Минпромторг хочет локализовать данные с иностранных автомобилей ради безопасности
АО «ГЛОАНСС» прорабатывает совместно с Минпромторгом подходы к локализации в России собираемых данных импортными автомобилями. Подключенные к Сети машины, генерируют огромные объемы данных, часть из которых является чувствительной как для водителей, так и для государства. Ограничения на передачу данных вводят в США, Евросоюзе и Китае. С каких машин, какие данные собираются и кому отправляются, — в материале PRO Шеринг.
Кордон для автомобильной информации
На форуме «Транспорт России» 20 ноября руководитель направления кибербезопасности транспортных средств АО «ГЛОНАСС» Владимир Педанов рассказал, что назрела необходимость локализации данных, собираемых телематическими системами импортных автомобилей. Более того, эта идея уже прорабатывается совместно с Минпромторгом.
«Необходимость вызвана, прежде всего, защитой информации российских автовладельцев, в том числе – их персональных данных. Поскольку такие данные все еще могут передаваться за рубеж, например, для технической поддержки и разработки новых транспортных средств производителем, важно, чтобы автовладельцы могли сами регулировать передачу данных за границу, понимать, какая информация, и для чего передается», — рассказал Владимир Педанов PRO Шеринг. В Минпромторге не ответили на запрос издания о планах проекта, а представитель «ГЛОНАСС» пояснил, что не имеют информации о каких-либо запретах передачи данных от транспортных средств за границу. Уточнив, что «скорее всего, речь идет о локализации данных, собираемых телематическими системами импортных автомобилей в России».
«Локализация данных с импортных автомобилей — это, прежде всего, защита интересов страны и ее граждан, обеспечение безопасности их данных», — рассказал в беседе с PRO Шеринг вице-президент Российской автомобильной федерации (РАФ), член Комитета Госдумы по информполитике Антон Немкин.
Он напомнил, что технологически современный автомобиль — большое цифровое устройство на колесах, и знает о человеке не меньше, а то и больше, чем его телефон. «Зачем идти на риск и передавать эти данные на сервера за границу, допускать внешний контроль? Локализация обеспечивает защиту данных: они остаются внутри страны, обрабатываются только по российским правилам», — поддержал предложение о локализации данных Антон Немкин.
Подобные требования уже действуют по отношению к автомобилям иностранного производства в США и Китае. «В США, например, вопрос решен очень жестко: там запрещено использовать автомобильные комплектующие для телематических систем, произведенных в Китае и России. В Китае существует запрет на передачу телематических данных за границу», — рассказал Педанов.
В Великобритании запретили военным обсуждать служебные вопросы в машинах, а также подключать личные цифровые устройства к бортовым электросистемам, рассказал PRO Шеринг эксперт по защите персональных данных и соучредитель Regional Privacy Professionals Association (RPPA) Алексей Мунтян.
«Это решение было принято спустя два года после обнаружения в одном из правительственных авто системы прослушки. В качестве мер борьбы Великобритания отказалась использовать китайское ПО и оборудование в госсекторе Великобритании», — пояснил он.
Какие марки собирают информацию
Генерировать и передавать данные могут современные машины, подключенные к интернету, но далеко не все и не всегда, говорят эксперты. «Самые базовые и простые машины, ничего, конечно, никуда не передают и к интернету не подключены. С Сетью связаны только премиальные свежие автомобили. К примеру, старшие модели BMW и Mersedes подключены к интернету постоянно, и данные они действительно передают за рубеж», — отметил вице-президент национального автомобильного союза (НАС) Антон Шапарин. Это те самые авто представительского класса, которые чаще всего используются высшим руководящим составом как бизнеса, так и госструктур. «Такие машины используют и госструктуры тоже. Например, министр сельского хозяйства Оксана Лут, попала в аварию на автомобиле Mersedes, который имел все интернет-опции и отключить их невозможно», — привел пример Антон Шапарин.
