Polskie Siły Zbrojne wprowadziły całkowity zakaz wjazdu pojazdów wyprodukowanych w Chińskiej Republice Ludowej na tereny chronione jednostek wojskowych. Decyzja, podjęta po kompleksowej ocenie ryzyka, ma ograniczyć możliwość pozyskiwania i przekazywania wrażliwych informacji przez pokładowe systemy kamer, mikrofonów i modemów komórkowych, w które dziś wyposażona jest większość „inteligentnych” aut. Tym samym wojsko dołącza do rosnącej grupy instytucji publicznych na świecie, które uznają pojazd za potencjalne urządzenie szpiegowskie zdolne do nieautoryzowanego gromadzenia danych.
Samochód połączony z siecią – szansa i zagrożenie jednocześnie
Od kilku lat producenci samochodów masowo implementują moduły 5G, radarowe lidary, zestawy kamer o wysokiej rozdzielczości i mikrofony kierunkowe. Technologia ta pozwala na aktualizacje „over-the-air”, zdalną diagnostykę, a nawet na częściową jazdę autonomiczną. Z drugiej strony każdy nadajnik i czujnik staje się wrotami dla cyberprzestępców lub służb wywiadowczych. W raporcie niemieckiego Federalnego Urzędu ds. Bezpieczeństwa Informacji wskazano, że nowoczesne samochody generują średnio 25 gigabajtów danych na godzinę jazdy, w tym szczegółowe mapy obiektów wojskowych, identyfikatory urządzeń mobilnych pasażerów i metadane rozmów prowadzonych przez system głośnomówiący. To wystarczająco dużo, by stworzyć model ruchu wojsk czy infrastrukturę krytyczną konkretnego państwa.
Powody, dla których wojsko powiedziało „nie”
Kluczowym elementem ryzyka jest chińskie ustawodawstwo zobowiązujące rodzimych producentów do współpracy z organami bezpieczeństwa narodowego. Oznacza to, że nawet jeśli europejski użytkownik wyłączy część opcji telematycznych, dane mogą trafić na serwery położone poza jurysdykcją Unii Europejskiej. Sztab Generalny uznał również, że różnorodność firmware’u w autach z Państwa Środka utrudnia przeprowadzenie niezależnego audytu bezpieczeństwa. Co więcej, rozbudowany łańcuch dostaw – od procesorów po oprogramowanie – sprawia, że znalezienie „tylnej furtki” w kodzie może być praktycznie niewykrywalne aż do faktycznego incydentu. Z tych samych powodów armie Stanów Zjednoczonych, Kanady czy Australii ograniczyły używanie chińskiej elektroniki w swoich bazach.
Nowe procedury dla żołnierzy i kontraktorów
Zakaz wjazdu to tylko część działań prewencyjnych. Personelowi zabroniono podłączania urządzeń służbowych do systemów infotainment w chińskich pojazdach, niezależnie od miejsca postoju. W niektórych jednostkach pojawiły się naklejki nakazujące zakrywanie kamer cofania i wewnętrznych wideorejestratorów nawet w samochodach innych marek. Dowódcy otrzymali polecenie wyznaczenia alternatywnych parkingów przed bramami kompleksów wojskowych, tak aby wizytujący mogli pozostawić pojazdy bez tworzenia paraliżu komunikacyjnego. Niewielkie wyjątki obejmują karetki, pojazdy policyjne oraz sprzęt należący do Sił Zbrojnych RP.
Światowe precedensy a polska decyzja
Polska nie jest odosobniona. Amerykański Departament Obrony już w 2020 roku zakazał wnoszenia urządzeń mobilnych zainstalowanych w samochodach produkcji chińskiej na teren Pentagonu. Z kolei rząd Indii zastanawia się nad wprowadzeniem wymogu zgłaszania szczegółowych specyfikacji oprogramowania samochodowego, a Japonia włączyła komponenty telematyczne do krajowej listy krytycznych technologii strategicznych. Co ciekawe, podobne restrykcje funkcjonują również w Chinach, gdzie zagraniczne samochody – zwłaszcza te używane przez dyplomatów – muszą przejść odrębny audit bezpieczeństwa, zanim otrzymają zgodę na wjazd do wybranych stref wojskowych.
Ku certyfikacji cyberbezpiecznego pojazdu
Sztab Generalny zapowiedział, że będzie zabiegał o stworzenie formalnych wymogów certyfikacyjnych dla samochodów z zaawansowanymi systemami monitorowania otoczenia. Propozycja zakłada opracowanie specyfikacji testowych zbliżonych do norm UNECE R155 i R156, które regulują bezpieczeństwo cybernetyczne i aktualizacje oprogramowania w motoryzacji. Wprowadzenie takich standardów miałoby pozwolić na dopuszczanie do ruchu wyłącznie urządzeń, które pomyślnie przejdą niezależny audyt kodu oraz hardware’u. W perspektywie kilku lat może to oznaczać konieczność wystawiania „paszportu cyfrowego” dla każdego nowego pojazdu – dokumentu potwierdzającego, że auto spełnia kryteria bezpieczeństwa informacyjnego na równi z normami emisji spalin czy bezpieczeństwa biernego.
