Czy jesteśmy już gotowi na autonomiczne samochody?

Autonomiczne samochody będą w stanie na bieżąco porozumiewać się z centralą oraz między sobą, wspomagając kierowcę, czy nawet samodzielnie zapobiec wypadkowi. Brzmi kusząco, prawda? Ale niesie ze sobą wiele zagrożeń. Bo przecież, jeśli coś jest podłączone, to da się to zhakować.

wywiad 10:49 16-04-2018 2

Z Yuvalem Diskinem rozmawia Paweł Hekman.

Autonomiczne samochody coraz śmielej zakorzeniają się w naszej świadomości. Na całym świecie trwa walka o tytuł pioniera tej technologii, a pierwsze pojazdy – od aut osobowych po ciężarówki – coraz częściej pojawiają się na ulicach Stanów Zjednoczonych czy zachodniej Europy. Już nie jako eksperymentalne kurioza, tylko wychodzące poza fazę testów zwiastuny czegoś, co wkrótce trafi do salonów.

W nieodległej przyszłości będą w stanie na bieżąco porozumiewać się z centralą oraz między sobą, ostrzegając i wspomagając kierowcę, czy nawet samodzielnie zapobiec wypadkowi. Brzmi kusząco, prawda? Ale niesie ze sobą wiele niewiadomych i zagrożeń. Bo przecież, jeśli coś jest podłączone, to da się to zhakować.

Jedną z wielu osób, którym ten scenariusz spędza sen z powiek, jest Yuval Diskin, były funkcjonariusz Szin Bet, izraelskiej agencji kontrwywiadu i bezpieczeństwa wewnętrznego, którą kierował w latach 2005-11. Dziś ma 61 lat i doradza w sprawach cyberbezpieczeństwa. CyMotive Technologies, firma, którą założył z kolegami z wywiadu, opracowuje razem z Volkswagenem systemy zabezpieczeń do samochodów autonomicznych.

Rozmawiamy na Uniwersytecie w Tel Awiwie podczas – już ósmej – międzynarodowej konferencji CyberWeek. Dzień wcześniej imprezę otwierał premier Beniamin Netanjahu. Choć samo wystąpienie w wypełnionej do ostatniego miejsca auli trwało niecałe 10 minut, potrzebna była pełna mobilizacja: snajperzy na dachach, helikoptery krążące nad okolicą i kontrole zawstydzające te znane z lotnisk. Rozkręcanie aparatów, otwieranie laptopów i stara, poczciwa rewizja osobista.

Dziś panuje spokój, choć po kampusie wciąż kręci się 8 tys. osób. Wśród nich grupa ponad 20 dziennikarzy z całego świata: Brazylii, Chile, Indii, Japonii, Filipin, Stanów Zjednoczonych, Turcji, Włoch, Francji, Niemiec. I jeden Polak. Na wszystkie spotkania chodzimy wspólnie.

Końcówka czerwca w Tel Awiwie to nie przelewki – termometry docierają do magicznej bariery 40 stopni. Miejscowi mówią, że takich temperatur spodziewali się dopiero za miesiąc. Na szczęście w naszej sali jest klimatyzacja. I wielki okrągły stół – a za nim wyprostowany jak struna, skupiony, pewny siebie mężczyzna z twarzą pokerzysty. Wytrawny gracz. Odpowiada skrupulatnie, kiedy chce, jest wylewny, czasem wisielczo żartuje, ale gdy uzna, że pytanie narusza jakąś tajemnicę, ucina jednym słowem.

PAWEŁ HEKMAN: Nie wygląda pan jak stereotypowy spec od cyberbezpieczeństwa. Nie ma pan brody ani dziwnej fryzury, bojówek, śmiesznej koszulki, tuzina opasek. I dawno przekroczył pan 25. rok życia.

YUVAL DISKIN: – Ponieważ nie mamy już 18 lat jak większość osób w start-upach, zamiast próbować coś wynaleźć, możemy się podzielić naszym doświadczeniem. Skupiliśmy się na motoryzacji kilka lat temu, gdy o autonomicznych pojazdach dopiero zaczęto myśleć, a my zorientowaliśmy się, że większość firm zajmujących się tematem zatrudnia inżynierów czy mechaników, dla których informatyka jest jedynie dodatkowym gadżetem. Jedna z naszych sekcji zajmuje się koncepcjami i gotowymi rozwiązaniami chroniącymi auta połączone w cyberprzestrzeni. Druga sprawdza zabezpieczenia i symuluje ataki hakerskie na oprogramowanie oraz sam sprzęt.

