Riskabel datadelning

Moderna uppkopplade bilar är en säkerhetsrisk för människor med skyddade personuppgifter.

 

Utsatta kvinnor. Politiska dissidenter som har fått skydd i Sverige. Åklagare och poliser som lagför kriminella. Människor på känsliga poster, som militärer eller politiker. Det finns många skäl att ha skyddade personuppgifter, vilket omkring 20 000 personer i Sverige har i olika grad.

Men det kan innebära stora problem när våra fordon blir allt mer uppkopplade. Fordonstillverkarnas syfte med uppkopplingen är att kunna kontrollera bilen, skicka ut uppdateringar och förmedla andra tjänster som de eller andra kan ta betalt för, till exempel abonnemangstjänster inom navigering, självkörning och fjärrstyrning av fordonet.  Det är stora mängder information som delas, nya fordon kan faktiskt jämställas med en smart telefon, där ägaren och föraren är tvungen att dela med sig av information.

Med alla sensorer och mätdata som finns i moderna bilar går det till exempel att uttolka hur en förare framför fordonet. I vissa fall kan det skapas biometriska känsliga personuppgifter, som reaktionstider och sekvenser i rörelser när föraren interagerar med fordonet.

De människor som har skyddade personuppgifter får härmed problem. I dag kan de inte köpa ett modernt fordon, eftersom de inte kan lita på att fordonet inte är spårat och information inte röjs till andra parter. Det är heller inte alltid bara till företag som informationen delas, i till exempel USA och Kina kräver lagstiftningen att information delges till staten.

Det har lett till att vissa svenska myndigheter som Skatteverket och Kronofogdemyndigheten inte kan använda amerikanska produkter som Teams, samtidigt som Post och telestyrelsen väljer bort kinesiska Huawei. Detta är ännu inte särskilt uppmärksammat inom fordonsindustrin. Men det är bara en tidsfråga och då kommer nya problem att uppstå. Om svenska myndigheter inte kan köpa ett fordon tillverkat av ett företag med amerikanska eller kinesiska ägare, vad händer då?

Digitaliseringen har många sidor och den komplexa uppkopplingen mot internationella parter gör det inte lättare.

Några av de större märkena, som Mercedes/BMW och Audi, har fabriksavdelningar för speciella ”skyddsbilar”. Där kan man göra så att bilen inte delar information. Men för att reparera och serva en bil i dag måste man ladda in programvara och vara uppkopplad mot en server. Vid ett verkstadsbesök kan bilen därmed tömmas på körinformation. Hur kan man vara säker på att den samlade informationen som har skapats i fordonet under drift inte förmedlas till en obehörig part?

Delning av data och information är en sak. En annan utmaning är kontinuerlig anslutning till fordonet via internet för att hantera mjukvaruuppdateringar och andra tjänster. Finns det en anslutning, finns det alltid en aktör som är intresserad av att ”titta” på trafiken. Det hotet är inte bara riktat mot fordonet i sig, utan också mot alla andra anslutna tjänster som fordonet är uppkopplat till och kommunicerar med. Fordonet har kanske hyfsat god säkerhetsnivå, men har alla andra tjänster samma säkerhetsnivå?

Tyvärr är så kallade ”leveranskedjeattacker” mer och mer vanligt förekommande; ett färskt exempel är attacken mot Coop i somras, där leverantören av en produkt blir attackerad genom sin underleverantör. Dagens fordon blir mer och mer komplexa ur ett IT-perspektiv och mer och mer beroende av tredjepartsleverantörer av mjukvara och funktioner. Om bara en central tjänst blir attackerad kan det sprida sig genom infrastrukturen.

De fabriker och leverantörer som kan leverera en ”osynlig” bil har definitivt en marknad, framför allt mot företag som bedriver säkerhetskritisk verksamhet, men det kräver som sagt att service- och reparationsfrågan måste vara löst.

Vad kan vi då göra? Richard Widh på Ancautus, som arbetar med skydd för utsatta personer och nationella intressen, menar att vi framför allt måste ha insikt om vilken situation vi befinner oss i, och vad de moderna fordonen kan göra.

– Vi måste inse att moderna fordon samlar in mycket mer data och information än vad som tidigare har uppfattats och informerats om publikt. Vi måste också förstå att branschen blir mer och mer IT-inriktad och då ställs det krav på cybersäkerhet och ett strukturerat informationssäkerhetsarbete. Inte bara på fordonen och de anslutna verktygen, utan också på återförsäljare, verkstäder och relaterade tjänster.

Det finns personer och organisationer som har stora skyddsbehov och insamlingen av data och information kan skada dem om informationen röjs, fortsätter Richard Widh.

– Branschen måste lyfta detta problem ordentligt i alla forum och på alla nivåer, genom att ställa krav på biltillverkarna och dem som nyttjar fordonsdata. Vissa biltillverkare har gått så långt att de definierar nästan all data som genereras i bilen som fordonsdata som de anser att de har rätt till. Den personliga integriteten för nyttjarna av fordonen tas inte alls i beaktning, men att värna om utsatta och människor som lever med en hotbild är allas ansvar. Verkstäder och serviceställen måste också kunna bedriva arbete på fordonen utan att riskera att data och information röjs.

Data är framtidens guld och alla parter slåss om att ha tillgång till det. Men det måste vara säkert för utsatta, och här har branschen en stor utmaning.

 

Nella Bergström

Kommentera

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *