Käynnistävätkö onnettomuudet vasta älykkään liikenteen kyberturvallisuustyön?

Nykyisen teollisen autotuotannon kantaisä on Ford Motor Companyn Model T eli kansankielellä T-Ford tai "Hoppa", jonka tuotanto alkoi vuonna 1908. Viimeinen T-Ford valmistui vuonna 1927, ja silloin niitä olikin valmistettu jo 14,6 miljoonaa kappaletta. Autossa piili erilaisia turvallisuusongelmia, ja ne havaittiin myynnin jo alettua. Onnettomuustilanteissa auton tuulilasi esimerkiksi sirpaloitui vaarallisesti ja ohjauspylväskin osui usein kuljettajaan ikävin seurauksin. Tässä mielessä autoteollisuuden alkuhetki toisti myöhemmin kyberturvallisuudenkin yhteydessä usein havaittua kehityskulkua: turvallisuusongelmat ilmenevätkin tuotteen käytön jo alettua.

Kyberuhat koskevat myös älykästä liikennettä

Kyberturvallisuus on tavoitetila, jossa kyberympäristöön voidaan luottaa ja sen toiminta turvataan. Kybertoimintaympäristöön sisältyy myös ajatus fyysisen maailman ulottuvuudesta. Toisin sanoen tietokoneen suorittaessa ohjelmakoodiaan sen seurauksena tapahtuu jotain ympärillämme havaittavaa. Yksinkertainen esimerkki tästä voisi olla vaikkapa liikennevalon vaihtuminen vihreäksi tai älyauton automaattinen jarrutus esteen sattuessa tielle.

Tässä blogisarjassa on aiemmin käsitelty älykästä liikennettä niin maalla, merellä kuin ilmassakin. Näihin kaikkiin liittyy varmasti paljon samankaltaisia kyberturvallisuusnäkökulmia. Tässä kirjoituksessa keskityn kuitenkin älykkäiden ajoneuvojen kyberturvallisuuteen, koska uskon aihepiirin olevan suurimmalle osalle meistä tuttua.

Jotta auto voi turvallisesti liikkua omien tietokoneidensa ohjaamana maantieliikenteessä, tulee sen sisältää kaksi perustoimintoa riittävän luotettavasti toteutettuna. Ensinnäkin auton tulee olla koko ajan perillä sen ympäristön liikennetilanteesta. Lisäksi auton tulee kyetä havaitsemaan sellaisia vaarallisia tapahtumia, joita ei välttämättä ole varta vasten sille älytty autotehtaalla opettaa. Toiseksi itse ajavan auton tulee toimia niin, ettei se omalla liikkumisellaan ja muuhun liikenteeseen reagoimisellaan vaaranna muiden tienkäyttäjien ja kuljettamiensa matkustajien turvallisuutta.

Voimme luottaa itse ajavan ajoneuvon turvallisuuteen, mikäli edellisen kohdan kaksi asiaa toimivat käytännössä 100 %:n varmuudella. Jos toimintavarmuus on tätä alhaisempi, aiheuttavat itse ajavat ajoneuvot myös liikenneonnettomuuksia. Eri asia toki on, että autoa ajavat ihmiset aiheuttavat niitä joka tapauksessa tällä hetkellä luultavasti paljon todennäköisemmin.

Erilaiset kyberuhat – tahalliset tai tahattomat – voivat vaarantaa kyberturvallisuutta. Tahallisen kyberuhan voisi muodostaa esimerkiksi hakkeri, joka tunkeutuu auton valmistajan ajoneuvojen kanssa kommunikoivaan pilvipalveluun. Tahattoman kyberuhan voisi taas muodostaa vakavan toiminnallisen virheen muodostama valmistajan ominaisuuspäivitys auton ohjausjärjestelmässä. Älykkään ajoneuvon kyberturvallisuus tarkoittaa ennen kaikkea sitä, että se on suojattu riittävän luotettavasti erilaisia todennäköisiä kyberuhkia vastaan.

Kyberuhat nähdään usein teoreettisina, kunnes joku osoittaakin ne todeksi

Siitä alkaen, kun joku keksi ajatuksen kokonaan ilman kuljettajan ohjausta kulkevasta autosta, on myös esitetty kysymys: "Entäs jos joku hakkeroikin sen?" Kysymys on äärimmäisen hyvä, mutta usein kysyjät on saatettu vaientaa vetoamalla äärimmäisiin epätodennäköisyyksiin tai valmistajan salaisiin tietoturvakontrolleihin. Turvallisuusongelmaa ei ole ollut, koska kukaan ei ole käytännössä osoittanut sellaisen olemassaoloa.

