Высокоавтоматизированные транспортные средства: угрозы информационной системе безопасности и правовая ответственность.
В работе рассматриваются современное состояние и перспективы развития в России беспилотных (высокоавтоматизированных) транспортных средств. Исходя из стратегической установки, направленной на то, что функционирующие в беспилотном режиме транспортные средства должны поэтапно включаться в уже сложившуюся транспортную систему, не подвергая опасности других участников дорожного движения и обеспечивая соблюдение Правил дорожного движения, в статье дается подробный анализ уязвимостей и рисков, с которыми приходится сталкиваться при разработке и эксплуатации высокоавтоматизированных транспортных средств. Мировая практика показывает, что в обеспечении безопасности функционирования беспилотных транспортных средств большую роль играют не только технические и организационные средства, но и правовые меры. Авторы предлагают разработку правовых мер, направленных на предотвращение причиняемого беспилотными транспортными средствами вреда, осуществить в рамках гл. 27 Уголовного кодекса Российской Федерации <*> "Преступления против безопасности движения и эксплуатации транспорта".
<*> Уголовный кодекс Российской Федерации от 13 июня 1996 г. N 63-ФЗ (ред. от 27.10.2020) // СПС "КонсультантПлюс".
С 2015 г. в России активно развиваются технологии, необходимые для создания беспилотных автомобилей. Будущее автономных автомобилей в России зависит от ряда факторов, в том числе от развития дорожной сети, ее адаптации к "умным автомобилям", особенно в регионах. Если для таких транспортных средств не подготовить соответствующие дороги, то спроса на них, как считают специалисты, не будет <1>. В связи с этим в Стратегии развития автомобильной промышленности Российской Федерации на период до 2025 г., утвержденной распоряжением Правительства РФ от 28 апреля 2018 г. N 831-р <2>, подчеркивается, что "особую значимость для успешного развития беспилотного (автономного) транспорта приобретет усовершенствование и создание новой дорожной и информационно-телекоммуникационной инфраструктуры, обеспечивающей беспилотные (автономные, самоуправляемые) транспортные средства необходимыми сервисами и информацией". Высоко- и полностью автоматизированные транспортные средства (ВАТС), функционирующие в беспилотном режиме (БПТС), должны поэтапно включаться в уже сложившуюся транспортную систему, не подвергая опасности других участников дорожного движения и обеспечивая соблюдение установленных правил дорожного движения.
<1> См.: Шадрина Т. Без руля, но с головой // Российская газета. 2018. 22 мая.
<2> Распоряжение Правительства РФ от 28 апреля 2018 г. N 831-р (ред. от 22.02.2019) // СЗ РФ. 2018. N 19. Ст. 2804.
В Российской Федерации в нормативных правовых актах используется термин "высокоавтоматизированное транспортное средство". Под ним понимается транспортное средство, в конструкцию которого внесены изменения, связанные с его оснащением автоматизированной системой вождения. В свою очередь автоматизированные системы вождения рассматриваются как программно-аппаратные средства, осуществляющие управление транспортными средствами без физического воздействия со стороны водителя, с возможностью автоматического отключения при воздействии водителя на органы управления для перехода в режим ручного управления при необходимости, в том числе для предотвращения дорожно-транспортного происшествия <3>.
<3> См.: Постановление Правительства РФ от 26 ноября 2018 г. N 1415 "О проведении эксперимента по опытной эксплуатации на автомобильных дорогах общего пользования высокоавтоматизированных транспортных средств" (вместе с Положением о проведении эксперимента по опытной эксплуатации на автомобильных дорогах общего пользования высокоавтоматизированных транспортных средств) // СПС "КонсультантПлюс".
