Nowoczesny samochód coraz częściej przypomina podłączony do sieci komputer, który przy okazji ma koła i kierownicę. Dane kierowcy, aplikacje mobilne, aktualizacje online, Bluetooth, Wi-Fi i ładowarki tworzą wygodny ekosystem, ale też nową powierzchnię ataku dla cyberprzestępców.

Cyberbezpieczeństwo w motoryzacji przestało być tematem dla działów IT ukrytych gdzieś za ścianą serwerowni. W samochodzie zapisują się dziś trasy, miejsca parkowania, profile kierowców, historia GPS, dane z telefonu i informacje o ładowaniu. Część tych danych nie zostaje wyłącznie w aucie, ponieważ trafia przez aplikacje, usługi telematyczne i chmurę do systemów producentów oraz ich dostawców.

Największy problem nie siedzi już pod maską

Dawniej złodziej musiał podejść do auta, sforsować zamek, dobrać się do instalacji albo wykorzystać fizyczne narzędzie. Teraz słabym punktem bywa konto użytkownika, aplikacja, API producenta, moduł telematyczny albo źle zabezpieczona infrastruktura ładowania. To zmienia charakter ryzyka, bo atak nie musi zaczynać się obok samochodu.

Według danych Upstream Security, w 2024 roku odnotowano 409 incydentów związanych z cyberbezpieczeństwem w motoryzacji, wobec 295 rok wcześniej. To oznacza wzrost o 39%. Jeszcze bardziej niepokojące jest to, że 92% ataków zarejestrowanych w 2024 roku przeprowadzono zdalnie.

Samochód wie o kierowcy więcej, niż wielu chce przyznać

Auto połączone z telefonem i chmurą potrafi tworzyć bardzo dokładny obraz codzienności właściciela. Zna godziny wyjazdów, często odwiedzane lokalizacje, miejsca nocnego postoju, trasy do pracy i historię połączeń z urządzeniami. W samochodzie elektrycznym dochodzą do tego jeszcze nawyki ładowania oraz dane z domowej lub publicznej infrastruktury.

Tu właśnie pojawia się problem skali. Im więcej funkcji działa przez sieć, tym więcej potencjalnych wejść dla atakującego. Samochód nie jest już zamkniętym urządzeniem mechanicznym, lecz częścią większego systemu obejmującego aplikacje, serwery, dostawców oprogramowania, dealerów i punkty ładowania.

Miliony aut mogą dostać rykoszetem

Cyberatak na samochód nie musi dotyczyć jednego egzemplarza. Od 2010 roku 60% odnotowanych ataków obejmowało jednocześnie miliony pojazdów. Incydenty masowe wzrosły z 5 do 19% całej puli w ciągu roku. Szczególnie wrażliwe są pojazdy definiowane programowo, czyli SDV.

Według raportu Reuters Events współczesny samochód może mieć około 100 mln linii kodu. Każde połączenie bezprzewodowe, każdy moduł online i każda aktualizacja zdalna dokładają kolejną warstwę wygody, ale też kolejne miejsce, w którym może pojawić się luka.

Kia, Jaguar Land Rover i bolesne przykłady z rynku

W 2024 roku badacze wykazali lukę w portalu klienta Kii, związaną z niewystarczająco zabezpieczonym uwierzytelnianiem API. W praktyce dawało to możliwość pośredniego dostępu do danych pojazdów oraz wysyłania niektórych komend zdalnych. Wśród demonstracyjnych scenariuszy pojawiały się m.in. dezaktywacja alarmu i zmiana geolokalizacji.

Jaguar Land Rover odczuł problem w znacznie szerszej skali. Atak cybernetyczny zatrzymał część globalnej produkcji na sześć tygodni, a straty finansowe oszacowano na 386 mln dolarów (ok. 1,41 mld zł) w jednym kwartale. Według niemieckiego badania opublikowanego w marcu 2026 roku szkody związane z cyberatakami w motoryzacji przekroczyły w 2025 roku 20 mld dolarów (ok. 73,05 mld zł).

Dostawcy są łatwiejszym celem niż wielka marka

Największe ryzyko nie zawsze leży bezpośrednio po stronie producenta auta. Około 57% cyberataków dotyka dziś dostawców i podwykonawców, a tylko 10% jest wymierzona bezpośrednio w marki samochodowe. To logiczne, choć dla branży bardzo niewygodne. Jeden producent korzysta z setek firm odpowiedzialnych za baterie, nawigację, oprogramowanie, systemy ładowania, multimedia i telematykę.

Każdy z tych podmiotów może mieć własnych podwykonawców. Wystarczy jedna słaba furtka, aby problem rozlał się na kilka marek jednocześnie. Dobrym ostrzeżeniem jest ransomware wymierzony w oprogramowanie używane przez 15 tys. dealerów w USA. Atak zablokował pracę na prawie trzy tygodnie, a straty oszacowano na ponad 1 mld dolarów (ok. 3,65 mld zł). Samochody nie muszą być fizycznie przejęte, aby motoryzacyjny ekosystem dostał mocny cios.

Elektryki dokładają własny punkt zapalny

Samochody elektryczne wnoszą do tematu jeszcze infrastrukturę ładowania. Publiczne ładowarki i domowe wallboxy podłączone do internetu mogą stać się kolejnym wejściem do ataku. Upstream Security zalicza sieci ładowania do powierzchni ataku, które rosną najszybciej.

Najprostsze zalecenia są mało widowiskowe, ale ważne. Warto korzystać z oficjalnych ładowarek, unikać niecertyfikowanych urządzeń i odseparować domową ładowarkę od głównej sieci internetowej w domu. To nie brzmi tak efektownie jak „cyfrowa twierdza”, ale często właśnie takie podstawy decydują o bezpieczeństwie.

Europa już reguluje, ale hakerzy nie czekają

Od lipca 2024 roku nowe pojazdy sprzedawane w Europie muszą spełniać wymagania regulacji UNECE R155. Przepisy dotyczą zarządzania cyberbezpieczeństwem i identyfikowania zagrożeń informatycznych. Uzupełnia je UNECE R156, czyli regulacja dotycząca zarządzania aktualizacjami oprogramowania.

To potrzebny kierunek, bo samochód żyje znacznie dłużej niż typowy smartfon. Auto może jeździć kilkanaście lat, podczas gdy zabezpieczenia cyfrowe starzeją się bardzo szybko. Nawet deklaracje producentów dotyczące wieloletniego wsparcia systemów multimedialnych nie rozwiązują całego problemu.

Co może zrobić kierowca?

Najważniejszy filtr bezpieczeństwa nadal często leży po stronie użytkownika. Mocne i unikalne hasło do konta samochodu, uwierzytelnianie dwuetapowe oraz ograniczenie liczby podłączonych aplikacji potrafią zmniejszyć ryzyko. Warto też usuwać nieznane urządzenia Bluetooth i wyłączać funkcje bezprzewodowe, gdy nie są potrzebne.

Do tego dochodzą aktualizacje oprogramowania, kasowanie historii lokalizacji i ostrożność przy używaniu publicznych ładowarek. Samochód połączony z internetem daje wygodę, ale wymaga podobnej higieny cyfrowej jak komputer i telefon. Różnica polega na tym, że awaria laptopa zwykle kończy się nerwami, a nie problemem z autem stojącym na podjeździe.

O autorze