Co doświadczenie kontrwywiadowcze z lat 90. ma wspólnego z cybersamochodami?

– Jednym z moich głównych zadań była ochrona najważniejszych punktów infrastruktury. Szybko zrozumieliśmy, że jeśli chcemy dobrze budować obronę, musimy nieustannie badać atak. Bez zrozumienia ofensywy nie stworzysz prawdziwej defensywy. To najważniejsza rzecz wśród tych często pomijanych podczas dyskusji o świecie cyfrowym. To dlatego w zderzeniu z agresorem, który zawsze jest dynamiczny, defensorzy są statyczni i pasywni. Przełomowy był rok 1996, chyba najgorszy w całej naszej działalności. Borykaliśmy się z palestyńskimi atakami samobójczymi, mieliśmy setki ofiar w całym kraju. Rok wcześniej żydowski nacjonalista zastrzelił premiera Icchaka Rabina. Na obu płaszczyznach – ochrony i wywiadu, zbierania informacji – ponieśliśmy sromotną porażkę. Więc zaczęliśmy analizować błędy. Bardzo szybko zrozumieliśmy, że nasza organizacja była wówczas bardzo „umięśniona”, ale brakowało nam „mózgu”. Postanowiliśmy zmienić proporcje tak, by to mózg mówił mięśniom, co mają robić. Z podobnym problemem boryka się cyberbezpieczeństwo. Wszyscy prężą muskuły, ale zapominają o myśleniu. Dużo mówią i robią w sztucznej inteligencji, uczeniu maszynowym, sieciach neuronowych, ale nikt nie ma spójnej koncepcji, jak bronić swoich firm czy krajów przed cyberatakami.

Ale przecież wszyscy się chwalą nowymi rozwiązaniami.

– Owszem, mamy setki, jeśli nie tysiące rozwiązań – ale większość skupia się w obrębie różnych firm czy organizacji. Weźmy budynek uniwersytetu w Tel Awiwie, w którym jesteśmy. Chcemy go bronić przed ewentualnym atakiem, więc rozstawimy strażników w całym gmachu, snajperów na dachu, pozasłaniamy okna. Tak myśli większość państw i firm. Brakuje im szerszej perspektywy. Bronią murów, również tych cyfrowych, lecz nie widzą luk, przesmyków, dziur. Zabezpieczyliśmy budynek od zewnątrz, a przecież tylko w tej sali mamy kilkanaście urządzeń sterowanych za pomocą internetu: komputery, smartfony, klimatyzację. Wszystko to może posłużyć za broń.

To jak się bronić?

– Skupiamy się na rozwiązaniach technologicznych, a zbyt często zapominamy o podstawowej rzeczy – za każdym atakiem stoi człowiek, nie komputer. Brzmi jak drobnostka, ale jest kluczowa. Bo to, że ludzie skrupulatnie planują każdy atak, naradzają się, spiskują i zbierają dane, oznacza, że nic nie pozostaje w cyberprzestrzeni bez śladu. Ich planowanie, drobne włamania, testy zostawiają trop. Musimy zbierać te okruszki, łączyć kropki pozostawione przez hakerów. Tak nauczymy się zapobiegać atakom, zanim się wydarzą. Tu duże pole do popisu mają nie tylko nowoczesne technologie, ale również nauki behawioralne, które pomogą w zrozumieniu, jak myślą ci ludzie. My na przykład uczymy się rozpoznawać wzorce zachowań hakerów i na tej podstawie ostrzegać zagrożone cele.

Oraz łapać konkretnych przestępców?

– Zdarzyło się nam zidentyfikować konkretne osoby. Ale ich fizyczne złapanie jest trudniejsze. Jeśli haker, którego udało ci się namierzyć, nie pochodzi z kraju demokratycznego – nic nie wskórasz, nawet jeśli masz jego zdjęcie, nazwisko i adres. Tym bardziej jeśli jesteś przedstawicielem komercyjnej firmy, a nie rządu. Tu potrzebne jest międzynarodowe prawo, do którego świat jeszcze nie dorósł. Chyba tylko Stany Zjednoczone mogą sobie na to pozwolić.

I co to ma wspólnego z samochodami autonomicznymi?

