Русский
English
Français
Deutsch
Español
Italiano
Português
日本語
한국어
ДомНаклоняясь против закона о ремонте, НАБДД поддерживает безопасность через неизвестность
«Безопасность через неизвестность» — идея о том, что сохранение работы технологии в секрете является средством ее защиты от атак — давно отказалась как профессионалы в области кибербезопасности, так и индустрия информационной безопасности в целом. Как показала нам история: секретность — это не то же самое, что безопасность, и она плохо противостоит умным, находчивым и решительным противникам.
Только не говорите об этом Национальной администрации безопасности дорожного движения (NHTSA), которая на прошлой неделе решительно поддержала эту концепцию в письме 22 автопроизводителям. В письме от 13 июня был направлен против закона Массачусетса, который предоставляет владельцам транспортных средств контроль и доступ к телематическим данным их автомобилей. В НАБДД заявили, что закон может способствовать кибератакам и «позволяет манипулировать системами транспортного средства, включая критически важные для безопасности функции, такие как рулевое управление, ускорение или торможение». Далее он сообщил автопроизводителям, что киберриски, связанные с телематикой, представляют собой угрозу безопасности транспортных средств и противоречат Национальному закону о безопасности дорожного движения и транспортных средств (Закон о безопасности), закону, принятому в середине 1960-х годов, и практически предписывают им сохранять телематику своих транспортных средств. системы закрыты.
«Учитывая серьезные риски безопасности, создаваемые Законом о доступе к данным, принятие мер по открытию удаленного доступа к телематическим устройствам транспортных средств в соответствии с этим законом, который требует наличия каналов связи с системами управления транспортными средствами, будет противоречить вашим обязательствам по Закону о безопасности», НАБДД написало.
Но, поддерживая безопасность автопроизводителей посредством неясности, NHTSA упустило из виду как свои собственные лучшие практики в области кибербезопасности, так и недавние отчеты, которые предполагают, что телематические системы автопроизводителей изобилуют уязвимостями и недостатками безопасности, которые можно использовать.
Закон о праве на ремонт транспортных средств в Массачусетсе написан для того, чтобы владельцам транспортных средств было проще и дешевле ремонтировать свои автомобили, способствуя конкуренции на рынке ремонта автомобилей. Три года назад избирательные меры породили злобную многомесячную кампанию, в ходе которой автопроизводители потратили миллионы долларов на телевизионную рекламу, предупреждающую жителей Массачусетса, без каких-либо доказательств, о том, что доступ к информации о ремонте автомобилей предоставит преступникам и сталкерам доступ к их домам и транспортным средствам. Тактика запугивания промышленности не сработала: в ноябре 2020 года законопроект был принят, и его поддержали более трех четвертей избирателей.
Но это был еще не конец. Его принятие спровоцировало в том же месяце иск со стороны группы лоббистов автомобильной промышленности. Этот иск «Альянс за автомобильные инновации против Кэмпбелла» уже более двух лет томится в зале суда федерального судьи Дугласа Вудлока, и решения так и не предвидится. 1 июня новоизбранный генеральный прокурор Массачусетса Андреа Джой Кэмпбелл начала обеспечивать соблюдение закона в отсутствие решения суда в его пользу или против него. Письмо NHTSA, написанное две недели спустя, стало непростым испытанием для правоохранительных органов штата.
Есть только одна проблема: закон Массачусетса о праве автомобилей на ремонт не делает ничего из того, что говорится в письме NHTSA. Как написано и принято избирателями Массачусетса, закон просто гласит, что автомобили, продаваемые в Массачусетсе и использующие телематическую систему, должны быть оснащены «совместимой, стандартизированной платформой с открытым доступом для всех марок и моделей производителя». Безопасность не является второстепенной задачей. Фактически, закон определяет, что «такая платформа должна быть способна безопасно передавать все механические данные, исходящие непосредственно от автомобиля, посредством прямого подключения данных к платформе».
Вот и все. Слово «открытый» появляется только один раз в обновлении закона о доступе к данным 2020 года и используется в контексте «несобственного», а не «незащищенного». Что закон действительно делает, так это освобождает автопроизводителей от роли посредников, которые могут решать, кто получит доступ к телематическим данным транспортных средств. Вместо этого он утверждает, что люди могут получать доступ к телематическим данным, полученным их транспортным средством, и делиться ими по своему усмотрению, в том числе сторонним независимым специалистам по ремонту.