Взлом беспилотного транспорта: кто понесет ответственность (исследование RAND Corporation)

Исследование о подготовке систем гражданской ответственности

Беспилотные автомобили должны сделать транспорт более безопасным и доступным. Хакеры, однако, могут помешать этому – они могут взламывать этих тяжелых и быстрых роботов на колесах с ИИ, используя их в преступных целях.

Исследователи RAND изучили законные последствия, которые настигнут хакеров в случае взлома беспилотного транспорта. Несмотря на то, что такая ситуация маловероятна, риски ее возникновения могут быть высоки, учитывая, что взлом транспортных средств может привести к гибели людей, уничтожению имущества, вымогательству или краже информации.

Исследователи обнаружили, что существующий закон о гражданской ответственности на начальном этапе, вероятно, будет достаточно гибким, чтобы приспособиться к большинству судебных исков, возникающих в результате взлома роботизированных транспортных средств. Тем не менее, всем сторонам, вовлеченным в процесс внедрения беспилотного транспорта (производителям, владельцам, страховщикам, политикам и другим), уже сейчас следует задуматься о рисках, их последствиях с точки зрения закона, а также об ответных мерах со стороны регуляторных и законодательных органов.

Внедрение этой технологии и ее способность приносить пользу обществу зависит не только от самих рисков, но и от их восприятия, а также от правовых структур, которые могли бы их компенсировать. Даже если эти риски невелики, лицам, ответственным за разработку правовых норм, необходимо будет предвидеть и реагировать на потенциальные проблемы, чтобы обеспечить максимальную выгоду от беспилотного транспорта.

Предвидение беспилотного будущего

Беспилотный транспорт может обеспечить большую мобильность для тех, кто не умеет водить машину, более безопасные дороги, а время вождения можно будет посвятить более продуктивным задачам — все это стимулирует массовые инвестиции в эту технологию. Политики, в свою очередь, начинают решать, как интегрировать беспилотные автомобили в общество.

Наряду с такими проблемами, как экономическое вытеснение профессиональных водителей, перспектива десятков тысяч автомобилей, гоняющих без контроля по воле хакеров, должна затормозить действия политиков и защитников беспилотного транспорта, даже если вероятность возникновения такой ситуации мала.

Беспилотные автомобили уязвимы для множества различных хакерских атак. Уязвимости программного обеспечения, физические атаки через устройства с вредоносным кодом и взлом ключевых аппаратных компонентов — все это должно быть продумано. Через эти атаки хакеры могут отключать транспортное средство, изменять его курс с целью нанесения ущерба, а также манипулировать личными данными и красть их – и это лишь некоторые из угроз.

Чтобы помочь законодателям предвидеть гражданско-правовые последствия взлома беспилотного транспорта, исследователи RAND изучили несколько правдоподобных сценариев, в которых система беспилотного управления может быть взломана, что приведет к какому-либо ущербу, который может быть компенсирован с помощью гражданского судопроизводства.

Многочисленные уязвимости

Исследователи RAND рассмотрели ряд сценариев взлома беспилотного транспорта, который поможет продемонстрировать разнообразие юридических проблем, стоящих перед гражданско-правовой системой, страховщиками и другими сторонами. Эти сценарии были созданы на основе реальных случаев взлома или повреждения обычных транспортных средств и при помощи воспроизведения сценариев, призванных помочь в анализе ответственности.

RAND рассмотрели следующие ситуации:

• Хакер получает доступ к сети беспилотного транспорта, чтобы отключить машину и потребовать выкуп от владельца для ее восстановления
• Хакер берет под контроль машину военного офицера, припаркованную на военной базе, и управляет ей, чтобы повредить стоящий в ангаре военный самолет
• Хакеры берут под контроль инфраструктуру, управляющую светофорами, и манипулируют сигналами, чтобы вызвать ДТП на перекрестках
• Хакеры посылают внедряют вредоносное ПО в беспилотные машины, принадлежащие прокатной компании. Это ПО заражает другие корпоративные системы, что приводит к потере информации о клиентских платежных данных, и совершению мошеннических операций.

Для этих сценариев была проанализирована гражданская ответственность различных сторон. В ходе обсуждения были определены стороны, которые могут быть названы ответчиками в судебных процессах, связанных с кибератаками на беспилотный транспорт, при этом особое внимание было уделено следующим сторонам:

• Производители беспилотного транспорта
• Производители ПО
• Поставщики беспилотного транспорта
• Владельцы беспилотного транспорта и лица, обслуживающие его

Реакция со стороны гражданского права

Поскольку федеральных и государственных законов о беспилотных транспортных средствах (и транспортных средствах, подключенных к сети) очень мало, законы об ответственности за качество продукции (наряду с законами о гарантиях), а также государственные и федеральные законами о защите персональных данных, скорее всего, будут самыми важными нормами права при рассмотрении судебных исков, связанных с кибератаками на беспилотный транспорт.

Халатность и строгая ответственность – две правовые концепции, которые будут играть ключевую роль в гражданских исках, возникающих в результате атак на беспилотный транспорт. Обе концепции предполагают баланс между перспективами кибератак и затратами, связанными с внедрением менее уязвимых альтернативных технологий.

К другим областям права, которые могут определять ответственность в контексте взлома беспилотного транспорта, относятся:

• Нарушения законодательства о защите прав потребителей
• Введение в заблуждение, мошенничество и сокрытие мошенничества
• Гарантийные обязательства
• Законы о неприкосновенности частной жизни.