В высокоавтоматизированные транспортные средства интегрируется множество технологий, позволяющих осуществлять безопасную и эффективную транспортировку без участия водителя. Механизмы соединения поддерживают связь между транспортными средствами и инфраструктурой, обмен данными, такими как положение, скорость движения и т.д. Каждая из этих функций подключения предназначена для поддержки последующей автоматизации, которая преобразует роль водителя из участника дорожного движения в наблюдателя-контролера, делегируя функции, ранее выполнявшиеся людьми, технологиям. Автоматизация управления достигается за счет непрерывного анализа окружающей среды сенсорами и заранее определенными знаниями, такими как карты, сведения о покрытии, для планирования деятельности транспортного средства. В ВАТС используются многофункциональные программно-аппаратные комплексы, включающие датчики: лидары, радары, камеры, GPS, одометры, гиросистемы и пр.; системы обмена данными с дорожной инфраструктурой, работающие по GPRS, 5G, Wi-Fi и другим стандартам; программное обеспечение, управляющее системами транспорта, включая системы машинного зрения, нейросети анализа ситуации на дороге <4>.
<4> См., например: Власов В.М., Жанказиев С.В., Николаев А.Б., Приходько В.М. Телематика на автомобильном транспорте / под ред. В.М. Приходько. М.: Московский автомобильно-дорожный ин-т, 2003. 173 с.; Жанказиев С.В. Интеллектуальные транспортные системы: учеб. пособие. М.: МАДИ, 2016. 120 с.
Разработка и коммерческий выпуск ВАТС в значительной степени обусловлены возможностью производить быстрые, надежные, экономичные транспортные средства, а также поддерживать надежную и устойчивую транспортную инфраструктуру. Развитие ВАТС неизбежно требует привлечения вычислительных ресурсов. Однако, как и во всех информационно-технологических инфраструктурах, повышение уровня функциональности и сетевого взаимодействия повышает вероятность атак <5>. Таким образом, глубокая автоматизация создает и усиливает риски безопасного дорожного движения за счет уязвимостей программного обеспечения и каналов связи, а также за счет появления новых векторов атак - кибератак на транспортные системы. Это делает крайне актуальным решение вопросов кибербезопасности при обеспечении безопасности дорожного движения.
<5> См.: Hamida E., Noura H., Znaidi W. Security of Cooperative Intelligent Transport Systems: Standards, Threats Analysis and Cryptographic Countermeasures // Electronics. 2015. Vol. 4. P. 380 - 423; Kornwitz J. The cybersecurity risk of self-driving cars // Phys.org. 2017. 16 February; Jouini M., Arfa Rabai L.B. Threat classification: State of art // Handbook of Research on Modern Cryptographic Solutions for Computer and Cyber Security / eds. by de Brij Gupta, Dharma P. Agrawal, Shingo Yamaguchi. IGI Global, 2016. P. 368 - 392.
Значительные исследовательские усилия прилагаются к выявлению уязвимостей, разработке методов снижения рисков, а также определению рисков компрометации транспортных средств и связанных с ними инфраструктур. Эксперты в области информационной безопасности на регулярной основе выявляют уязвимости датчиков, механизмов управления и подключения, а также уязвимости в используемых технологиях, в том числе машинного обучения, которые в настоящее время активно применяются производителями ВАТС.
Уязвимости транспортных средств высокой автономности. Уязвимости ВАТС классифицируют по типу устройств, имеющих такие дефекты.
1. Уязвимости инерциальных датчиков. Инерциальные измерительные устройства, или инерциальные датчики, используются для получения данных о скорости, ускорении и ориентации. Устройства представляют собой комбинации акселерометров и гироскопов. Эти датчики следят за динамикой окружающей среды и обеспечивают транспортное средство необходимой информацией. Например, гироскопы и датчики наклона могут определять изменение уклона дороги и соответствующим образом регулировать скорость движения автомобиля для обеспечения безопасной эксплуатации.