Проблема утечек не ограничена премиальными моделями ушедших с российского рынка западноевропейских брендов, уверены в Московском автомобильно-дорожном государственном техническом университете (МАДИ). «Все электромобили китайского производства требуют для полноценного использования регистрацию в приложении машины, вплоть до покупки китайской сим-карты, а также предоставление практически всех своих основных данных владельцем», — предупредил доктор технических наук, доцент кафедры «Автомобили» Московского автомобильно-дорожного государственного технического университета Виталий Гаевский. Без регистрации практически невозможно будет обновлять ПО автомобиля, а также пользоваться рядом функций, уточнил он.
Кроме целенаправленной передачи данных производителю, есть риск взлома. Впервые это произошло с серией электромобилей Nissan Leaf. «В 2011 году их бортовые электросистемы были уличены в передаче данных о перемещениях каждого такого авто на сторонние сервера. В 2015 году хакеры дистанционно взломали систему Jeep Cherokee компании Chrysler, который двигался по трассе со скоростью около 100 км/ч», — приводит примеры Алексей Мунтян, поясняя, что сейчас автомобиль — больше цифровое устройство, чем автотранспортное средство. «Тот объем данных, которые можно получать с автомобилей – огромный», — признается в беседе эксперт.
Для повышения безопасности Минпромторг готовит пилотный эксперимент по созданию Центра обнаружения, предупреждения и ликвидации последствий компьютерных атак на транспортные средства. Такое поручение дал министр промышленности и торговли Антон Алиханов 21 октября своим подчиненным, сообщали «Ведомости», ознакомившись с документом.
Какая информация и кому нужна
Точного набора собираемых и передаваемых данных с иномарок нет, говорит Владимир Педанов: «Информация разнится в зависимости от автопроизводителя. Но, чаще всего, это техническая информация, а также видео и данные с лидаров об обстановке вокруг автомобиля, иногда даже – из салона». По его словам, собираются персональные данные водителей, зафиксированные при покупке; данные о статусе прошивки электронных блоков управления; данные об ошибках; данные об угле поворота руля и градусе наклона педалей газа и тормоза. А в продвинутых авто с ADAS-системами (помощи водителю)– таких данных еще больше.
Источниками их получения выступают: датчики, сенсоры, камеры, локаторы (радары, лидары), микрофоны и иное бортовое оборудование транспортного средства; пассивные системы безопасности, системы помощи водителю (ADAS), активные системы безопасности (ABS, EBD, ESP и т.д.), рассказывает Алексей Мунтян. Кроме того, анализируются данные о принимаемых транспортным средством радиосигналах Bluetooth, Wi-Fi и иных беспроводных точках доступа, маячках и вышках сотовой связи, говорит эксперт.
«Большая часть функций нужна для поддержания гарантии и контроля за техническим состоянием автомобиля, помощи при авариях, против угонов, а также для служб экстренной помощи. Пользователями данных также выступают производители не только машин, но и софта для автомобилей, телематические и страховые компании, сторонние сервисы — навигации, музыки, автодилеры и страховые компании. В последнее время очень много появляется сервисов по подписке — начиная от премиум навигации и мультимедиа и заканчивая данными для оценки вождения и расследования ДТП», — рассказал руководитель аналитического центра «Монтранс» Дмитрий Журавлев.
Убаюканные мирными целями автопроизводителей при покупке машины, многие автовладельцы даже не задаются вопросом: «Куда уходят данные?», а зря, — считает Антон Немкин. «Современные автомобили собирают не только данные самой машины, но и их пользователей: геолокацию, историю передвижений, стиль и привычки вождения, данные о маршрутах, загрузку мультимедиа и даже историю подключения гаджетов», — напомнил депутат.
Парламентарий уточнил, что у ряда автомоделей отправляются полные диагностические логи — отчет о каждом действии водителя и состоянии машины. «Собираться может даже сверхсекретная информация, а после этот огромный объем данных уходит за пределы страны без какого-либо контроля», — рассказал он PRO Шеринг.
Виталий Гаевский признается, что полностью перекрыть передачу данных для владельца проблематично, поскольку отключение от интернета некоторых автомобилей невозможно.
