Регулирование / Статьи
информбезопасность сервисы технологии
10.3.2023

Ящик Пандоры на колесах

Кто собирает и управляет личными данными автовладельцев

Автопроизводители и бизнес экспериментируют с цифровыми сервисами, а государства лишь начинают разрабатывать и внедрять национальные системы по сбору данных автовладельцев. Собеседники RSpectr считают, что законодательные нормы будут вводиться быстрее при наличии общественного резонанса, который могут создать утечки данных автовладельцев.

ПО ПРАВИЛАМ ЗАЩИТЫ ПЕРСДАННЫХ

С 1 марта в городе Уси китайской провинции Цзянсу начал действовать первый в КНР региональный закон о развитии интернет-технологий для интеллектуальных транспортных средств. Он предусматривает особую защиту личной информации.

Конфиденциальные данные автовладельцев, собранные с помощью цифровых технологий, должны храниться на внутренних серверах, а любые сведения трансграничного характера должны проходить усиленную проверку безопасности

Каких-либо конкретных правовых актов, регулирующих постоянный сбор данных автомобилем, до сих пор не было ни в одной стране мира, рассказал RSpectr генеральный директор юридической компании «Гебель и партнеры» Сергей Гебель. Аналогичный принятому в Китае закон пытались провести и в США, однако пока его судьба остается неизвестной, отметил он.

В большинстве стран специального регулирования для автопроизводителей нет, подтвердил RSpectr управляющий партнер консалтинговой компании MINDSMITH Руслан Юсуфов. В отношениях с потребителями на них распространяются общие правила обработки персональных данных (ПД). Например, 152-ФЗ в России, GDPR в Евросоюзе или LGPD в Бразилии. Эксперт посетовал, что законодательство о ПД порой защищает не потребителей, а бизнес.

Руслан Юсуфов, MINDSMITH:

– Мы подписываем бумажки с длинным списком компаний, которые получают наши ПД каждый день, и сегодняшний парадокс в том, что без галочки о согласии мы ограничим себя в правах. Не поставил ее, не отправил селфи с паспортом – не поехал в командировку, не открыл счет в банке, не получил доступ к сервису, не участвуешь в переписке, не можешь осуществлять видеозвонки.

В законодательном регулировании цифровой безопасности автомобилей важным шагом стал пакет документов, принятый на базе Комиссии ООН (UN R155, R156). Он предполагает введение обязательной системы сертификации автопроизводителей и их поставщиков с точки зрения обеспечения кибербезопасности, рассказал RSpectr эксперт по транспортной безопасности «Лаборатории Касперского» Михаил Савушкин. Ожидается, что эти правила будут локализованы и в России, уточнил он.

Сергей Гебель напомнил, что в нашей стране уже несколько лет разрабатывается платформа «Автодата», которая должна организовать централизованный сбор данных и допустить к этому процессу самих водителей. Соответствующий ГОСТ Р 59237-2020 утвержден и уже введен в действие.

В настоящее проект «Автодата» находится на третьем этапе и предзапуске, в ближайшее время стартует пилотное тестирование с нашими партнерами, рассказали RSpectr в пресс-службе НТИ Автонет. Там отметили, что на первых двух этапах была выполнена разработка:

  • пользовательских требований и концепция платформы «Автодата»,
  • техзадания на создание системы, эскизное и техническое проектирование,
  • ряд макетов, позволивших наиболее детально спроектировать систему. 

НТИ Автонет, пресс-служба:

– На третьем этапе разрабатывается программное обеспечение первой очереди платформы «Автодата», обеспечивающих полный цикл, начиная от получения данных от нескольких источников, их предварительной верификации и обработки, хранения и формирования продуктов – наборов данных, размещаемых на продажу в каталоге данных платформы «Автодата».

В НТИ Автонет отметили, что

старт опытной эксплуатации платформы «Автодата» планируется до конца 2023 года

Помимо реализации платформы проводится целый ряд маркетинговых мероприятий по подготовке к коммерциализации продукта, включающих разработку платформы бренда компании оператора платформы «Автодата», проведения маркетинговых исследований, установлению договорных взаимоотношений с поставщиками данных и другими партнерскими компаниями, необходимых для запуска продаж продуктов платформы.

