Na arenie międzynarodowej konsultowane są obecnie nowe przepisy, których celem jest zapewnienie pojazdom bezpieczeństwa cybernetycznego. Jeżeli tworzenie zabezpieczeń zostanie powierzone wyłącznie producentom pojazdów, warsztatom niezależnym grozi wykluczenie z rynku obsługi nie tylko nowych aut.

Cyberbezpieczeństwo niebezpieczne dla IAM

W dzisiejszych czasach większość nowych pojazdów posiada stałą łączność z producentem za sprawą systemów telematycznych. Muszą być one odpowiednio zabezpieczone przed włamaniami, poprzez które nieuprawniona osoba mogłaby przejąć kontrolę nad pojazdem lub generowanymi przezeń danymi. Na świecie znane są już przypadki działań hakerów, którym udało się włamać do systemów pojazdów, powodując szkody lub umożliwiając kradzież. Wraz z rozwojem systemów telematycznych oraz ich funkcji, niezbędne będzie tworzenie szerszych niż dotąd i bardziej niezawodnych zabezpieczeń cybernetycznych.

Obecnie nikt nie kwestionuje tego, że zabezpieczenia powinny być tworzone przez producentów pojazdów, chcących oferować swoim klientom produkt całkowicie bezpieczny i funkcjonalny.

– Problem w tym, że oddanie im całkowitej inicjatywy w tym zakresie, bez przepisów i narzędzi zabezpieczających interesy pozostałych uczestników rynku motoryzacyjnego, może być jednocześnie przyzwoleniem na wykluczenie niezależnych warsztatów z możliwości świadczenia usług utrzymania i serwisu pojazdów. Takie zagrożenie stało się w ostatnim czasie całkowicie realne za sprawą propozycji bezpośredniego wdrożenia dwóch regulaminów EKG ONZ ws. cyberbezpieczeństwa do prawodawstwa Unii Europejskiej Zakładają one oddanie kwestii cyberbezpieczeństwa pojazdu całkowicie w ręce jego producenta. Producent miałby samodzielnie tworzyć wszystkie systemy zarządzania bezpieczeństwem cybernetycznym, samemu je konfigurować, administrować, aktualizować i kontrolować. Zastosowane w zakresie cyberbezpieczeństwa rozwiązania nie podlegałyby kontroli w momencie uzyskiwania homologacji pojazdu, sprawdzano by jedynie, czy takie systemy zostały zastosowane czy nie – mówi Alfred Franke, Prezes Stowarzyszenia Dystrybutorów i Producentów Części Motoryzacyjnych (SDCM).

Cyberbezpieczeństwo narzędziem do wykluczania z rynku warsztatów niezależnych?

Wdrożenie przepisów w takiej formie oznaczałoby wolną rękę dla producentów w zakresie opracowywania rozwiązań blokujących nieuprawnioną – ich zdaniem – ingerencję w systemy pojazdu, także w czasie serwisu.

– Jeżeli regulaminy EKG ONZ zostaną transponowane do prawodawstwa Unii Europejskiej bez żadnych przepisów zabezpieczających prawa wszystkich podmiotów rynku motoryzacyjnego, zapewni to pełną kontrolę producentom samochodów, jako odpowiedzialnym za bezpieczeństwo pojazdu przy ocenie ryzyka, związanego z diagnostyką pojazdów przy użyciu narzędzi skanujących. – mówi Rafał Sosnowski, Prezes Stowarzyszenia Techniki Motoryzacyjnej, Członek Zarządu organizacji EGEA (Europejskie Stowarzyszenie Wyposażenia Warsztatów). – Oznacza to, że producenci pojazdów będą mogli ustanawiać własne normy w oparciu o własną ocenę ryzyka (każdy producent w inny sposób i na innych zasadach), co wpłynie na pozostałych – niezależnych uczestników rynku oraz ich zdolność do działania. Takie subiektywne przepisy przyznają producentom pojazdów zbyt wiele praw bez żadnych zobowiązań, otwierając w ten sposób możliwość całkowitego zamknięcia wszelkiej niezależnej komunikacji z pojazdem oraz jakiejkolwiek konkurencji, w imię „bezpieczeństwa cybernetycznego”. Posługując się językiem przykładów – warsztat nie będący w sieci danego producenta nie będzie mógł wymienić oleju w silniku lub klocków hamulcowych, ponieważ nie będzie miał możliwości wykasowania serwisu olejowego czy błędu „zużycia klocków hamulcowych”. – dodaje Rafał Sosnowski.

W praktyce, próby interwencji serwisowych podejmowanych przez niezależne warsztaty mogłyby być odczytywane przez system zabezpieczeń pojazdu jako cyberatak i natychmiast blokowane. Wszelkie działania w ramach całej architektury pojazdu, wymagałyby autoryzacji producenta i posiadania zweryfikowanego profilu użytkownika. Innymi słowy producent decydowałby, jakie podmioty mają dostęp do jakiej części pojazdu i jakie czynności mogą wykonywać.

Blokowanie dostępu do pojazdów w imię bezpieczeństwa? To już się dzieje!