Указанные устройства обеспечивают обратной связью систему управления и могут инициировать значительные изменения в поведении транспортного средства. Компрометация датчика с целью имитации ложных, но реалистичных данных о характере движения транспортного средства приведет к тому, что системы управления будут реагировать не адекватно фактической дорожной обстановке. Компрометация примитивного датчика может спровоцировать серьезное нарушение функциональности транспортного средства. Например, имитация того, что транспортное средство в данный момент находится на крутом уклоне, способна заставить транспортное средство двигаться на очень низких скоростях и вызвать как задержку, так и аварийную ситуацию на дороге.
Для предотвращения низкоуровневой атаки могут быть использованы механизмы шифрования данных в коммуникационной сети автомобиля. Это может гарантировать, что поддельные сигналы не будут легко введены в сеть. Второй способ заключается в тщательном контроле поведения сигналов, чтобы убедиться, что они находятся в разумных пределах и не демонстрируют аномальных значений. Третий механизм снижения рисков - использование дополнительных датчиков для обеспечения вторичного источника измерения другого типа. Например, использование GPS и картографических данных может помочь определить, находится ли в действительности автомобиль в данный момент на крутом склоне.
2. Уязвимости датчиков состояния двигателя. Датчики состояния двигателя используются для сбора данных для регулирования его работы. К ним относятся датчики температуры, расхода воздуха, выхлопных газов, детонации и пр. Например, датчики расхода воздуха используются для регулировки количества топлива, необходимого двигателю для достижения желаемой мощности. Эти датчики использовались на транспортных средствах задолго до введения уровней автоматизации и связи между транспортными средствами. В настоящее время для атаки на датчики состояния двигателя чаще всего к транспортному средству требуется физический доступ. Однако по мере расширения возможностей внутренних и внешних коммуникаций ВАТС возникают риски атак и на такие примитивные датчики.
Снижение угроз от указанной уязвимости требует внедрения криптографического решения для обеспечения целостности данных и их подлинности. Вместе с тем проблема реализации криптографического решения в реальном времени заключается в накладных расходах на интеграцию криптозащиты, а также задержку обмена критически важными данными, вызываемую дополнительными криптографическими вычислениями.
3. Уязвимости систем контроля давления в шинах. Системы контроля давления в шинах - это небольшие датчики, которые расположены на клапане каждой шины. Этот датчик мал и обладает примитивной функцией по сравнению со сложностью всего транспортного средства. В то же время передаваемая информация имеет высокую значимость для безопасности движения. В связи с чем в США с 2007 г. наличие датчиков стало обязательным законодательным требованием для всех транспортных средств, которые должны быть оснащены датчиками давления, в Европе - с 2012 г.
Последствия атаки на датчики давления в шинах приводят к тому, что водителю будет представлена неверная информация. Она может заключаться как в имитации ложного изменения давления в шинах (резкое падение, имитирующее прокол), так и в ложной информации о нормальном состоянии. Ложная информация о резком падении давления может вызвать у водителей или управляющей системы опасную для дорожного движения реакцию - аномальный маневр, резкую остановку. Сокрытие действительного предупреждающего сообщения о давлении в шинах может привести к тому, что водитель упустит возможность довести транспортное средство до безопасной и контролируемой остановки, создаст аварийную ситуацию.
4. Уязвимости лидаров. Лидары (Lidar - Light Identification, Detection and Ranging) - это технология получения и обработки информации дистанционного зондирования с помощью активных оптических систем (лазеров, светодиодов), использующих в том числе явления отражения света от поверхности Земли для проведения высокоточных измерений координат транспортного средства. Данная технология активно используется в качестве датчика положения в автономных транспортных средствах. В то же время отсутствие возможности валидировать достоверность рассчитанных координат, кроме как другим датчиком, открывает потенциал для подмены, обмана и помех участникам движения. Все это можно сделать с помощью бытового, недорогого оборудования.
Одной из мер противодействия атакам на лидары является использование различных длин волн лазера для усложнения атаки и повышения ее стоимости. Но это повышает требования к датчикам и делает их более дорогими. Использование безопасных лидаров снижает прибыль производителей ВАТС, что актуализирует вопрос об ответственности и регулировании требований к безопасности используемых технологий.
