Беспилотные автомобили призваны сделать транспорт более безопасным и доступным. Однако хакеры могут помешать этому. Этих весьма тяжелых и быстрых роботов на колесах, управляемых искусственным интеллектом, можно взломать и использовать в преступных целях. Исследователи из компании RAND изучили юридические последствия, с которыми столкнутся хакеры, если они будут зламывать беспилотные автомобили. Хотя такая ситуация маловероятна, риск ее возникновения высок, поскольку взлом автомобиля может привести к смерти, материальному ущербу, вымогательству или краже информации. Исследователи обнаружили, что существующий закон о гражданской ответственности на начальном этапе, вероятно, будет достаточно гибким, чтобы приспособиться к большинству судебных исков, которые возникают в результате взлома роботизированных транспортных средств. Тем не менее, всем сторонам, вовлеченным в процесс внедрения беспилотного транспорта (производителям, владельцам, страховщикам, политикам и другим),
уже сейчас следует задуматься о рисках, их последствиях с точки зрения закона, а также об ответных мерах со стороны регуляторных и законодательных органов. Внедрение этой технологии и ее способность приносить пользу обществу зависит не только от самих рисков, но и от их восприятия, а также от правовых структур, которые могли бы их компенсировать. Даже если эти риски невелики, лицам, ответственным за разработку правовых норм, необходимо будет предвидеть и реагировать на потенциальные проблемы, чтобы обеспечить максимальную выгоду от беспилотного транспорта.
Предвидение беспилотного будущего
Беспилотный транспорт может обеспечить большую мобильность для тех, кто не умеет водить машину, более безопасные дороги, а время вождения можно будет посвятить более продуктивным задачам — все это стимулирует массовые инвестиции в эту технологию. Политики, в свою очередь, начинают решать, как интегрировать беспилотные автомобили в общество.
Наряду с такими проблемами, как экономическое вытеснение профессиональных водителей, перспектива десятков тысяч автомобилей, гоняющих без контроля по воле хакеров, должна затормозить действия политиков и защитников беспилотного транспорта, даже если вероятность возникновения такой ситуации мала.
Беспилотные автомобили уязвимы для множества различных хакерских атак. Уязвимости программного обеспечения, физические атаки через устройства с вредоносным кодом и взлом ключевых аппаратных компонентов — все это должно быть продумано. Через эти атаки хакеры могут отключать транспортное средство, изменять его курс с целью нанесения ущерба, а также манипулировать личными данными и красть их – и это лишь некоторые из угроз.
Чтобы помочь законодателям предвидеть гражданско-правовые последствия взлома беспилотного транспорта, исследователи RAND изучили несколько правдоподобных сценариев, в которых система беспилотного управления может быть взломана, что приведет к какому-либо ущербу, который может быть компенсирован с помощью гражданского судопроизводства.
Многочисленные уязвимости
Исследователи RAND рассмотрели ряд сценариев взлома беспилотного транспорта, который поможет продемонстрировать разнообразие юридических проблем, стоящих перед гражданско-правовой системой, страховщиками и другими сторонами. Эти сценарии были созданы на основе реальных случаев взлома или повреждения обычных транспортных средств и при помощи воспроизведения сценариев, призванных помочь в анализе ответственности.
RAND рассмотрели следующие ситуации:
- Хакер получает доступ к сети беспилотного транспорта, чтобы отключить машину и потребовать выкуп от владельца для ее восстановления
- Хакер берет под контроль машину военного офицера, припаркованную на военной базе, и управляет ей, чтобы повредить стоящий в ангаре военный самолет
- Хакеры берут под контроль инфраструктуру, управляющую светофорами, и манипулируют сигналами, чтобы вызвать ДТП на перекрестках
- Хакеры посылают внедряют вредоносное ПО в беспилотные машины, принадлежащие прокатной компании. Это ПО заражает другие корпоративные системы, что приводит к потере информации о клиентских платежных данных, и совершению мошеннических операций.
Для этих сценариев была проанализирована гражданская ответственность различных сторон. В ходе обсуждения были определены стороны, которые могут быть названы ответчиками в судебных процессах, связанных с кибератаками на беспилотный транспорт, при этом особое внимание было уделено следующим сторонам:
- Производители беспилотного транспорта
- Производители ПО
- Поставщики беспилотного транспорта
- Владельцы беспилотного транспорта и лица, обслуживающие его
Реакция со стороны гражданского права
Поскольку федеральных и государственных законов о беспилотных транспортных средствах (и транспортных средствах, подключенных к сети) очень мало, законы об ответственности за качество продукции (наряду с законами о гарантиях), а также государственные и федеральные законами о защите персональных данных, скорее всего, будут самыми важными нормами права при рассмотрении судебных исков, связанных с кибератаками на беспилотный транспорт.
Халатность и строгая ответственность – две правовые концепции, которые будут играть ключевую роль в гражданских исках, возникающих в результате атак на беспилотный транспорт. Обе концепции предполагают баланс между перспективами кибератак и затратами, связанными с внедрением менее уязвимых альтернативных технологий.
К другим областям права, которые могут определять ответственность в контексте взлома беспилотного транспорта, относятся:
- Нарушения законодательства о защите прав потребителей
- Введение в заблуждение, мошенничество и сокрытие мошенничества
- Гарантийные обязательства
- Законы о неприкосновенности частной жизни.
