Bryr ikke myndighetene seg om cybersikkerhet i dagens og morgendagens kjøretøy? Det er iallfall inntrykket man kan sitte igjen med etter å ha lest debattinnlegget «Cybertruslene mot internettilkoblede biler vil vokse kraftig i årene fremover».
Aller først vil jeg takke for at cybersikkerhet i transportsektoren settes på dagsorden, det er kjempeviktig, men innlegget etterlater et inntrykk av at norske myndigheter er unnfallende og ignorante. Faktum er at Norge er verdensledende, til tross for at vi ikke har en bilindustri!
Statens vegvesen har siden 2009 drevet forskning og utprøving av automatiserte og oppkoblede kjøretøy. Konklusjonen av et stort antall forskningsprosjekter har vært: skal Norge klare å ta ut nytten av automatiserte og oppkoblede kjøretøy må Statens vegvesen ha kunnskap og forståelse av tre områder: posisjonsbestemmelse, kommunikasjon og menneske og maskinlesbar infrastruktur.
Hvorfor skal Statens vegvesen bare ha forståelse og ikke kompetanse på de tre områdene? Svaret er temmelig enkelt, myndighetsansvaret ligger hos andre myndigheter enn Statens vegvesen. At Norge er et av de landene som har mest tillit til det offentlige og tillit mellom offentlige myndigheter, muliggjør effektivt samarbeid. Når det er høy tillit er det også enklere å snakke om de krevende sidene av de tre grunnleggende funksjonene for automatiserte og oppkoblede kjøretøy, det vil si hvordan kan teknologien bli en sikkerhetsutfordring. Det er derfor Statens vegvesen, Nasjonal kommunikasjonsmyndighet, Forsvarets forskningsinstitutt, Justervesenet og Norsk Romsenter har gått sammen om å etablere et «testbed» for cybertrusler knyttet til posisjonsbestemmelse. I uke 38 foregår verdens største åpne test på Andøya der GPS og GNSS systemene blir jammet og narret – Jammetest. Jamming består i å sende ut signaler som overdøver de ekte signalene, narringen består i å sende ut falske signaler som gjør at mottakere (kjøretøy) tror de er helt andre steder enn de er og at de kan sendes fremover og bakover i tid.
Fokusert innsats
Myndighetene er ikke på hæla, men proaktive på dette området. Kan vi bli bedre og gjøre mer? Selvfølgelig, men vi er en liten nasjon og må fokusere vår innsats slik at effekten blir best mulig. I praksis betyr at Norge gjennom EU systemet fortsetter å påvirke bilindustrien og de bilproduserende nasjonene gjennom regulatoriske aktiviteter for å sikre de tradisjonelle angrepsvektorene. Mens der vi ser Norge kan ta en rolle på grunn av naturlige fordeler som fjellene og vegsystemet på Andøya tar vi grep som Jammetest. Andøya er nok det eneste stedet i Europa der man kan gjennomføre denne typen angrep uten å påvirke resten av samfunnet.
Til Jammetest inviteres industri, akademia og myndigheter til å teste sine system under virkelige forhold i åpen luft. Det gir aktørene mulighet til å øve på cybertrusler under virkelige forhold som de ikke har lov til å gjøre ellers. Det er det «testbed»-metodikken handler om, at myndighetene legger til rette for at leverandører og brukere kan utsette systemene sine for farer under kontrollerte forhold. Aktørene som kommer må dekke sine egne kostander gjøre sine egne analyser og vurderinger, mens det offentlige står for lokasjon og sendingsplanene for jamming og narring. Myndigheten krever heller ikke at deltakerne forteller oss hva som skjedde med systemene deres. Men vi legger til rette for en uformell og åpen tone under Jammetest slik at aktørene selv kan dele det de ønsker – og det har de gjort. Her må vi bare takke deltakerne på Jammetest 2022 for deres åpenhet og vilje til å fortelle og forklare.
Prøv selv
Bilprodusentene synes heller ikke det var så morsomt å se deres kjøretøy kjøre opp og ned loddrette fjellvegger på Andøya
Å tukle med posisjonsbestemmelse kan virke som ufarlig, i dag er det få kjøretøy som aktivt bruker GPS/GNSS i aktiv styring av kjøretøyet. Men vi ser at funksjoner for å få vist riktig fartsgrense i kjøretøyet og å tilpasse farten etter kurvatur begynner å bruke GPS/GNSS som inngangsdata. Cyberangrep som jamming og spoofing mot oppkoblede og automatiserte kjøretøy har en effekt på trafikksikkerheten. Bilprodusentene synes heller ikke det var så morsomt å se deres kjøretøy kjøre opp og ned loddrette fjellvegger på Andøya selv om de vitterlig stod i ro på parkeringsplassen.
Om du vil simulere opplevelsen av at noen «tukler» med tiden (GPS/GNSS brukes ofte til å synkronisere tid) så prøv følgende:
- Skru av automatisk tidssynkronisering på telefonen.
- Flytt datoen 1 måned tilbake i tid.
- Prøv å logge deg på nettbanken din med BankID eller en annen app som sender data på en forsvarlig måte over internett.
Effekten du ser er at sikkerhetsmekanismene i kryptoprotokollene på internett har blitt vendt mot deg – kun fordi du har «tukla» med tiden. Da blir det heller ikke enkelt for et kjøretøy å sende og ta imot data.
Om cybersikkerhetsbransjen vil inkludere enda flere, mer kreative og krevende angrepsvektorer i transportsystemet, så er dere hjertelig velkommen til Andøya i 2024 – for i 2023 er det fullt, over 150 eksperter fra hele verden kommer på Norske myndigheters «testbed» for å forbedre og gjøre sine system mer robust!