland.fi/news/wishing-you-enjoyable-moments-with-our-first-magazine-of-the-year-happy-easter/

JÄTÄ VASTAUS

Kirjoita kommenttisi!
Kirjoita nimesi tähän