Еще одним подходом для снижения рисков атаки является обмен показаниями датчиков между транспортными средствами. Это может привести к тому, что скомпрометированное измерение будет использоваться не только атакованным, но и другими транспортными средствами.
5. Уязвимости камер. Камеры (стерео- или моновизионные) и инфракрасные системы используются в ВАТС для обеспечения статического и динамического обнаружения препятствий, распознавания объектов и получения всеобъемлющей информации об окружении ВАТС. Разница между системами моно- и стереовидения заключается в количестве используемых камер. Моновизионные системы нуждаются в дополнительной информации с других датчиков для повышения точности определения таких значений, как, например, глубина. Стереосистемы используют данные с двух камер, что позволяет глубину рассчитать.
Многие современные камеры содержат приборы с зарядовой связью и комплементарный металлооксидный полупроводниковый датчик. Уязвимостью таких камер является то, что датчик может быть частично отключен с расстояния трех метров с помощью маломощного лазера. Такой лазер может быть извлечен из обычного CD-плеера.
Еще один вектор атаки на камеры - атака на функцию автоматической коррекции экспозиции камеры, где чувствительность и экспозиция снижаются в условиях повышения освещенности. Дополнительный свет может поступать от мощного фонаря или фар автомобиля. Это способно привести к тому, что камера не сумеет распознать как дорожный знак обочину дороги или пешехода.
Реализуя такие уязвимости, злоумышленники могут легко совершить атаку, направив яркий свет на транспортное средство. Легкодоступные, компактные, мощные фонари могут ослепить камеры автомобиля. Следует отметить, что интенсивный свет собственной системы освещения также способен отразиться в сторону транспортного средства. Например, транспортное средство или здание с особенно отражающей и вогнутой поверхностью может обеспечить достаточную фокусировку солнца, чтобы отключить камеры транспортного средства. Подобным образом атаку может произвести злоумышленник с помощью зеркальной поверхности. Потенциальные последствия таких атак весьма велики. Выведение из штатного режима функционирования системы мониторинга способно привести к тому, что транспортное средство не обнаружит физического препятствия или человека, что в свою очередь приведет к аварии.
6. Уязвимости модулей управления транспортными средствами. Все современные транспортные средства используют блоки управления двигателем (ЭБУ, Engine Control Module - ECM, контроллер двигателя) для обеспечения функциональности транспортного средства посредством сбора, обработки и управления электронными сигналами. Уязвимости, непосредственно нацеленные на ЭБУ автомобиля и влияющие на них, подразделяются на следующие категории:
- уязвимости силового агрегата. Силовой агрегат контролирует более 100 факторов, управляет системами зарядки, трансмиссиями, выбросами и контролем с помощью модулей управления;
- уязвимости системы безопасности движения. Система безопасности отвечает за предотвращение столкновений, развертывание подушек безопасности и активное торможение;
- уязвимости модуля управления корпусом. Модуль управляет электрическими стеклоподъемниками, зеркалами, кондиционером, иммобилайзером и замком;
- уязвимости каналов передачи данных. К каналам ВАТС относятся коммуникации между непосредственно компонентами ВАТС и управляющим смартфоном водителя, радио ближней связи (DSRC) и т.п.
Из-за большого количества и функциональности управляющих модулей и микропроцессоров программное обеспечение, управляющее ВАТС, может содержать порядка ста миллионов строк программного кода. По мере роста числа строк кода становится невозможным проводить его тщательный анализ для оценки потенциальных последствий для безопасности. Это приводит к высокой вероятности неизвестных уязвимостей. Указанные уязвимости часто связаны с тем, что злоумышленник компрометирует часть механизмов управления транспортным средством. Подобное может произойти в результате успешной атаки, например, на сенсорную сеть автомобиля (датчики) или прямого перехвата управления тем или иным модулем при непосредственном к нему подключении.