Tietoturvatutkijat Charlie Miller ja Chris Valasek osoittivat jo vuonna 2015 käytännössä, että silloinen Jeep Cherokee oli mahdollista ottaa internetin yli kokonaan vihamielisen tahon haltuun. Tutkijat onnistuivat mm. vaikuttamaan auton radioon, kaasupolkimeen ja jarruihin, jolloin kuljettajasta tulikin käytännössä matkustaja (ks. YouTube-video (Ulkoinen linkki)). Tutkijoiden löytämät haavoittuvuudet on toki jo korjattu, mutta havainnot olivat herätys koko autoteollisuudelle.

Älykkäitä ajoneuvoja kehitettäessä niistä paljastuu koko ajan uusiakin haavoittuvuuksia. Esimerkiksi vuonna 2020 tietoturvatutkijat (Ulkoinen linkki) huijasivat pienellä teipin palalla liikennemerkissä Teslan nopeusrajoitusten tunnistusta niin, että ajoneuvo tulkitsikin nopeusrajoituksen olevan 85 eikä 35 mailia tunnissa. Ihmiselle on verraten helppoa tunnistaa hieman kurainen tai lumen peittämä nopeusrajoitusmerkki, mutta älykkään ajoneuvon tapauksessa saatetaan tarvita vastaavaan runsasta algoritmien jatkokehitystä. Luonnonilmiöiden lisäksi tulee varautua myös pahantahtoisiin toimijoihin.

Tietoturvatutkijat tekevätkin koko ajan arvokkaita palveluksia meille kaikille tulevien älykkäiden ajoneuvojen käyttäjille. Vaikka autoteollisuus ei varmasti tarkoituksella tee tuotteisiinsa haavoittuvuuksia, vaatii niiden paljastaminen usein luovaa ajattelua. Tiukan aikataulun painaman tuotekehitysinsinöörin tärkein kysymys on: Miten tämän saisi ylipäätänsä toimimaan? Tietoturvatutkija taas kysyy: Näin tämä toimii – miten tämän toiminnan voisi rikkoa?

Onko kuukausittaisen tietoturvapäivityksen huomioiminen älyauton omistajan vastuulla?

Perinteisen tietotekniikan osalta on vakiintunut käytäntö, jolloin moni valmistaja julkaisee kuukausittaiset tietoturvapäivitykset kuun toisena tiistaina tai samalla viikolla. Silloin niin yritysten IT-osastojen kuin tavallisten kotikäyttäjienkin on syytä asentaa tietoturvapäivitykset viipymättä. Tässä tapauksessa valmistajat ovat sälyttäneet tämän vastuun heidän asiakkailleen.

Älykäs auto on esimerkki tuotteesta, jonka yhteydessä sen valmistajan jakelemat automaattiset tietoturvapäivitykset ovat käytännössä välttämättömiä. Yhdistyneiden kansakuntien Euroopan talouskomission eli UNECE:n mukaan (Ulkoinen linkki) autoissa on nykyään keskimäärin 150 elektronista ohjausyksikköä (tietokonetta) ja 100 miljoonaa riviä ohjelmakoodia. Se on neljä kertaa enemmän kuin hävittäjälentokoneissa ja tämän määrän ennustetaan olevan 300 miljoonaa riviä vuonna 2030. Luonnollisesti lisääntyvä tietotekniikan määrä lisää riskiä myös niihin sisältyvistä vakavista haavoittuvuuksista.

Yhdistyneet kansakunnat ovat vuonna 2021 määritelleet uusia kyberturvallisuusmääräyksiä ajoneuvoille. Hiljattain voimaan astuneet määräykset koskevat kaikkia ajoneuvojen valmistajia ja myyntialueita sisältäen:

• Kyberriskien hallinnan yleiset periaatteet
• Kyberriskien hallinta koko alihankintaketjussa
• Kyberturvallisuuspoikkeamien havaitseminen sekä niihin reagoiminen koko valmistajan kentällä olevassa ajoneuvokannassa
• Etänä tapahtuvien autojen eri järjestelmien ohjelmistopäivitysten kyberturvallisuuden varmistaminen niin, että ajoneuvon turvallisuus ei voi vaarantua myöskään haitallisten päivitysten johdosta.