Гражданско-правовые последствия взлома беспилотного транспорта

Исследователи RAND применили существующую гражданско-правовую базу к разработанным ими сценариям, что привело их к многочисленным выводам, которые заинтересуют тех, кто будет определять будущее роботизированного транспорта, включая пользователей, владельцев, производителей, страховщиков и политиков:

• Автопроизводители, поставщики комплектующих, разработчики ПО, и дистрибьюторы беспилотных транспортных средств могут понести ответственность за случаи взлома автомобилей.
• Владельцы транспортных средств могут также нести ответственность за кибератаки, если, например, они откажутся от установки важного обновления системы безопасности, из-за чего хакеры смогут взять контроль над их автомобилями и причинить ущерб.
• Существующее законодательство о гражданской ответственности, скорее всего, будет достаточно гибким для того, чтобы адаптироваться к искам о взломе беспилотного транспорта (по крайней мере, в случае с атаками малого и среднего масштаба)
• Из-за роли предсказуемости в определении ответственности за преступные действия третьей стороны (вроде хакерства), вопрос осведомленности о предыдущей эксплуатации уязвимости, скорее всего, будет играть ключевую роль в определении ответственности согласно существующему гражданско-правовому законодательству.
• Анализ затрат и предсказуемости окажут влияние на определение ответственности за ущерб от кибератак при рассмотрении дел о халатности и ответственности за качество продукции
  
  — Такой анализ потребует от судов ознакомления с соответствующими технологиями.

Государственные учреждения будут потенциальными ответчиками по гражданским искам, возникающим в связи с инцидентами, связанными с небезопасной инфраструктурой. Несмотря на значительные различия в законодательствах разных штатов, государственные и местные правительственные учреждения, скорее всего, будут защищены неприкосновенностью, так как они адаптируют дорожную инфраструктуру для беспилотного транспорта. Эта неприкосновенность может не применяться в случае выполнения ведомственных задач, вроде технического обслуживания дорог.

Когда беспилотный транспорт и вспомогательная инфраструктура будут развиваться, государственные агентства, скорее всего, будут привлечены к гражданской ответственности, если их халатность даст злоумышленникам простор к действию. Значительные различия между государствами в отношении доктрины о неприкосновенности усложняют анализ.

Возможные действия со стороны регуляторов

Вывод о том, что существующая гражданско-правовая база, скорее всего, адаптируется к широкому внедрению беспилотного транспорта, не отменяет того факта, что лица, ответственные за разработку правовой базы, должны рассмотреть следующий вопрос – будут ли законодательные подходы, определяющие роли и обязанности, способствовать внедрению этой технологии?

Такая нормативная база может принести пользу в плане прояснения обязанностей, но также может быть негибкой по сравнению с системой общего права в условиях трудно прогнозируемого технологического развития и новых тенденций в области фактических обстоятельств.

Аналогичным образом, было бы полезно лучше понять и, возможно, прояснить вопросы потребительского и коммерческого страхования беспилотного транспорта от кибератак. Таким образом, потребители, автопроизводители и законодатели смогут лучше понять, какие стороны будут нести расходы, связанные с подобными атаками.

Законодательные органы, возможно, также пожелают тщательно продумать, как правовая система может справиться с крупномасштабной атакой. Такая атака может привести к банкротству и безвозмездным потерям в результате превышения возможностей страховщиков и перестраховщиков по покрытию риска. Аналогичная тревога, возникшая после терактов 11 сентября 2001 года, привела к принятию закона о страховании рисков, связанных с терроризмом.

Будут ли потребители переживать о взломах беспилотного транспорта?

К сожалению, потребители привыкли к взломам, которые компрометируют их личную информацию. Нарушения кибербезопасности не привели к повышению потребительского спроса на повышение кибербезопасности. До сих пор потребители пожимали плечами, сменяли пароли и двигались дальше. Однако взломанные беспилотные автомобили угрожают целым рядом последствий, которые значительно превосходят последствия большинства потребительских взломов с точки зрения вероятности смерти и уничтожения имущества. Это может привести к повышению потребительского интереса к кибербезопасности беспилотного транспорта.

Основные выводы

1. Существующее законодательство достаточно гибко и сможет удовлетворить большинству претензий, касающихся взлома беспилотных транспортных средств.
2. Автопроизводители, поставщики запчастей и разработчики ПО могут быть привлечены к ответственности в случае взлома их автомобилей.
3. Законы об ответственности за качество продукции — наряду с законами о гарантиях, законами штата и федеральными законами о неприкосновенности частной жизни — являются наиболее важными законодательными актами.
4. Производители и владельцы должны быть в курсе атак на беспилотные транспортные средства и принимать меры предосторожности, чтобы избежать подобных атак и снизить риск собственной ответственности.
5. Государственные учреждения и поставщики инфраструктуры также могут быть привлечены к ответственности, если их халатность создаст возможность для кибератаки.
6. Некоторые крупномасштабные кибератаки на беспилотный транспорт могут превысить возможности страховщиков и привести к некомпенсируемым потерям. Политики могут пожелать рассмотреть возможность поддержки перестрахования.

---

Читать еще полезные статьи:

• [Прогноз] Транспорт будущего (краткосрочный, среднесрочный, долгосрочный горизонты)
• Лучшие материалы по взлому автомобилей с DEF CON 2018-2019 года
• [Прогноз] Motornet — сеть обмена данными для роботизированного транспорта
• Компании потратили 16 миллиардов долларов на беспилотные автомобили, чтобы захватить рынок в 8 триллионов
• Камеры или лазеры
• Автономные автомобили на open source
• McKinsey: переосмысляем софт и архитектуру электроники в automotive
• Очередная война операционок уже идет под капотом автомобилей
• Программный код в автомобиле
• В современном автомобиле строк кода больше чем…