Еще один вектор атак - перезапись микропрограммного обеспечения модулей управления с целью управлять движением автомобиля. В ряде современных моделей ВАТС не предусмотрены меры безопасности, препятствующие загрузке злоумышленниками новой прошивки. Изменение микропрограммного обеспечения ЭБУ имеет серьезные последствия, так как оно может полностью перепрограммировать поведение автомобиля, в результате чего он становится угрозой общественной безопасности. Микропрограммное обеспечение может быть изменено или заменено путем выполнения обновления через бортовой диагностический порт (OBD). Процедура относительно проста для выполнения. Проблему создает лишь тот факт, что для устранения функциональных и прочих недостатков безопасности ВАТС потребуется регулярное обновление программного обеспечения. Текущие механизмы выполнения обновлений программного обеспечения ЭБУ посредством физического подключения к блоку управления будут неосуществимы из-за необходимости обновлять большое количество ВАТС. Проведение таких операций человеком требует внешнего контроля, а альтернативное использование удаленного, в том числе беспроводного, обновления, создает риски компрометации механизма обновления посредством замены обновлений микропрограммного обеспечения в исходном коде вредоносным кодом.
Хотя имеется огромное количество литературы, посвященной различным компонентам внедрения безопасного механизма дистанционного обновления и контроля кода программного обеспечения транспортных средств, существуют неопределенность и отсутствие консенсуса относительно того, как будут внедряться предлагаемые методы и какой риск останется.
7. Уязвимости коммуникационной инфраструктуры. Для того чтобы транспортные средства могли взаимодействовать с водителем, другими автомобилями и дорогой, они должны использовать широкий спектр коммуникационных технологий. Механизмы коммуникации классифицируются на транспортное средство к транспортному средству (V2V), транспортное средство к инфраструктуре (V2I) и облачную коммуникацию.
Соединение ВАТС со множеством различных коммуникационных механизмов неизбежно приведет к тому, что они будут либо доступны через общедоступную инфраструктуру (например, интернет), либо транслировать свои данные в такие инфраструктуры через публичное пространство. Как и прочие ИТ-инфраструктуры, ВАТС подвержены опасности крупномасштабных, автоматизированных и вредоносных атак. Особую значимость в безопасности инфраструктур и объектов ВАТС приобретает то, что атака может причинить непосредственный вред имуществу, здоровью и жизни человека.
8. Уязвимости, формируемые за счет производственных процессов. Технологии, на которых основаны системы CAV, все еще развиваются. Эти технологии еще не подвергались значительному и финансово мотивированному давлению. Однако по мере того, как автоматизация и коммуникационные технологии становятся все более распространенными в транспортных средствах, повышается и интерес к обнаружению их уязвимостей, поскольку автомобильная киберпреступность становится материально выгодной. Одной из системных проблем безопасности ВАТС является сам характер производственного процесса, когда конечный производитель ВАТС использует целый ряд технологий (аппаратное обеспечение, программное обеспечение и инфраструктуру) без глубокого понимания последствий для безопасности. Например, электронная микросхема, используемая в одном из блоков управления, может иметь уязвимость, которая неизвестна изготовителю блока управления. Это способно привести к обнаружению уязвимостей, которые неизвестны производителю, но являются целью для легкой в реализации атаки злоумышленников.
Выводы. Информационные системы, связанные с управлением ВАТС, как было показано, содержат уязвимости и проблемы, характерные для любой информационной системы, однако последствия реализации атак на них гораздо масштабнее и сопровождаются возможным причинением вреда жизни, здоровью людей, нанесением материального ущерба. Мировая практика показывает, что при обеспечении защиты информационных систем большую роль играют не только технические и организационные средства, но и юридическая защита.
