Έρευνα που πραγματοποιήθηκε από το ανεξάρτητο γερμανικό επιστημονικό ινστιτούτο CAM (Center of Automotive Management) σε συνεργασία με την αμερικανική εταιρεία τεχνολογίας Cisco, αναδεικνύει μια μέχρι πριν λίγα χρόνια, ανύπαρκτη αλλά πλέον απολύτως χειροπιαστή και γεωμετρικά αυξανόμενη, παράμετρο κινδύνου για την αυτοκινητοβιομηχανία, με φόντο την ολοένα και μεγαλύτερη διείσδυση του λογισμικού σε βασικές λειτουργίες των αυτοκινήτων όσο και των μέσων παραγωγής τους.
Ειδικότερα, σύμφωνα με τα ευρήματα της έρευνας, οι οικονομικές απώλειες από ζητήματα σχετικά με κυβερνοεπιθέσεις για την παγκόσμια αυτοκινητοβιομηχανία ξεπέρασαν τα 20 δισεκατομμύρια δολάρια το 2025, μέγεθος εικοσαπλάσιο σε σχέση με τις αντίστοιχες δαπάνες που πραγματοποιήθηκαν μόλις πριν τρία χρόνια νωρίτερα, το 2022.
Αναμενόμενο ίσως πει κάποιος που έχει συνειδητοποιήσει τη διαδικασία μεταστροφής των αυτοκινήτων, από ένα σύνολο μηχανικών μερών σε Software Defined Vehicles, δηλαδή σε ένα σύνολο όπου τον πρώτο λόγο έχει το λογισμικό και η συνδεσιμότητα, κάτι που σημαίνει ότι πλέον τα αυτοκίνητα δεν αποτελούν ένα «κλειστό σύστημα», αποκομμένο από τον κόσμο. Και το ίδιο ακριβώς ισχύει και για τις μεθόδους παραγωγής τους.
Εξίσου δεδομένο είναι επίσης ότι τα παραδοσιακά μέτρα ασφαλείας και οι διαδικασίες των αυτοκινητοβιομηχανιών δεν έχουν σχεδιαστεί εξαρχής για να αντιμετωπίζουν σφάλματα ή τρωτά ψηφιακά σημεία τα οποία μπορεί να επηρεάσουν εκατομμύρια αυτοκίνητα ταυτόχρονα.
Για την ακρίβεια, η αυτοκινητοβιομηχανία είναι περισσότερο προγραμματισμένη εξ ορισμού να αντιμετωπίζει μηχανικές βλάβες όχι ψηφιακές. Εξ ου και το νέο Software Defined μοντέλο σε αυτοκίνητα όσο και στην παραγωγή προσθέτει ένα νέο επίπεδο “κινδύνου” το οποίο είναι μάλιστα «απομακρυσμένο, μεταβαλλόμενο αλλά και πρακτικό αόρατο –μέχρι τουλάχιστον να σπεύσει να εκμεταλλευτεί κάποιος το κενό “ασφαλείας”», όπως τονίζεται στην έρευνα του γερμανικού ινστιτούτου.
Σύμφωνα με τον επικεφαλής του CAM, Stefan Bratzel, οι αυξανόμενες κυβερνοεπιθέσεις ή απλώς η απειλή τους σε εργοστάσια είναι επί της ουσίας υπεύθυνοι για την γεωμετρική αύξηση του σχετικού κόστους. «Η διακοπή παραγωγής που μπορεί να προκύψει από ένα τέτοιο περιστατικό κοστίζει στις αυτοκινητοβιομηχανίες δεκάδες εκατομμύρια δολάρια ή ευρώ ανά ημέρα».
