4.3.2023 Liikenne Asiantuntija: henkilöautojen tietoturva monelta osin retuperällä Jaa artikkeli: Facebook Jaa facebookissa X Jaa X:ssä LinkedIn Jaa LinkedInissä Autodiagnostiikan ammattilainen: nykyaikainen auto säilöö paljon erilaisia henkilötiedoiksi luokiteltavia tietoja kuten sijaintitietoja ja ajokäyttäytymistietoja. Henkilöautojen tietoturvan haasteisiin on herätty vasta aivan viime vuosina tosissaan. Nykyauto kerää itsenäisesti paljon ajonaikaista tietoa muun muassa kuljettajan tekemistä ratkaisuista, mutta mihin tietoja käytetään ja kuka niihin pääsee käsiksi? Kysyimme autodiagnostiikan asiantuntijalta mitä kaikkea tietoa henkilöauto kerää. Ohjelmistoinsinööri Valtteri Härkönen työskentelee Saksan Ihringenissä Hella Gutmann Solutions GmbH -yrityksessä ja työskentelee autojen vianmäärityksen ja tietojen tallentamisen kanssa. Härkösen mukaan on mahdotonta antaa yksiselitteistä vastausta siihen, millaisia tietoja nykyaikainen henkilöauto kerää ja tallentaa ajamisesta kuten esimerkiksi kiihdytyksistä, jarrutuksista ja erilaisten auton turva-avustimien käytöstä. Yksi asia on kuitenkin selkeä: nykyaikainen henkilöauto kerää valtavan määrän erilaista informaatiota usean eri ohjausyksikön toimesta ja useaan eri tarkoitukseen. Esimerkiksi auton ns. musta laatikko eli EDR (Event Data Recorder) on elintärkeäksi hyödyksi esimerkiksi onnettomuustutkinnassa. Jos auton mittaristoon syttyy varoitusvalo, kielii se ongelmasta, jonka vuoksi autoon kytketään huollossa diagnoositesteri, jotta saadaan lisätietoja ongelman luonteesta: miten vianmäärityksessä tulisi edetä, ja mihin komponentteihin tai järjestelmiin tulisi kohdistaa huomiota. Härkönen arvioi, että nykyaikainen auto säilöö lähtökohtaisesti paljon erilaisia henkilötiedoiksi luokiteltavia tietoja, kuten sijaintitietoja ja ajokäyttäytymistietoja. – Eri asia on se, miten realistista tällaisiin tietoihin käsiksi pääsy ja niiden väärinkäyttö olisi. Uhkakuvat ovat ainakin toistaiseksi melko pieniä verrattuna esimerkiksi arkisten älylaitteiden käyttöön – joiden kaltaisiksi aivan uusimmat ajoneuvot ovat toki kovaa vauhtia muuntumassa, asiantuntija suhteuttaa. Onko tietojen keräämisessä ja tallentamisessa mitään ongelmia kuluttajan oikeuksien kuten yksityisyyden suojan näkökulmasta? – Hyvin todennäköisesti kyllä, ainakin joissain tapauksissa, Härkönen arvioi ja toteaa, että nykyaikainen auto säilöö lähtökohtaisesti paljon erilaisia henkilötiedoiksi luokiteltavia tietoja, kuten sijaintitietoja ja ajokäyttäytymistietoja. – Henkilöautojen tietoturva on ollut monelta osin retuperällä käytännössä siitä saakka, kun henkilöautoihin tuli liitettävyyteen liittyviä ominaisuuksia ja ne alkoivat digitalisoitumaan toden teolla. Aiheeseen on herätty vasta aivan viime vuosina tosissaan. Härkösen mukaan myönteistä on, että henkilöautojen ohjausyksiköiden välinen kommunikaatio ja ohjelmistot eivät pääosin ole millään tapaa standardoituja, joten hakkerointi ja esimerkiksi henkilötietojen purkaminen ajoneuvon ohjausyksiköistä on työlästä: yhden ajoneuvomallin tietojenpurkutyö ei usein sellaisenaan sovellu käytettäväksi muihin automalleihin. Mutta kuka omistaa auton keräämän datan? – Siihen, kuka omistaa datan, ei ole toistaiseksi yksiselitteistä juridista vastausta esimerkiksi EU-lainsäädäntöön liittyvien aukkojen vuoksi. Lähtökohtaisesti autonvalmistaja kokee omistavansa tällaisen datan. Autonvalmistajan tulkinnan mukaan tällainen data on puhtaasti teknistä dataa eikä sitä voitaisi luokitella henkilötiedoiksi, näin ollen se ei kuuluisi esimerkiksi GDPR:n piiriin. Onko EDR pakollinen uusissa autoissa? – EDR ei ole aiemmin ollut pakollinen EU-tyyppihyväksynnässä, eikä sille ole siten määritelty yhdenmukaisuuteen liittyviä vaatimuksia. Näin ollen EDR toiminnot, kerätty tieto ja tiedon purkumenetelmät ovat vaihdelleet eri automerkkien ja -mallien välillä räikeästikin, eikä monissa autoissa ole ollut edes varsinaista EDR-toimintoa. EDR tuli pakolliseksi heinäkuusta 2022 alkaen uusiin EU-tyyppihyväksytettäviin automalleihin ja heinäkuusta 2024 alkaen kaikkiin uutena myytäviin autoihin. Kerätty tieto on mitä ilmeisimmin myöhemmin hyödynnettävissä? – Ehdottomasti. EDR-data voidaan purkaa esimerkiksi SRS-ohjausyksiköstä diagnoositesterin avulla tai suoraan ohjausyksikön mikroprosessorilta ja muut kerättävät tiedot luetaan ja siirretään automaattisesti autonvalmistajan palvelimelle esimerkiksi autonvalmistajan oman diagnoositesterin kautta esimerkiksi määräaikaishuollon aikana, kun diagnoositesteri liitetään ajoneuvoon huoltovalon nollausta ja vikakoodien lukua varten. Mainos (teksti jatkuu alla)Mainos päättyy Datan keräys vakiotoimi Tietojen keräys on vakiotoimenpide. – Menetelmät ja kerätty data vaihtelee autonvalmistajakohtaisesti, eikä varsinaista tietoa menetelmistä, kerättävästä tiedosta – tai siitä mihin tietoja hyödynnetään – ole saatavilla julkisesti. EDR-tietoja voidaan luonnollisesti hyödyntää esimerkiksi onnettomuustutkinnassa virkavallan ja/tai vakuutusyhtiöiden toimesta. Tietoja voidaan käyttää laajasti myös muulla tavoin. – Muuta kerättyä dataa voidaan käyttää mm. laadunvalvontaan, erilaisten järjestelmien toimintaa parantavien ohjelmistopäivitysten valmistukseen, takuuseen liittyvissä kiistoissa... Härkösen mukaan on vaikea antaa vastausta siihen, kuka dataa käyttää ja mihin tarkalleen. – Autonvalmistajien itsensä lisäksi mahdollisesti myös esimerkiksi erilaisia telematiikkapalveluita autonvalmistajalle tuottavat tahot, erilaiset autonvalmistajan alihankkijat, jotka tuottavat esimerkiksi ohjelmistoa, sulautettuja ja hajautettuja järjestelmiä, erilaisia ohjausyksiköitä, sekä järjestelmiä autonvalmistajan eri automalleihin voisivat hyödyntää dataa esimerkiksi tuotekehitykseen, sekä laadunvalvontaan ja laatua parantaviin toimiin kuten ohjelmistopäivityksiin. Kerääkö auto tietoja myös polttoaineen kulutuksesta? – Kyllä, asia on ajankohtainen, sillä uusien henkilöautojen on tullut vuoden 2021 alusta kyetä keräämään dataa polttoaineen kulutuksesta ja sähkö- ja hybridiautojen latauksista ja energian kulutuksesta. Tuo OBFCM-data (On-Board Fuel Consumption Measurement) on tarkoitus kerätä korjaamokäyntien ja esimerkiksi määräaikaiskatsastusten aikana ja siirtää Euroopan komission käytettäväksi. Vaikuttaako kerätty tieto takuun voimassaoloon? Nykyautot keräävät paljon erilaista informaatiota esimerkiksi erilaisten ajoneuvon järjestelmien toiminnasta ajoneuvon elinkaaren aikana. Nykyhenkilöautossa voi olla yli sata erilaista ohjausyksikö tietoja keräämässä. Härkösen mukaan näitä tietoja voidaan käyttää esimerkiksi laadunvalvontaan, toimintaa parantavien ohjelmistopäivitysten tekoon, mutta myös takuuasioihin. – Moottorin ohjainlaite säilöö usein maksimiarvoja esimerkiksi moottorin kierroslukuun, ruiskutusmääriin, ahtopaineeseen, pakolämpötiloihin, saastelaitteiden tiloihin liittyen. Takuutapauksessa näitä tietoja voidaan purkaa ja niiden pohjalta voidaan päätellä, onko ajoneuvoa käytetty takuuehtojen mukaisesti ja onko esimerkiksi laitoin viritysohjelmisto asennettu moottorin ohjausyksikköön, jonka vuoksi takuuehdot raukeaisivat. Minne auto lähettää tiedot? Lähettääkö ajoneuvo näitä keräämiään tietoja reaaliaikaisesti eteenpäin autonvalmistajalle/maahantuojalle? – Tämä on teknisesti mahdollista, jos ajoneuvossa on telematiikkaominaisuuksia sekä internet-yhteys. Pääosin tällainen tiedon jakaminen esimerkiksi maahantuojalle tai valtuutettuun huoltoon perustuu esimerkiksi huoltotoimintaan ja autoon asennettuihin sovelluksiin/palveluihin, joita auton haltija voi joko halutessaan käyttää tai sitten ei. Tällaisia palveluita ovat esimerkiksi Mercedes & Me ja Volvo On Call. Härkönen muistuttaa, että esimerkiksi etädiagnostiikka, huoltoajan varaus automaattisesti, sijainti-, telematiikka- ja ajopäiväkirjapalvelut ovat sovelluksia, joiden käyttäjäehdot käyttäjän itsensä tulee ennakolta hyväksyä. – Näissä ehdoissa on lähtökohtaisesti kerrottu, minkälaisia tietoja kerätään ja mihin niitä käytetään. Jakaako auto sitten esimerkiksi aiemmin mainittuja laadunvalvontaan ja järjestelmien toimintaan jälkimarkkinoilla liittyvää dataa reaaliaikaisesti autonvalmistajalle – tähän on mahdoton antaa vastausta ja vaihtelua autonvalmistajien välillä on varmasti. Lähtökohtaisesti sanoisin, että joissain autoissa varmasti kyllä, mutta mitä, miten ja minkälaisin intervallein, siihen on käytännössä mahdoton antaa tarkkaa vastausta. Voiko auto lähettää tietoja esimerkiksi kuljettajan ajokäytöksestä eteenpäin ilman, että kuluttaja eli auton käyttäjä/omistaja on antanut siihen suostumustaan? Härkösen mukaan on aivan olennaista, luokitellaanko tiedot henkilötiedoiksi vai ei. – Autonvalmistajat katsonevat, että valtaosa kerätystä datasta on vain teknistä dataa eikä ole luokiteltavissa henkilötiedoiksi eli GDPR:n piiriin. Näin ollen erillistä suostumusta ei vaadittaisi. Tässä ollaan kuitenkin harmaalla alueella. – Uskon henkilökohtaisesti kuitenkin, että jos tarkempaa selvitystyötä alettaisiin tekemään, varmasti löytyisi huolenaiheita, puutteita ja mahdollisesti hyvin paljon harmaalla alueella olevia seikkoja liittyen autojen keräämään dataan ja sen käyttöön. Henkilötiedoiksi luokiteltavan datan keräys ja jakaminen liittynee useimmiten erilaisten autonvalmistajien kuluttajille suunnattujen sovellusten käyttöön, joissa