– Przemysł samochodowy prowadzą inżynierowie. Jeszcze kilka lat temu wielkim wyzwaniem dla branży było lepsze zintegrowanie podstawowej kompetencji – inżynierii elektrycznej – z informatyką lub inżynierią komputerową. Teraz już rozumieją, że technologia informatyczna stanowi podstawę ich działalności, ale nadal kładą nacisk na rozwiązania. Montują w autach firewalle i systemy IDS, które wykrywają włamania. Ale to wystarczyło na początku informatyzacji samochodów. Dziś ten poziom zabezpieczeń to naiwność. Na przykład poważne ataki będą na poziomie całej floty. Po co haker ma się bawić w łamanie kodu do jednego auta – co zresztą w ramach testów bezpieczeństwa już nieraz robiono – jeśli może uderzyć w sieć informatyczną, która zarządza całością w danej firmie albo w pojazdach danego producenta? Wtedy przejmie kontrolę nad tysiącami albo setkami tysięcy aut.

Skąd ta pewność?

– Wiemy, jak zaatakować samochód. Robiliśmy to niejednokrotnie w fazie testów. Wyobraź sobie, że haker przejmuje serwery Toyoty, Opla, Forda czy któregokolwiek dużego producenta w Europie. Od ręki może zatrzymać wszystkie samochody tej marki na jednej z autostrad. Nie trzeba dużej wyobraźni, żeby pojąć możliwe konsekwencje.

Brzmi fatalistycznie.

– Pójdźmy dalej. Autonomiczny samochód ze swej natury musi się komunikować z innymi pojazdami na drogach i z całym systemem smart miast: czujnikami natężenia ruchu, sygnalizacjami świetlnymi i tak dalej. Dodajmy jeszcze sieć internetu rzeczy, te wszystkie lodówki, ekspresy do kawy, systemy alarmowe domu, drzwi do garażu itd., itp., z którą auto będzie połączone. Liczba takich przedmiotów w cyberprzestrzeni rośnie i będzie rosła, lecz one też nie są wystarczająco bezpieczne. Dają niewyobrażalne, ekscytujące możliwości, ale wiążą się z równie niewyobrażalnymi zagrożeniami. Dlatego potrzebujemy systemu obrony, który chroni całą sieć naczyń połączonych. Kolejny przykład. Kilka lat temu pewien bank poprosił grupę ludzi, żeby spróbowali się włamać na serwer odpowiadający za wymianę walut. Dostali 24 godziny. Zaczęli od obejścia budynku dookoła. Dotarli do parkingu dla pracowników. Każdy z bankierów miał kartę magnetyczną, która otwierała bramkę wjazdową. Któryś stwierdził: przyjrzymy się mechanizmowi otwierania bramki kartą magnetyczną. Kilka godzin później byli już w systemie banku. Bo nikt od bezpieczeństwa IT wcześniej nie pomyślał, że wszystko jest ze sobą połączone. A mówimy o jednym z największych banków na świecie, który na zabezpieczenia wydaje kosmiczne kwoty.

A jak jest dziś?

– Oswajamy się ze słowem „cyberatak”. Słyszymy o tym w wiadomościach: oprogramowanie WannaCry, Ukraina, powoli to do nas dociera. Ale hakerzy szybko się uczą, szybciej niż my. A to otwiera nowe, przerażające możliwości. Na własny użytek ukułem już określenie „mega terror attacks”. Terroryści, którzy przeprowadzają fizyczne ataki w miastach, korzystający z kłopotliwych organizacyjnie ludzi, broni, materiałów wybuchowych, w końcu staną się przeżytkiem. Taki wyrafinowany technologiczny atak to tylko kwestia możliwości i szansy.

To możliwe?

– A czy kilkanaście lat temu ktoś pomyślał, że uderzenie samolotami pasażerskimi w World Trade Center i Pentagon jest możliwe?

To jak mógłby wyglądać taki „mega terror attack”?

– Nie chcę podpowiadać nieodpowiednim ludziom. Ale uwierz, że od ręki mógłbym ci powiedzieć, jak sparaliżować cały Tel Awiw. A na realizację potrzebowałbym dwóch godzin.

Wyobrażam sobie nabrzeżny bulwar pełen SUV-ów odwożących dzieci do szkoły, które nagle skręcają do rzeki. Co powinni zrobić producenci, żebyśmy czuli się za autonomicznym kółkiem bezpiecznie?

– Powinni spowolnić rozwój tej technologii. Ale boję się, że rynek ma swoje wymogi, więc tak się nie stanie. I ostatecznie to organy regulacyjne będą musiały interweniować, by firmy motoryzacyjne połączyły siły i wymyśliły wspólne rozwiązania.

Czyli nie jesteśmy jeszcze gotowi na samochody autonomiczne?

– Nie. Nie jesteśmy gotowi.

Tekst pochodzi z archiwum „Gazety Wyborczej”

Thumb tem podsumowanie dai

Damian Idzikowski

10:49 16-04-2018 2