Η ιδιαιτερότητα των σύγχρονων SDV, είναι ότι το λογισμικό με το οποίο εφοδιάζονται περιέχει πάνω από 100 εκατομμύρια γραμμές κώδικα. Επίσης, τόσο το WiFi όσο και το Bluetooth αποτελούν πιθανά σημεία κακόβουλης «εισβολής» με ένα τρόπο που είναι αδύνατόν να προβλεφθεί πλήρως καθώς, σύμφωνα με την έρευνα, αφενός ο συνήθης χρόνος κυκλοφορίας και χρήσης ενός αυτοκινήτου μπορεί να διαρκέσει έως και 15 χρόνια αφετέρου, οποιοδήποτε λογισμικό ασφαλείας καθίσταται παρωχημένο μέσα σε λίγους μήνες.
Ταυτόχρονα, πληθαίνουν οι τρόποι μιας κυβερνοεπίθεσης καθώς μπορούν να προκύψουν είτε με την μορφή ενός αυτόματου Over-The-Air update από servers «φαντάσματα», είτε από απευθείας hacking στα συστήματα τηλεματικής ενός αυτοκινήτου είτε στους σταθμούς φόρτισης οι οποίοι επίσης μπορούν να χρησιμοποιηθούν ως σημείο πρόσβασης για κακόβουλη επίθεση.
Με δεδομένο ότι ολοένα και περισσότερα συστήματα των αυτοκινήτων ελέγχονται από λογισμικό ως απόρροια της προόδου των συστημάτων αυτόνομης οδήγησης/ασφάλειας, δηλαδή ουσιαστικά, το αυτοκίνητο μπορεί να πάρει πρωτοβουλίες ή/και τον πλήρη έλεγχο βάσει αλγορίθμων και δεδομένων από τα συστήματα επιτήρησης (κάμερες Lidar και αισθητήρες) μπορεί εύκολα να φανταστεί κανείς τι θα συμβεί αν κάποιος αποφασίσει να χακάρει κακόβουλα το λογισμικό διαχείρισης κάποιου από τα παραπάνω συστήματα.
Ήδη πολλές αυτοκινητοβιομηχανίες και σχετικές με τον κλάδο βιομηχανίες μεταξύ των οποίων η Honda, η Toyota, η JLR, η Thyssenkrupp και η Bridgestone, έχουν υποστεί μεγάλης κλίμακας επιθέσεις που τις έχουν οδηγήσει σε σημαντικές καθυστερήσεις στην παραγωγή.
Συγκεκριμένα τον Αύγουστο του 2025, μια κυβερνοεπίθεση κόστισε στην JLR έξι εβδομάδες παραγωγής, διαλύοντας τα IT συστήματά της. Το αποτέλεσμα εκτός από την παραγωγή, ήταν να επηρεαστούν και οι προμηθευτές της αλλά και οικονομικές απώλειες ύψους 386 εκατομμυρίων δολαρίων για τον όμιλο, το τελευταίο τρίμηνο του 2025.
Πλην των απειλών και των κυβερνοεπιθέσεων αυτών καθ΄αυτών, ένας άλλος παράγοντας που κάνει τα πράγματα ακόμα πιο περίπλοκα είναι το κατακερματισμένο ρυθμιστικό πλαίσιο.
Στην Ευρώπη, υπάρχει ένα σχετικά δομημένο πλαίσιο με τους κανονισμούς UN R155 και UN R156 να υπαγορεύoυν στις αυτοκινητοβιομηχανίες να διαθέτουν ένα πιστοποιημένο σύστημα κυβερνοασφάλειας καθώς και συστήματα διαχείρισης και αναβάθμισης λογισμικού. Επίσης, οι συγκεκριμένοι κανονισμοί υποχρεώνουν τις αυτοκινητοβιομηχανίες στην Ευρώπη να διαθέτουν συστήματα επιτήρησης που να ανιχνεύουν σχετικούς κινδύνους καθώς και σαφείς διαδικασίες που θα τους επιτρέπουν να επεμβαίνουν διορθωτικά καθ’ όλο τον κύκλο ζωής ενός αυτοκινήτου–όσο και αν διαρκεί αυτός.
