Experti objevili bezpečnostní díru u citlivých dat automobilek
Vladimír Javor spolupracovník iDNES.cz
Bezpečnostní experti objevili na nezabezpečeném serveru 157 GB citlivých dat. Byly mezi nimi i plány výrobních závodů Fordu, Tesly nebo Volkswagenu.
Celkem 47 000 dokumentů s citlivým obsahem zálohovala kanadská společnost Level One Robotics and Controls zaměřující se na robotizaci a automatizace výrobních závodů na nezabezpečený server. Našli byste mezi nimi schémata a výkresy výrobních závodů, nastavení průmyslových robotů, ale i propustky a zaměstnanecké údaje. Ta nejcitlivější data, spojená s průmyslovým tajemstvím, patřila převážně nejvýznamnějším světovým automobilkám: Fordu, Toyotě, General Motors, FCA, Tesle nebo Volkswagenu. Mezi soubory byly dokonce i smlouvy o mlčenlivosti (tzv. NDA), které zmíněné kolosy se společností Level One uzavřely.
Naštěstí pro kapitány autoprůmyslu se tato data podle všeho nedostala do nepovolaných rukou. Na nezajištěném zálohovacím serveru je objevil bezpečnostní expert Chris Vickery, jenž celý případ popsal americkým New York Times. Firma Level One Robotics nijak nezabezpečila přístup k dokumentům, a dokonce bylo možné je i upravovat a přepisovat. Abyste tedy získali informace o tom, jak se vyrábí Ford Focus, stačilo vám jen připojení k internetu a znát umístění serveru.
„Přítomnost smluv o mlčenlivosti byla jasným signálem, že ani ostatní dokumenty nesmějí jen tak na veřejnost,“řekl ke svému objevu Vickery.
Level One se ústy svého šéfa Milana Gaska brání, že šance, že by se někdo k datům dostal, byla extrémně nízká, protože by musel znát jejich přesné umístění. Jeho společnost nicméně prošetří, jestli se informace nedostaly někam, kam neměly. Postižené automobilky pak celou situaci odmítly komentovat.
Celá situace nicméně ukazuje, že přes všechno svoje vyspělé zabezpečení mohou být velké společnosti zranitelné – zvláště přes své dodavatele, kteří některé bezpečnostní prvky opomenou. Cestičky hackerů dokonce někdy vedou skutečně obskurními zákoutími: v roce 2013 získali informace o platebních kartách použitých v terminálech společnosti Target tak, že se dostali do systému firmy, která měla na starosti topení a ventilaci. V loňském roce dokonce 56 procent firem zaznamenalo podle výzkumu bezpečnostní firmy Ponemon Institute únik citlivých informací ve spojitosti s nějakým svým dodavatelem.
Vzhledem ke komplikovanému systému dodavatelů je pro automobilky podobná otázka skutečně aktuální. Na druhou stranu mají však ještě palčivější problém: musí zajistit, aby se hackeři nedokázali nabourat do jejich výrobků – samotných aut.
V roce 2015 již bezpečnostní experti dokázali na dálku ovládnout brzdy Jeepu Cherokee. Dnes výrobci aut i jejich dodavatelé na podobné problémy myslí, např. Continental koupil izraelskou společnost Argus zaměřenou na zabezpečení proti hackerům. Tzv. propojených aut je ale na silnici stále víc a víc a pro nenechavce představují čím dál lákavější terč.