Гражданско-правовые последствия взлома беспилотного транспорта
Исследователи RAND применили существующую гражданско-правовую базу к разработанным ими сценариям, что привело их к многочисленным выводам, которые заинтересуют тех, кто будет определять будущее роботизированного транспорта, включая пользователей, владельцев, производителей, страховщиков и политиков:
- Автопроизводители, поставщики комплектующих, разработчики ПО, и дистрибьюторы беспилотных транспортных средств могут понести ответственность за случаи взлома автомобилей.
- Владельцы транспортных средств могут также нести ответственность за кибератаки, если, например, они откажутся от установки важного обновления системы безопасности, из-за чего хакеры смогут взять контроль над их автомобилями и причинить ущерб.
- Существующее законодательство о гражданской ответственности, скорее всего, будет достаточно гибким для того, чтобы адаптироваться к искам о взломе беспилотного транспорта (по крайней мере, в случае с атаками малого и среднего масштаба)
- Из-за роли предсказуемости в определении ответственности за преступные действия третьей стороны (вроде хакерства), вопрос осведомленности о предыдущей эксплуатации уязвимости, скорее всего, будет играть ключевую роль в определении ответственности согласно существующему гражданско-правовому законодательству.
- Анализ затрат и предсказуемости окажут влияние на определение ответственности за ущерб от кибератак при рассмотрении дел о халатности и ответственности за качество продукции— Такой анализ потребует от судов ознакомления с соответствующими технологиями.
Государственные учреждения будут потенциальными ответчиками по гражданским искам, возникающим в связи с инцидентами, связанными с небезопасной инфраструктурой. Несмотря на значительные различия в законодательствах разных штатов, государственные и местные правительственные учреждения, скорее всего, будут защищены неприкосновенностью, так как они адаптируют дорожную инфраструктуру для беспилотного транспорта. Эта неприкосновенность может не применяться в случае выполнения ведомственных задач, вроде технического обслуживания дорог.
Когда беспилотный транспорт и вспомогательная инфраструктура будут развиваться, государственные агентства, скорее всего, будут привлечены к гражданской ответственности, если их халатность даст злоумышленникам простор к действию. Значительные различия между государствами в отношении доктрины о неприкосновенности усложняют анализ.
Возможные действия со стороны регуляторов
Вывод о том, что существующая гражданско-правовая база, скорее всего, адаптируется к широкому внедрению беспилотного транспорта, не отменяет того факта, что лица, ответственные за разработку правовой базы, должны рассмотреть следующий вопрос – будут ли законодательные подходы, определяющие роли и обязанности, способствовать внедрению этой технологии?
Такая нормативная база может принести пользу в плане прояснения обязанностей, но также может быть негибкой по сравнению с системой общего права в условиях трудно прогнозируемого технологического развития и новых тенденций в области фактических обстоятельств.
Аналогичным образом, было бы полезно лучше понять и, возможно, прояснить вопросы потребительского и коммерческого страхования беспилотного транспорта от кибератак. Таким образом, потребители, автопроизводители и законодатели смогут лучше понять, какие стороны будут нести расходы, связанные с подобными атаками.
Законодательные органы, возможно, также пожелают тщательно продумать, как правовая система может справиться с крупномасштабной атакой. Такая атака может привести к банкротству и безвозмездным потерям в результате превышения возможностей страховщиков и перестраховщиков по покрытию риска. Аналогичная тревога, возникшая после терактов 11 сентября 2001 года, привела к принятию закона о страховании рисков, связанных с терроризмом.
Будут ли потребители переживать о взломах беспилотного транспорта?
К сожалению, потребители привыкли к взломам, которые компрометируют их личную информацию. Нарушения кибербезопасности не привели к повышению потребительского спроса на повышение кибербезопасности. До сих пор потребители пожимали плечами, сменяли пароли и двигались дальше. Однако взломанные беспилотные автомобили угрожают целым рядом последствий, которые значительно превосходят последствия большинства потребительских взломов с точки зрения вероятности смерти и уничтожения имущества. Это может привести к повышению потребительского интереса к кибербезопасности беспилотного транспорта.
Основные выводы
- Существующее законодательство достаточно гибко и сможет удовлетворить большинству претензий, касающихся взлома беспилотных транспортных средств.
- Автопроизводители, поставщики запчастей и разработчики ПО могут быть привлечены к ответственности в случае взлома их автомобилей.
- Законы об ответственности за качество продукции — наряду с законами о гарантиях, законами штата и федеральными законами о неприкосновенности частной жизни — являются наиболее важными законодательными актами.
- Производители и владельцы должны быть в курсе атак на беспилотные транспортные средства и принимать меры предосторожности, чтобы избежать подобных атак и снизить риск собственной ответственности.
- Государственные учреждения и поставщики инфраструктуры также могут быть привлечены к ответственности, если их халатность создаст возможность для кибератаки.
- Некоторые крупномасштабные кибератаки на беспилотный транспорт могут превысить возможности страховщиков и привести к некомпенсируемым потерям. Политики могут пожелать рассмотреть возможность поддержки перестрахования.
Автор: T-800
Источник: https://habr.com/