O samochodach elektrycznych napisano już dużo półprawd i zwyczajnych kłamstw. To wymyślone zagrożenia, których nie ma sensu rozwijać. Natomiast w całej tej dyskusji o elektrykach (również u ich przeciwników) nie wspomina się o jednym, znaczącym zagrożeniu. Chodzi o zagrożenie atakami hakerów.
Samochody elektryczne to "tykająca bomba"?
- Dzisiejszy samochód elektryczny to w praktyce komputer na kołach, stale połączony z internetem, chmurą i aplikacjami mobilnymi - tłumaczy nam Wojciech Głażewski, dyrektor firmy Check Point Software Technologies w Polsce. Oznacza to, że hakerzy nie muszą "włamywać się do auta fizycznie" - często wystarczy luka w oprogramowaniu, aplikacji lub infrastrukturze chmurowej producenta. Tak już się działo. W praktyce cyberataki już umożliwiały m.in.: zdalne otwieranie drzwi i bagażnika, sterowanie systemem infotainment, uruchamianie klaksonu czy klimatyzacji, śledzenie lokalizacji pojazdu w czasie rzeczywistym. Niewykluczone jest, że wkrótce dojdzie do zatrzymania samochodu przez hakerów, co może skończyć się tragedią.
- Samochody elektryczne są dziś znacznie bardziej połączone i zależne od oprogramowania niż tradycyjne pojazdy, co poszerza ich powierzchnię podatności na ataki - tłumaczy Wojciech Głażewski. W przeciwieństwie do aut spalinowych, w których kluczowe systemy były w większości mechaniczne lub analogowe, pojazdy elektryczne opierają się na rozbudowanym oprogramowaniu sterującym praktycznie każdym aspektem jazdy .- Scenariusz nagłego zatrzymania auta podczas jazdy nie jest dziś powszechny, ale eksperci podkreślają, że to kwestia architektury systemów, a nie "magii". Wraz z rozwojem autonomii i centralnych systemów sterowania, granica między atakiem cyfrowym a realnym zagrożeniem na drodze zaczyna się zacierać - dodaje. Apeluję jednak, by nie panikować, lecz zachować uzasadnioną czujność.
Popularność samochodów elektrycznych rośnie tak naprawdę z miesiąca na miesiąc, także w Polsce. W 2025 r. zarejestrowano w Polsce niemal 46 tys. aut elektrycznych, o 177 proc. więcej niż w 2024 r. W listopadzie po raz pierwszy w polskiej historii zarejestrowano w Polsce więcej nowych samochodów elektrycznych, niż diesli. Polacy ewidentnie przesiadają się na elektryki. Dlatego, aby zmniejszyć szansę na atak, właściciel elektryka powinien regularnie aktualizować oprogramowania auta i aplikacji, unikać nieznanych sieci Wi-Fi, Bluetooth i publicznych USB, zabezpieczać domową ładowarkę i sieci Wi-Fi, stosować silne hasła i uwierzytelnianie wieloskładnikowe oraz usuwać dane przed sprzedażą lub oddaniem auta. Co ciekawe, nie bez znaczenia jest też kraj pochodzenia samochodu.
Chińskie elektryki są większym zagrożeniem?
- Problem nie leży wyłącznie w kraju pochodzenia, ale w dojrzałości zabezpieczeń, przejrzystości oprogramowania i kontroli nad danymi. Faktem jest jednak, że część chińskich producentów oferuje bardzo atrakcyjne cenowo auta kosztem mniej rozbudowanych zabezpieczeń, oprogramowanie bywa zamknięte i słabo audytowalne. Stąd rosnące obawy o dostęp do danych przez podmioty trzecie - mówi dyrektor firmy Check Point Software Technologies w Polsce. - Co istotne, Tesla również była skutecznie atakowana, m.in. podczas konferencji Black Hat. To pokazuje, że nie ma marek "odpornych", są tylko lepiej lub gorzej przygotowane. Różnica polega na tym, że zachodni producenci podlegają ostrzejszym regulacjom, a w przypadku części chińskich marek zaufanie do tego, co dzieje się z danymi, bywa ograniczone, stąd ostrzeżenia np. dla sektora obronnego w Wielkiej Brytanii - dodaje.