Первой попыткой регламентации отношений в сфере использования беспилотных транспортных средств, в том числе затрагивающей вопросы ответственности, является Постановление Правительства Российской Федерации от 26 ноября 2018 г. N 1415 "О проведении эксперимента по опытной эксплуатации на автомобильных дорогах общего пользования высокоавтоматизированных транспортных средств", закрепившее положение о том, что ответственность за дорожно-транспортные и иные происшествия на автомобильных дорогах Российской Федерации, произошедшие с участием высокоавтоматизированного транспортного средства при проведении эксперимента, при отсутствии виновных действий других участников дорожного движения, приведших к данному дорожно-транспортному или иному происшествию на автомобильной дороге, несет собственник высокоавтоматизированного транспортного средства (п. 18) <6>.
<6> Постановление Правительства Российской Федерации от 26 ноября 2018 г. N 1415 "О проведении эксперимента по опытной эксплуатации на автомобильных дорогах общего пользования высокоавтоматизированных транспортных средств" (ред. от 22.02.2020) // СПС "КонсультантПлюс". Подходы к формированию ответственности за причинение вреда беспилотником авторами представлялись в ряде научных работ. См., например: Коробеев А.И., Чучаев А.И. Беспилотные транспортные средства: новые вызовы общественной безопасности // Lex Russica. 2019. N 2 (147). С. 9 - 28; Коробеев А.И., Чучаев А.И. Нарушение безопасности робомобилей как самостоятельное общественно опасное деяние // Уголовное право. 2019. N 3. С. 37 - 48; Чучаев А.И., Маликов С.В. Ответственность за причинение ущерба высокоавтоматизированным транспортным средством: состояние и перспективы // Актуальные проблемы российского права. 2019. N 6 (103). С. 117 - 124; и др.
Применительно к информационной системе ВАТС может показаться, что ответственность за причинение вреда высокоавтоматизированным транспортным средством полностью охватывается нормами гл. 28 Уголовного кодекса Российской Федерации (далее - УК РФ). Такой взгляд представляется односторонним, поскольку ВАТС не сводится исключительно к информационной системе, но также включает собственно транспортное средство и дорожную инфраструктуру.
Размывание ответственности за причинение вреда беспилотником по нормам глав о компьютерных преступлениях, преступлениях против личности и собственности не позволяет установить специфику новых складывающихся общественных отношений - безопасности движения и эксплуатации ВАТС, не отражает его социальной сущности и направленности. Более того, пробелы нормативного регулирования в гл. 28 УК РФ "Преступления в сфере компьютерной информации" не позволяют парировать угрозы, возникающие в связи с введением в эксплуатацию беспилотников. Изложенное дает основания утверждать, что необходимо формулирование ряда новых статей - и не в гл. 28 УК РФ, а в гл. 27 УК РФ "Преступления против безопасности движения и эксплуатации транспорта", посвященных ВАТС.
Вместе с тем приходится признать, что с наибольшим количеством проблем законодатель столкнется в процессе регламентации именно уголовной ответственности за преступления данной категории. Это вполне объяснимо: во-первых, российскому уголовному законодательству пока не знаком институт уголовной ответственности юридических лиц. Но даже после его возможного введения в УК РФ все равно остается открытым вопрос о персональной ответственности физического лица - субъекта транспортного преступления; во-вторых, самую острую проблему здесь составит определение именно субъекта преступления; в-третьих, поскольку состав нового вида транспортных преступлений будет сконструирован, скорее всего, по типу материального, у правоприменителя в процессе его квалификации возникнут колоссальные сложности с определением конкретного пункта нарушенных виновным правил безопасного управления ВАТС и не меньшие - с установлением причинной связи между нарушенными правилами и наступившим преступным результатом; в-четвертых, не исключено также, что значительный массив подобного рода транспортных преступлений будет совершаться в ситуации так называемого неосторожного сопричинения, а это еще больше осложнит поиск и установление их субъектов.
Несмотря на отмеченные сложности, возьмем на себя смелость утверждать: допустимость, возможность и целесообразность установления в обозримом будущем нового уголовно-правового запрета в сфере обеспечения безопасности транспортной деятельности вполне очевидны.