Sürücüsüz araçlar tutuklanabilir mi? 

Halkın güvenini tekrar kazanma ihtiyacı duyan robotaksi filoları hız kesti. Siber suçluların yeni hedefi (otonom) sürücüsüz araçlar mı? Sürücüsüz araçların güvenliğini etkileyebilecek potansiyel tehditleri ve güvenlik açıklarını beraber keşfedelim.

İlk başta önemsiz görünüyordu ya da en azından güvenlikle ilgili büyük bir hikâyenin başlangıcı gibi görünmüyordu: Sosyal ağ sitesi Reddit’te paylaşılan bir video, Austin, Teksas’ta merkezi bir caddeye gelerek toplu halde duran ve geçici bir trafik sıkışıklığına neden olan bir grup robotaksiyi gösteriyor. Popülaritesi gittikçe artan bu platformda böyle şeyler daha sık oluyor. Hızlı bir araştırmanın sonunda, benzer olayları ele alan bir makaleyle karşılaştık. Sürücüsüz veya otonom araç filoları şu anda San Francisco ve Las Vegas’ta faaliyet gösteriyor ve pilot programlar Seattle’dan Miami’ye kadar Amerika Birleşik Devletleri’nin dört bir yanına yayılan yaklaşık bir düzine şehirde daha bulunuyor. Ve eğer merak ediyorsanız, bu yalnızca Amerika’ya özgü bir sorun değil: Sürücüsüz araçlar aynı zamanda Avrupa ve Asya’da da geliştiriliyor ve test ediliyor. 

Otonom araçların yol açtığı sorunlar olan, trafik sıkışıklığı, ıslak betona girme ve acil servis araçlarının engellenmesi halen devam ediyor. Bunlar aynı zamanda sürücüsüz otomobil şirketlerinin kötü niyetli olmayan hatalarından da kaynaklanmaktadır. Peki bunlar hata sonucu değil kasıtlı yapılan saldırıların sonucu olsa ne olur? 

Onlarca yıldır bilgisayar güvenliği konusunda öğrendiğimiz bir şey varsa, o da başarılı olan her teknolojinin hem yasal hem de yasa dışı olarak para kazanmaya çalışan girişimcileri kendisine çekeceğidir. Siber suçlular için otonom araçların cazibesi özellikle parlak görünüyor. Tüketicileri hedef alan hesap hırsızlığı ve işletmeleri hedef alan fidye yazılımları gibi tamamen siber alanda meydana gelen suç faaliyetlerinin yanı sıra, fiziksel dünyada araçlara sahip olmak bazı ilginç fırsatlar da sunuyor: 

• Müşterileri seyahat geçmişleriyle ilgili tehdit ederek kazanç elde etmek. Bilinmesini istemediğiniz karanlık bir yerde mi bulundunuz? Bu intikam pornosunun otomotiv alanındaki karşılığıdır. 

• Araçların uzaktan ele geçirilmesi. 
  • Otonom araçların bir kısmının (veya tamamının) durdurulması, fidye yazılımı tarzı gasp için yeni bir model haline gelebilir. 
  • Araçların yerel depolama alanını silmek veya artık çalışamayacak şekilde aygıt yazılımlarının üzerine yazmakla tehdit etmek, araç filosu sahibi için büyük maliyetler oluşturacaktır; bu kişi yalnızca her bir aracı kurtarmakla kalmayacak, aynı zamanda ilk başta kötüye kullanılmaya mahal veren güvenlik açıklarını düzeltirken her birinin donanım yazılımını ve yazılımını da geri yüklemek zorunda kalacaktır. 
  • Araç hırsızlığı (tamamen veya parçaları sökülerek) – eve giderken sanayide durun ve arabanın satılabilir parçalarını çıkartın, hareket halindeyken otomotiv diyeti yapın. 
  • Yolcuları kaçırmak, hatta onları dışarı çıkarmama ve bedelini ödetme tehdidi bile bazılarının işine yarayacak: Sonuçta ceplerinde veya çantalarında dijital bir ödeme yöntemi var ve bu da harika bir fidye fırsatı yaratıyor. Daha fazla ödemeleri gerektiğini düşünüyor musunuz? Polisi aramadan önce onları iplerle ve loş ışıklarla dolu, kötü bir TV şovu senaryosundan uzak bir yere götürün. Bu bakımdan, filo operatörüne yolcu kaçırma şantajı yapmak, korumaların haraç istediği eski yöntemlerin 21. yüzyıldaki versiyonudur. 