Закон о персональных данных рулит
Часть автоданных уже сейчас подпадает под закон о защите персональных данных. «Если автовладелец регистрируется в приложении автопроизводителя и привязывает машину к своим данным — вопрос закрыт. Это персональные данные в чистом виде. Машина идентифицирует конкретного человека, знает, где он был, куда ехал и как себя вел. В таком случае речь уже не может идти об обезличенной статистике. Закон здесь должен работать однозначно», — поясняет Антон Немкин.
Иностранные автоконцерны соблюдают формальности и подписывают с покупателем дополнительные соглашения по предоставлению доступа к таким сведениям. «Как показывает практика, пользователи конечно же не читают мелкий шрифт, а также не разбираются в настройках конфиденциальности — кто, куда и зачем передаёт ваши данные. В итоге современный автомобиль может создавать цифровой профиль водителя и передавать его третьей стороне без его ведома», — пояснил Дмитрий Журавлев.
Как только владелец транспортного средства зарегистрировался в аккаунте мультимедийной системы, то все сведения, которые автомобиль генерирует, начиная от мобильного телефона, заканчивая персональными настройками и домашним адресом в навигаторе, по соглашению передаются оператору, который заключил договор, — говорит эксперт. «Но большая часть данных с автомобиля до сих пор уходит производителю, который согласие на такой сбор данных скорее всего не подписывал», — указал Дмитрий Журавлев.
Причем в некоторых случаях автомобили передают данные учетных записей не только человека, который является собственником этого транспортного средства. «Это могут быть лица допущены к управлению транспортным средством и, в некоторых случаях, даже пассажиры. Могут создаваться постоянные учетные записи, временные учетные записи», — рассказал Алексей Мунтян.
В 2024 году в США произошел большой скандал, когда выяснилось, что General Motors передавал персданные покупателей машин крупному брокеру данных LexisNexis, который зарабатывал на перепродаже страховым компаниям. Один из владельцев запросил отчет о своих персданных и получил его на 258-страницах о 640 поездках за полгода.
Уже три года как китайский концерн Geely выводит в космос свои спутники, произведенные Geespace, дочерней компанией Zhejiang Geely Holding Group Co. В прошлом году их число достигло 20 штук. Geespace хочет развернуть сеть низкоорбитальных спутников (600 км над Землей), которые смогут подключаться к автомобилям Geely.
В апреле 2024 года власти КНР и Германии подписали совместную декларацию об обмене данными с автомобилей. Планируется совместная разработка общих стандартов и правил управления данными, генерируемыми автоконцернами при разработке автономного вождения.
«Дополнительно и неофициально, оператор данных может следить за владельцем автомобиля в своих интересах», — уточнил Виталий Гаевский. Так в штате Техас генеральный прокурор заподозрил в прошлом году Kia, General Motors, Subaru и Mitsubishi в незаконной продаже информации, собираемой автомобилями, подключенными к системе сбора данных.
Также эксперты некоммерческой организации, занимающейся повышением безопасности интернета, Mozilla Foundation, изучили соглашения о конфиденциальности 25 самых популярных марок автомобилей, и обнаружили, что 84% из них передают или продают личные данные.
Эксперты согласны с тем, что оборот персональных данных в сфере автомобилей следует контролировать. «Если владелец подключается к автомобилю как к смартфону, внося свои персональные данные и регистрируясь на сайте изготовителя автомобиля, то это уже персональные данные. Я считаю, что все данные при регистрации автомобиля должны подпадать под закон о защите персональных данных», — уточнил Виталий Гаевский.
Вопрос контроля данных с автомобилей в Европе подняли еще в 2022 году. Европейская организация потребителей (BEUC) написала открытое письмо в Европейскую комиссии. Она призвала к срочному регулированию обмена больших данных (Big Data) в автомобиле.
«Формально данные собираются для улучшения работы сервисов и удаленной диагностики, обновления ПО и других безобидных для пользователей операций, — говорит Антон Немкин, — Но давайте честно: когда данные уходят из страны, передаются вовне, мы теряем контроль над тем, кто получит их дальше. При отсутствии локализации нет никаких гарантий, что эти сведения не окажутся у третьих лиц, партнеров или тех, кто обладать такой информацией не должен».
Анна Варкентина
Фото: Монтранс, МАДИ, Госдума, RPPA, Игорь Самохвалов/ПГ