Na zagrożenie ze strony chińskich samochodów elektrycznych wskazywał także opublikowany przed końcem zeszłego roku raport Ośrodka Studiów Wschodnich. Wskazano w nim "potrzebę wnikliwych działań sprawdzających inteligentne pojazdy pod kątem m.in. skanowania infrastruktury krytycznej przez liczne sensory, zbierania informacji wrażliwych, cyberataków". "Ma to szczególne znaczenie w związku z nieformalnym sojuszem Chiny-Rosja i ryzykiem ewentualnego przekazywania Federacji Rosyjskiej danych gromadzonych obecnie przez inteligentne auta poruszające się po europejskich drogach. Takie pojazdy, niezależnie od kraju pochodzenia producenta, są również podatne na cyberataki, a ze względu na możliwości zdalnego sterowania - także na wykorzystanie do aktów dywersji" - czytamy.
- Samochód to również źródło pozyskiwania informacji z zewnątrz - niepozornego rejestrowania geolokalizacji obiektów strategicznych, obszarów o specjalnym znaczeniu do bezpieczeństwa państwa lub korporacji. To potencjalne urządzenia szpiegujące i narzędzia sabotażu - mówi nam Wojciech Głażewski, odnosząc się do raportu OSW. - Nieprzypadkowo eksperci szacują, że wartość danych generowanych przez samochody przekroczy 14 mld dolarów do 2032 r. To nowa ropa XXI wieku - tylko że porusza się po drogach - dodaje. I chociaż polska flota elektryków może nie wydawać się aż tak bogata, to zagrożenie dotyczy również nas i to w dużym stopniu. - Polska nie jest wyjątkiem, a wręcz znajduje się w fazie podwyższonego ryzyka - podkreśla dyrektor firmy Check Point Software Technologies w Polsce.
Polska może być szczególnie zagrożona
Liczba elektryków u nas szybko rośnie, podobnie jak infrastruktura ładowania, floty miejskie (autobusy, transport publiczny) oraz rynek aut używanych, gdzie często sprzedaje się pojazdy z danymi poprzednich właścicieli. - Jednocześnie sektor transportu jest już dziś jednym z najczęściej atakowanych w UE (blisko 2 500 ataków na polskie firmy tygodniowo), a realne incydenty (np. paraliż komunikacji i systemów w kolei polskiej w 2024 czy ataki na systemy GPS - na terytorium Polski) pokazują, że to nie są ćwiczenia teoretyczne - przypomina ekspert. W Polsce zagrożenie będzie rosło wraz z cyfryzacją transportu.
- Pytanie nie brzmi już "czy", ale "jak dobrze będziemy na to przygotowani" - jako państwo, samorządy, producenci i użytkownicy. Prosty przykład - Smart-transport (miejskie autobusy elektryczne, tak popularne w dużych aglomeracjach w Polsce) może stać się również celem hakerów w najbliższych latach. Potwierdza to raport Agencji Unii Europejskiej ds. Cyberbezpieczeństwa, który ujawnia, że sektor transportu już teraz jest jednym z najbardziej atakowanych sektorów w UE, obok administracji publicznej i sektora finansowego - ostrzega Wojciech Głażewski.
Samochody elektryczne zbierają ogromne ilości informacji - często więcej niż smartfon. - Mówimy nie tylko o danych technicznych, ale też o pełnym cyfrowym profilu kierowcy - podkreśla ekspert. Wylicza, że te dane mogłyby zostać wykorzystane do: kradzieży tożsamości (na podstawie lokalizacji, kontaktów, nawyków), oszustw finansowych (np. płatności za ładowanie, subskrypcje), szantażu lub ataków ransomware, precyzyjnej inwigilacji - prywatnej lub państwowej oraz ataków łańcucha dostaw (przez aplikacje, aktualizacje, ładowarki). Należy też podkreślić, że największym zagrożeniem nie zawsze jest samo auto, lecz jego ekosystem - domowa ładowarka, panele PV, aplikacje i chmura.
Mimo to, jak zauważa Głażewski, "ochrona danych w samochodach to prawdziwy koszmar". Raport Mozilla Foundation "Privacy Not Included" z 2023 r. nie pozostawia złudzeń. Aż 84 proc. producentów przekazuje lub sprzedaje dane użytkowników brokerom danych i innym podmiotom, a ponad połowa deklaruje, że na żądanie udostępni je rządom lub organom ścigania.
Z tego, jak ważne jest cyberbezpieczeństwo, wydaje się zdawać sobie sprawę rząd. Minister cyfryzacji Krzysztof Gawkowski mówi, że "cyfrowe czołgi już tu są", a Donald Tusk zorganizował w czwartek (15 stycznia) spotkanie dotyczące cyberataków na infrastrukturę energetyczną. Jeżeli jednak nasze postrzeganie samochodów elektrycznych i cyberhigieny się nie zmieni, mogą one stać się pomostem do poważnych problemów. Nie tylko jednostek, ale też całego państwa.