Tulevaisuudessa älykkäiden ajoneuvojen tapauksessa loppukäyttäjän vastuu on paljon pienempi. Ajoneuvon kyberturvallisuudesta ovat päävastuussa niiden valmistajat yhdessä paikallisten maahantuojien ja huolto-organisaatioiden kanssa. Kuluttajan näkökulmasta kyberturvallisuuteen liittyvät päivitykset asentuvat yleensä niiden valmistajan toimesta etäyhteydellä. On toki mahdollista, että jokin päivitys on mahdollista tehdä ainoastaan huoltokäynnin yhteydessä. Silloin auton valmistaja saattaa tehdä takaisinkutsukampanjan (Ulkoinen linkki), jonka toteutumista Suomessa seuraa Traficom. Tässä tapauksessa auton omistajan vastuulla on toimittaa auto "kyberturvallisuushuoltoon" tai asia nousee esiin viimeistään seuraavassa määräaikaiskatsastuksessa katsastuspäätöksen yhteydessä.

Pitääkö meidän menettää yöunemme?

Kuvitellaanpa seuraava tilanne: Tammikuussa 2023 jokin nykyisten jo hyvin älykkäiden autojen valmistajista julkaisisi ohjelmistopäivityksen omistamaasi autoon. Päivityksen kuvauksen mukaan tämä valmistajan automalli on nyt täysin SAE J3016 LEVEL 5:n (Ulkoinen linkki) mukainen eli autosi osaisi sen valmistajan mukaan ja viranomaisten hyväksymänä ajaa itse missä vain ilman kuljettajan puuttumista. Olisi hyvin yleinen suomalaisen talvipäivän aamu, jossa yöllä on tupruttanut 10 senttiä pakkaslunta ja voimakas tuuli pöllyttäisi sitä niin, että tieura olisi suurelta osin lumidyynien peitossa. Uskaltaisitko nyt hypätä takapenkille lukemaan aamun lehteä auton kuljettaessa sinut kauppa-asioillesi? Minä en kyllä uskaltaisi – en siis vielä vuonna 2023.

"Lähitulevaisuus yliarvioidaan ja kaukainen tulevaisuus aliarvioidaan", toteaa Osmo A. Wiion laki tulevaisuuden ennustamisesta (Ulkoinen linkki). Älykkäiden itse ajavien ajoneuvojen tapauksessa on varmasti käynyt juuri näin. Se ei kuitenkaan estä sitä, että todennäköisesti hieman kaukaisemmassa tulevaisuudessa (15–30 vuotta) ne ovat arkipäivää kaikkialla maailmassa ja kaikissa ajo-olosuhteissa. Tässä viivästyksessä on kyse mielestäni kahdesta oleellisesta asiasta. Ensinnäkin näiden ominaisuuksien toimimaan saaminen on todella vaikeaa. Toiseksi ominaisuuksien pitää toimia turvallisesti. Vasta sitten voidaan ottaa seuraava pieni askel kohti itse ajavaa ajoneuvoa. Koska kyberturvallisuus on olennainen osa turvallisuutta, uskon sen tulevan myös huomioiduksi.

Lopuksi

Arvoisa lukija, nyt on aika tehdä pienimuotoinen tunnustus. Olet juuri lukenut tässä liikenteen automaatiota käsittelevässä blogisarjassa Traficomin vesihuoltosektorin kyberasiantuntijan kirjoitusta. Sinusta tuntuu nyt ehkä siltä, että olet tullut pahasti petetyksi ja kallista aikaasi onkin tuhlattu.

Loppujen lopuksi kyberturvallisuudessa pätevät kuitenkin ihan samat lainalaisuudet toimialasta riippumatta. Se, valuuko jätevesi maastoon vai kääntyykö Teuvon sähköauton ratti itsekseen metsähallituksen puolelle, on loppujen lopuksi estettävissä hyvin samankaltaisilla kyberturvallisuuden kontrolleilla. Mietitään siis potentiaaliset kyberuhat, niiden muodostavat riskit sekä niiden realisoitumista rajoittavat toimenpiteet.

Kuluttajan kannalta vaikuttaa vähintäänkin kohtuulliselta, että jo sääntelyn keinoin ajoneuvojen valmistajat ovat vastuussa myös niiden kyberturvallisuudesta.

Kirjoittaja Mikko Viitanen työskentelee Traficomin Kyberturvallisuuskeskuksessa erityisasiantuntijana.