• Trafik sıkışıklığına neden olmak için araçları belirli bir yere göndermek. Bunu TJaaS yani Hizmet Olarak Trafik Sıkışıklığı ya da arabalarla DDoS olarak düşünebilirsiniz. 
  • Yoğun saatlerde yoğun kavşakları veya otoyolları hedeflemek. Zaten geleneksel sürücülü araçlarla tıkanmış olan yollar için, trafiği daha da yavaşlatmak ve ardından araçları dağıtmak için daha da büyük trafik sıkışıklıkları yaratmak; gerçekte ne olduğunu kim bilebilir? 
  • Trafiğin sıkışık olduğu havalimanları, tren istasyonları veya otobüs terminalleri, kolluk kuvvetlerini uzak tutmak isteyen, tehlikeli işler yapan kötü aktörler için araç bariyeri görevi görebilir. Otonom araçların neden olduğu trafik sıkışıklığı, soygunun devam ettiği bankaya polisin ulaşmasını bile engelleyebilir. 
  • Acil durum hizmetlerinin engellenmesi kolluk kuvvetlerini uzak tuttuğunuz bir SWAT operasyonu çeşididir, elbette bir ücret karşılığında. 
  • Diğer organize suç faaliyetlerinin örtbas edilmesi örneğin suç çeteleri tarafından gerçekleştirilen aniden kalabalıklaşan ortamlar yaratarak hırsızlık yapma, yasa dışı malların taşınması için araçların kullanılması gibi. Peki araç “sol bagaj” kullanılarak uyuşturucu ticareti yaptığını nasıl bilecek? 

• Güvenlik özelliklerini devre dışı bırakmak / kazalara neden olmak. Otonom araçlar arasındaki kazalar her zaman haber değeri taşıyan bir olaydır. Dolayısıyla kötü niyetli birisi şirketin hisselerini açığa satış yapar ve ardından araçlara kötü amaçlı yazılım yerleştirirse bu, tespit edilmesi zor bir “içeriden bilgi ticareti” yolu ile hisse senedi fiyat manipülasyonu yaratabilir. 

Bu tür saldırılarda kullanılabilecek tek aracın robotaksiler olmadığını belirtmek gerekir. Yollarda, kendi kendine sürüş kabiliyeti olan ve hırsızlık önlemi/uzaktan kilitleme işlevlerine sahip, giderek artan sayıda özel araç bulunmaktadır. 

Tüm bunlar, kulağa en iyi tabirle fantastik geliyorsa, kaçan arabaların artık bir kurgu değil ama gerçeklik olduğunu ifade etmemiz gerekir: Ekim 2023’te İskoçya’da bir elektrikli araç tüm kontrolünü kaybetti ve sürücü, aracı durdurmak için bir polis minibüsüne çarpmak zorunda kaldı. Tamamen otonom bir araç olmasa da aracın yavaşlamasını veya motoru kapatmasını engelleyen, arızalı karmaşık bir sürücü destek sistemine sahipti. Bu herhangi bir kötü niyetli faaliyetin sonucu gibi görünmese de araçların bilgisayar sistemleri ile olan bağlantısının önemini gösteren bir olaydı. 

Sürücüsüz araçlar ile ilgili bir diğer endişe ise ticari kamyonlardır.  

Değerli kargo taşıyan otonom bir kamyon, suçluların seçeceği bir yerde durdurulabilir veya oraya yönlendirilebilir ve polis gelmeden kargosu çalınabilir. 

Kamyonlar, kargoların gemilerden boşaltıldığı rıhtımlar gibi transit merkezlerini kapatmak için de kullanılabilir. 

Ayrıca kapılar, bariyerler veya diğer engellerle ayrılmış kısıtlı alanlara giriş sağlamak için koçbaşı olarak da kullanılabilirler. Bu, ilk olarak A-Takımında gördüğümüz, ancak bilgisayar programcıları tarafından kötü niyetli olarak kullanılan, aceleyle tasarlanmış, çelik kaplı doğaçlama zırhlı araçların baş döndürücü günlerini hatırlatıyor. 