Αντιθέτως στις ΗΠΑ, δεν υπάρχει κάτι αντίστοιχο. Όπως χαρακτηριστικά αναφέρει η έρευνα, «το ζήτημα δεν είναι κατά πόσο οι νομοθέτες στις ΗΠΑ θα αποφασίσουν για συγκεκριμένα πρότυπα προστασίας απέναντι σε κυβερνοεπιθέσεις. Το ζήτημα είναι κατά πόσο αυτά τα πρότυπα θα υπάρξουν πριν η μετά από μια τέτοια επίθεση».
Ο πιο ευάλωτος κρίκος της αλυσίδας δεν είναι τόσο οι αυτοκινητοβιομηχανίες όσο οι προμηθευτές της, τουλάχιστον με βάση τα σχετικά στατιστικά καθώς σχεδόν το 57% των αντίστοιχων επιθέσεων στοχεύουν στους προμηθευτές, έναντι 10% που στοχεύουν τις αυτοκινητοβιομηχανίες, σύμφωνα με την έρευνα του CAM.
Aυτό συμβαίνει καθώς οι προμηθευτές είναι σε μεγάλο βαθμό διασυνδεδεμένοι ψηφιακά μεταξύ τους κάτι που σημαίνει ότι μια επίθεση σε ένα «αδύναμο» σημείο του δικτύου τους, π.χ σε ένα πωλητή στη «βάση» της εφοδιαστικής αλυσίδας, μπορεί να επηρεάσει τον κεντρικό προμηθευτή και πολλές αυτοκινητοβιομηχανίες ταυτοχρόνως, οδηγώντας σε διακοπή παραγωγής, διαρροή δεδομένων πελατών καθώς και αδυναμία παροχής των σχετιζόμενων ψηφιακών υπηρεσιών.
Επιπλέον οι αυτοκινητοβιομηχανίες δεν έχουν πρόσβαση στους προμηθευτές από τους οποίους προέρχονται «κρίσιμα» συστήματα όπως, φερ΄ειπείν, τα συστήματα διαχείρισης μπαταριών ή τα δεδομένα πλοήγησης.
«Μια αυτοκινητοβιομηχανία μπορεί να έχει άμεσες σχέσεις με εκατοντάδες προμηθευτές επιπέδου 1 αλλά εξαιρετικά χαμηλή πρόσβαση και “ορατότητα” σε σχέση με τις πρακτικές κυβερνοπροστασίας σε προμηθευτές επιπέδου 2 και 3», αναφέρει χαρακτηριστικά το CAM.
Στην Ευρώπη βέβαια οι παραπάνω δικλίδες ασφαλείας και το σχετικό ρυθμιστικό πλαίσιο επεκτείνονται και στους προμηθευτές οπότε υπάρχει ένα σχετικό δίχτυ ασφαλείας.
Το ερώτημα είναι σε ένα παγκοσμιοποιημένο δίκτυο-εφοδιαστική αλυσίδα που ολοένα διευρύνεται, και με τις τρέχουσες ταχύτητες της τεχνολογίας είναι κατά πόσο είναι εφικτό οι όποιοι κανόνες και ρυθμιστικό πλαίσιο μπορούν να λειτουργήσουν όντως προστατευτικά ή και να διαπιστωθεί αν τηρούνται κατά γράμμα.
Πάντως η έρευνα καταλήγει στο εξής: «τα αυτοκίνητα της επόμενης δεκαετίας θα καθορίζονται από το λογισμικό τους εξίσου με το χάλυβα από τον οποίο κατασκευάζονται. Οι οργανισμοί που ασχολούνται με την κυβερνοασφάλεια, οι σχέσεις, τα δεδομένα και η “εμπιστοσύνη” που πρέπει να διέπει όλες αυτές τις παραμέτρους και όλη αυτή τη ροή δεδομένων είναι αυτές που θα καθορίσουν την πραγματικότητα της αυτοκινητοβιομηχανίας και για τις επόμενες δεκαετίες».