Niektórym powyższe dywagacje mogą wydawać się problemem odległym czasowo lub mało realnym. Tymczasem podobne działania producentów, choć w mniejszej skali, miały już miejsce na rynku. Wystarczy przypomnieć sobie sytuację sprzed kilku lat, kiedy to koncern Fiat Chrysler Automotive (FCA) jako pierwszy producent samochodów zastosował bramy bezpieczeństwa (Security Gate Way) w swoich interfejsach OBD. Testery niezależnych producentów nie miały wówczas pełnego dostępu do diagnostyki nowo produkowanych aut koncernu. Była ona możliwa wyłącznie w autoryzowanych stacjach obsługi marek FCA. Niezależny warsztat mógł np. odczytać błąd z komputera pojazdu, ale nie miał możliwości wykasowania go. Dopiero na bazie indywidualnych umów z producentem, kolejni niezależni wytwórcy otrzymywali pełny dostęp do diagnostyki. Nie odbywało się to jednak ani szybko, ani bezproblemowo, ani bezkosztowo.

– Dotychczas rozwiązania te były ustalane w umowach dwustronnych pomiędzy producentami pojazdów i producentami skanerów. W przypadku Fiat Chrysler Automotive uzgodniono, że oprogramowanie urządzeń diagnostycznych musi zawierać rozwiązanie składające się z adaptera (wrappera), co wiązało się z dodatkowymi kosztami rozwoju produktów. Aby zdiagnozować pojazdy, użytkownik-mechanik musi zostać zidentyfikowany, a ta usługa także wiąże się z dodatkowymi kosztami. – przypomina Rafał Sosnowski.

Rzecz jasna wyższe koszty ponoszone przez niezależnych producentów wielomarkowych testerów przekładają się na wyższe ceny dla warsztatów. W przypadku jednej czy dwóch marek pojazdów nie było to problemem mocno zauważalnym, dziś wiemy jednak, że zastosowanie Security Gate Way planuje także cały szereg innych producentów. Aktualnie tworzone na forum międzynarodowym prawo nie tylko dopuszczałoby podobne praktyki wśród producentów samochodów, ale nawet rozszerzałoby ich możliwości w tym zakresie. Uprawnione stałoby się całkowite blokowanie dostępu, nawet do najprostszych funkcji diagnostycznych.

Kompromis pomiędzy cyberbezpieczeństwem i wolnym rynkiem jest możliwy

Co zrobić, by niezależne warsztaty nie były w przyszłości traktowane w ten sam sposób co hakerzy czy złodzieje samochodów?

– Konieczna jest skuteczna interwencja na forum unijnym, oczywiście przy wsparciu polskich władz. Organizacje reprezentujące niezależny rynek motoryzacyjny nie są przeciwne rozwiązaniom cybernetycznym, zwiększającym poziom zabezpieczenia pojazdów. Każda ze stron zdaje sobie sprawę z tego, że odpowiednie zabezpieczenie systemów samochodów jest konieczne. Zwolennicy wolnego rynku wskazują, że przyjęcie przez Unię Europejską przepisów proponowanych przez EKG ONZ bez pewnych gwarancji i przepisów, byłoby poważnym naruszeniem rynkowej konkurencji – dodaje Alfred Franke.

Na forum unijnym o kompromisowe rozwiązanie walczy między innymi AFCAR (Sojusz na rzecz wolności naprawy samochodów) , popierany przez federację FIGIEFA oraz stowarzyszenie EGEA. Wśród polskich organizacji zaangażowane w sprawę są Stowarzyszenie Techniki Motoryzacyjnej (STM) oraz Stowarzyszenie Dystrybutorów i Producentów Części Motoryzacyjnych (SDCM). Ich zdaniem optymalnym rozwiązaniem dla rynku byłoby ustanowienie certyfikatu bezpieczeństwa, jednolitego dla całej Unii Europejskiej. Nie można doprowadzić do sytuacji, w której prawodawca UE zrzekłby się odpowiedzialności za zapobieganie praktykom wykluczającym z rynku znaczną część podmiotów.

AFCAR, który wystosował oficjalne stanowisko niezależnego rynku wobec unijnych decydentów proponuje, aby włączeniu rozporządzenia EKG ONZ w sprawie cyberbezpieczeństwa do ram prawnych UE towarzyszyły solidne klauzule wdrożeniowe, określające szereg warunków wstępnych. Musieliby je spełnić producenci pojazdów, by zapewnić, że wszystkie zainteresowane strony nadal będą mogły działać skutecznie, w sposób niedyskryminujący i konkurencyjny. Innymi słowy, organy unijne powinny mieć kontrolę nad niektórymi aspektami zabezpieczeń, wytwarzanych przez producentów. Powinny sprawdzać m.in., czy dostęp do diagnostyki pojazdów przez niezależne podmioty nie jest blokowany i traktowany jako cyberatak. Diagnostyka i obsługa serwisowa powinna być w pełni udostępniona na życzenie właściciela pojazdu, który mógłby autoryzować jej wykonanie we własnym zakresie (np. poprzez podanie warsztatowi unikalnego kodu).

– W ostatnich latach wiele problemów związanych z dostępem do informacji czy możliwości przeprogramowywania sterowników było dyskutowanych i zawsze kończyły się wypracowaniem kompromisu. Jestem przekonany, że i tym razem każda ze stron wykaże się profesjonalizmem, pojazdy będą bezpieczne, a wolny rynek dalej będzie się rozwijał. – podsumowuje Rafał Sosnowski.