kultakin käyttäjältä vaaditaan lähtökohtaisesti henkilökohtainen käyttäjätunnus ja sen luonnin yhteydessä käyttäjäehtojen hyväksyntä. GDPR (General Data Protection Regulation) on EU:n tietosuoja-asetus, joka määrää henkilötietojen käsittelystä. Teksti: Marko Jokela Kuvituskuvat: Moottorin arkisto a:2:{i:0;s:6:"130623";i:1;s:6:"130487";} Lue lisää Kaikki artikkelit 24.4.2024 Uutinen Sähköautoista paljastunut yksi merkittävä ongelma – lähes joka viides hylätty katsastuksessa 23.4.2024 Uutinen Nuoret hirvieläimet etsivät nyt elinpaikkojaan – ja voivat poukkoilla liikenteessä 17.4.2024 Liikenne Veroaikeet: Autoilulle keppiä ja porkkanaa 16.4.2024 Uutinen Dacia Duster alkaen 24399 euroa – eikä muitakaan hintoja tarvitse muistaa kuin kaksi 12.4.2024 Liikennepolitiikka Näin taksien ryvettynyt maine palautuisi – eikä toimia ole ihan vähän! 12.4.2024 Sähköautot Porsche odottaa uuden Taycanin myötä uusia asiakkaita – automalli noussut Porschen myydyimmäksi malliksi 11.4.2024 Uutinen Volkkarin sähköfarkku nähtiin ensi kertaa Suomessa – tätä on luvassa kesällä lisää 10.4.2024 Uutinen Vertailu: sähkö- ja bensiiniauton kustannukset – bensabudjetista sähkönsäästöön 8.4.2024 Yleinen Taksin käyttö: kuluttajien karut kokemukset – myös kuskit kertovat Jaa artikkeli: Facebook Jaa facebookissa X Jaa X:ssä LinkedIn Jaa LinkedInissä Luetuimmat Vuorokausi Viikko Kuukausi 23.4.2024 Käyttötesti käytetyllä Käyttötesti käytetyllä: Mercedes-Benz S124 tyylikkäämmäksi tummennuskalvojen poistolla 24.4.2024 Uutinen Sähköautoista paljastunut yksi merkittävä ongelma – lähes joka viides hylätty katsastuksessa 24.4.2024 Koeajo Koeajo: Mercedes-Benz V 300 d 4Matic - pröystäilemätöntä luksuskyytiä 24.4.2024 Yleinen Uusi Tesla Model 3 Ludicrous on kolmessa sekunnissa nollasta sataan kiihtyvä perheauto, jonka saa alle 60 000 eurolla - naurettavaa 23.4.2024 Koeajo Maistiainen: täyssähköinen Porsche Macan alle 85 000 eurolla 17.4.2024 Nimi muutettu Nimi muutettu: tältä olisi näyttänyt ainutlaatuinen Porschen versio Lada 2103:sta, jota VAZ ei lopulta hyväksynyt 22.4.2024 Käytetyt erikoisuudet Käytetyt erikoisuudet: Simca Chambord V8 - ”kaunis mutta voimaton” 16.4.2024 Käyttötesti käytetyllä Käyttötesti käytetyllä: ”onko teillä edes oikeita työkaluja autoonne?” 17.4.2024 Ajoneuvot Uudistunut Nissan Qashqai leikittelee muun muassa valoilla, väreillä ja isompien autojen herkuilla 19.4.2024 Ajoneuvot Suomen presidentin käyttöön ensimmäistä kertaa koskaan Audi - mutta onko 1,1 miljoonan euron A8 L Security suhteessa edes kallis? Meillä on keinoja selvittää 24.3.2024 Ajoneuvot Et ollutkaan ainoa, joka ei ymmärtänyt Audin numeropohjaista mallimerkintäpolitiikkaa - siksi se siirtyy historiaan 1.4.2024 Nimi muutettu Nimi muutettu: Toyota Yariksen avolavaversio ei ole ollenkaan hassumpi 14.4.2024 Koeajo Maistiainen: Dacia Duster on nyt kokonaan uusi ja osoittaa tietä koko merkille 17.4.2024 Nimi muutettu Nimi muutettu: tältä olisi näyttänyt ainutlaatuinen Porschen versio Lada 2103:sta, jota VAZ ei lopulta hyväksynyt 9.4.2024 Autoilu Auton kilometrimittaria rukattu – mistä huijaus paljastuu?