Уже подписано большое количество партнерских соглашений с крупнейшими игроками рынка в различных сферах.

ISS обсуждает с «Автодатой» возможные варианты сотрудничества и партнерства, подтвердил руководитель проекта «Паркоматика» компании ISS Павел Серебряков.

ПОРТРЕТ ВОДИТЕЛЯ

Объем мирового рынка подключенных автомобилей, то есть оснащенных выходом в интернет или использующих беспроводные локальные сети, в 2022 году оценивался в 66,4 млрд долларов. По прогнозам, к 2032 году он увеличится более чем в четыре раза. Соответственно, вырастет и количество данных, которые генерируют умные машины.

Современная машина – робот на колесах: она взаимодействует с телефонами, мобильными приложениями, внешней инфраструктурой, например, платежными терминалами, системами умного города, обладает Bluetooth- и Wi-Fi-интерфейсами, констатировал в разговоре с RSpectr Михаил Савушкин. Он напомнил, что

автомобиль собирает множество данных: начиная от скорости поездки и режимов работы коробки передач, заканчивая информацией о самочувствии водителя и музыке, которую он предпочитает

Михаил Савушкин, «Лаборатория Касперского»:

– Такие сведения дают возможность сформировать довольно точный портрет конкретного водителя, что позволяет дополнительно генерировать прибыль автопроизводителям. Например, продавать дополнительные сервисы: автопилот, навигация, потоковая музыка.

Автомобиль, расширяя свои функции по сбору данных, превращает автопроизводителя, а также банк, лизинговую компанию, провайдера в дата-агрегаторов, отметил Руслан Юсуфов. По его словам, IT-компании уже сейчас берут на себя роль регулировщиков дорожного движения – навигационные системы строят маршрут исходя из загрузки города.

Однако попадание этой информации в руки злоумышленников создает реальные угрозы конфиденциальности, говорит Сергей Гебель. По координатам довольно легко идентифицировать конкретного человека, что может использоваться для слежки, сбора информации о нем и в иных противоправных целях.

Михаил Савушкин, «Лаборатория Касперского»:

– Учитывая, что все больше автомобилей становятся подключенными, и уже около 80% атак происходят удаленно, вопрос безопасности данных от киберзлоумышленников очень актуален.

Современный автомобиль – это устройство интернета вещей, расширяющее свои функции за счет Сети. Но цифровая машина – это один из множества ящиков Пандоры, который человечество открывает в погоне за комфортом, отметил Руслан Юсуфов.

ДРУЗЬЯ ЧЕЛОВЕКА

За последние годы автоиндустрия обросла множеством цифровых сервисов. Приложение «Паркоматика» получает только те данные, которые нужны для предоставления сервисов – оплаты с единого счета автомобильных услуг и управления автопарком, рассказал RSpectr Павел Серебряков.

Эксперт пояснил, что, в случае если клиент использует функцию автопарковки, сервис получает данные от телематических устройств автомобилей: о геолокации транспортных средств и данные акселерометра. С помощью этой информации компания определяет необходимость запуска парковочной сессии, ее продления и завершения.

Платформа Exodrive не собирает сведения об автовладельце, а накапливает статистику опасных маневров машины, пояснил RSpectr генеральный директор Exodrive Евгений Черных. По его словам, эта информация обрабатывается искусственным интеллектом и сообщает водителю его скоринговый балл, а также дает рекомендации по снижению риска попадания в аварию.

Евгений Черных, Exodrive:

– Нейросеть оценивает степень риска возникновения ДТП или, другими словами, анализирует паттерны вождения, сопоставляет их с накопленными ретроспективными данными.

Глава Exodrive подтвердил, что компания проводит пилотные проекты с крупными автопарками, страховыми и лизинговыми компаниями России. Запущено более 30 подобных экспериментов.

По словам Павла Серебрякова, автопарк – клиент «Паркоматики» может отказаться от передачи данных в любой момент. Но тогда сервис не сможет и предоставлять услуги, такие как оплата парковки, мониторинг и оплата всех штрафов, оплата проезда по платным дорогам, онлайн-инспекция автомобиля и другие.