Otonom araçlar, bir saldırganın emirlerini yerine getirmek üzere araçları durdurmak ve “yeniden eğitmek” için yerelleştirilebilen, daha yaygın olarak bulunan GPS karıştırma tekniklerinin kurbanı olmaya oldukça açık görünüyor. Çobanlarının emriyle kaçan arabalardan oluşan bir saldırı videosu, teknik ayrıntılar ne olursa olsun viral olacak kadar güçlü bir video olabilir. 

Doğru tespit yapmak gerekirse, birçok yenilik arasında özellikle hızla kabul gören bu yeni teknoloji hayal gücünün sınırlarını aşıyor ve yeni engeller yaratıyor. Ancak artan şöhret aynı zamanda dijital savunmayı güçlendirmeye yardımcı olabilecek teknoloji meraklılarını da cezbediyor. Böylece robotaksi sürüleri pahalı aktörler veya çok sayıda oyuncu olmadan düşük bütçeli bir filmin olay örgüsüne konu olmuyor. 

Geleneksel insan gücüyle çalışan arabalarla aynı yollarda gidebilen otomobil şeklindeki otonom araçlar, son birkaç on yılda otomobil teknolojisinde yaşanan en büyük değişikliklerden birini temsil ediyor. Geçmişi yüzyıldan fazla olan ulaştırma mühendisliğinden öğrenilen bazı temel önlemlerin unutulmaması gerekir gibi görünüyor: 

• Bireylerin veya işletmelerin sahip olduğu otonom araçlar, acil durumlarda bir insan tarafından çalıştırılabilecek kontrollere sahip olmalıdır. Yapay zeka, sürüş konusunda ne kadar iyi olursa olsun, bir insan sürücünün tüm yapabileceklerini hiçbir zaman ön göremeyebilir ve bunlara yanıt veremeyebilir. Yapay zeka “otomatik pilotunu” devre dışı bırakabilecek yönlendirme, hızlanma ve frenleme mekanizmalarının sağlanması, hayat kurtarmakla “sadece” kazaya karışmak arasındaki fark anlamına gelebilir. Makineler bilinen kalıpları yönlendirmede iyidir, ancak insanlar otomatik eğitim setlerinde makul bir şekilde ele alınamayacak joker olayları yönetebilir. Hayalet kostümü giymiş bir çocuğun sizi korkutmak için dışarı fırladığı bir durumda; Siz ne yapacağınızı bilirsiniz ama arabanız bilmeyebilir. 
• Taksi veya servis hizmeti olarak kullanılması amaçlanan araçlar için, yolcu rayları ve metro araçlarında kullanılan  acil durum imdat ipleri veya düğmelerinden farklı olmayan bir acil durum frenleme sistemi yolcuların erişimine açık olmalıdır. Her ne kadar demir yolları kara yollarından farklı çalışma prensibine sahip olduğu için teknik olarak da farklı olması gerekse de arzu edilen sonuç, sürücüsüz otomobilin yolcularını, etrafındaki diğer araçları veya yakındaki yayaları tehlikeye atmayacak şekilde güvenli bir şekilde durması olacaktır. 
• İster bir insanın otonom bir aracın tam kontrolünü ele geçirmesi isterse sadece acil durum frenini çekmesi olsun, bu eylemler, General Motor’un OnStar’ı, Subaru’nun StarLink’i ve diğer AACN (gelişmiş otomatik çarpışma bildirimi) hizmetleri tarafından sağlanan mevcut hizmetler gibi, etkinleştirildiğinde hem filo operasyonlarını hem de acil durum hizmetlerini otomatik olarak bilgilendirmelidir. 

Sürücüsüz araçlar, yollardaki herkes için daha güvenli bir gelecek yaratma potansiyeline sahiptir. Bununla birlikte, otonom araç üreticileri ve filo operatörleri (ki bunlar bazen aynı şeydir, bazen de değildir) için güvenlik birincil kaygı olmalıdır. Bu ancak bu araçların güvenliği ön planda tutacak şekilde tasarlanması durumunda gerçekleşebilir. 

İlgili makale: Otomotiv Sektöründe DLP (Veri Kaybını Önleme)