Павел Серебряков, ISS:

– Покупатель должен иметь право выбора: отдавать данные автопроизводителю или нет. Например, соглашаясь на активацию системы потенциальной блокировки автомобиля, он получает более выгодные кредитные условия, так как у банка появляется дополнительный и очень действенный инструмент стимулирования своевременных выплат.

ТЕХНОЛОГИИ И БЕЗОПАСНОСТЬ

Подобный патент зарегистрировал Ford в феврале 2023 года. Компания уверяет, что не планирует внедрять изобретение, и подчеркивает, что даже в случае использования новшества блокировка может быть кратковременно снята в случае чрезвычайной ситуации.

Если компания регистрирует патент, то она однозначно планирует его монетизировать, пояснил RSpectr член комитета Торгово-промышленной палаты (ТПП РФ) по предпринимательству в сфере медиакоммуникаций Павел Катков. По его словам, маркетологи и технологи Ford понимают, что в скором времени это будет актуально.

Павел Катков, Торгово-промышленная палата РФ:

– Это означает, что в случае массового внедрения все будут платить компании Ford роялти за использование данного решения.

Этот функционал Ford по системе «восстановления в имущественных правах» (repossession computer) будет снижать риски финансовых организаций. В случае просрочки платежа по автокредиту отключать функции автомобиля, а при установке на беспилотник – автоматически перевозить автомобиль на точку для эвакуации, на парковку банка или на свалку, объяснил Руслан Юсуфов. Но пока непонятно, как это повлияет на безопасность автовладельцев и пассажиров, отметил эксперт.

Он считает, что технологии будут стимулировать новые сервисные бизнесы, появится индустрия для страхования ущерба от таких систем. Например, если «восстановление в имущественных правах» включилось в гараже и автомобиль протаранил ворота. Но начнет развиваться и серый рынок.

Руслан Юсуфов, MINDSMITH:

– Автовладельцы будут покупать кастомные прошивки, хакерские автосервисы – их устанавливать, автопроизводитель – платить юристам за преследование такой практики.

Злоумышленники обязательно воспользуются разработкой Ford, считает управляющий партнер MINDSMITH. Так, за взломом банка или лизинговой компании может последовать массовый угон всех автомобилей в залоге или в лизинге.Или проправительственные хакерские группировки в целях саботажа смогут устроить транспортный коллапс, создавая пробку из десятков автомобилей-зомби.

Подобные вопросы на стыке техники, технологий, права и этики требуют кросс-дисциплинарной проработки, убежден Руслан Юсуфов.

Вместо определения областей точечного регулирования следует работать над общей стратегией взаимодействия государства и бизнеса по защите ПД, в которой и автопром займет свое место, высказал RSpectr свою точку зрения декан факультета «Цифровая экономика и массовые коммуникации» МТУСИ Сергей Гатауллин.

Эксперт МТУСИ отметил, что

одним из решений защиты конфиденциальных данных от компрометации может стать использование специальных протоколов многосторонних облачных вычислений

В этом случае стороне вычислений раскрывается только необходимая для обработки часть данных.

Наталия Черкасова

Изображение: RSpectr, Adobe Stock, Freepik

Еще по теме

Насколько эффективной будет маркировка синтезированного нейросетью контента

Как повлияет система обязательного страхования от утечек на операторов ПД

Каким стал профиль современных киберугроз

Готовы ли госкорпорации тратить из бюджетов не менее 70% на ПО-вендоров

Зачем операторам связи упростят доступ в многоквартирные дома

Как бизнес будет работать с биометрической информацией в новых условиях

Как попасть и не выпасть из реестра провайдеров хостинга

Какие меры безопасности примут провайдеры для борьбы с нелегальными доменами

ФСТЭК, НКЦКИ и Минцифры обозначили приоритеты в защите КИИ, госинформсистем и персональных данных

Почему безопасность «с пеленок» станет неотъемлемой частью всех киберсистем

Власти и участники телеком-рынка оценили перспективы защищенности суверенной информационной инфраструктуры

Что сейчас обсуждают специалисты по защите персональных данных

Почему компаниям не надо быть святее Папы Римского при защите персональной информации

Чего ожидать от нейросетей и как избежать необратимых последствий

Что нужно знать юристу, решившему работать в ИТ-компании