17 februari 2020

Ökat fokus på reglering av cybersäkerhet i smarta fordon

Självkörande fordon kan snart vara en del av vår vardag. Men ju mer digitaliserad vägtrafiken blir desto större oro för tekniska sårbarheter, vilket har gjort regleringen av cybersäkerhet allt viktigare. För att både industrin och myndigheter ska bli medvetna om vilka säkerhetskrav som gäller har FOI kartlagt de bestämmelser som finns för smart vägtrafik.

Fordon i rörelse

En fullvärdig reglering för uppkopplade, automatiserade fordon behövs och framför allt är det viktigt att den efterlevs. Foto: Fuyu Liu/Shutterstock.

Sårbarheten hos uppkopplade fordon har fått betydande konsekvenser för fordonsindustrin. Bland annat har drygt tre miljoner bilar fått återkallas för att obehöriga har kunnat manipulera dem så att de inte längre varit körbara, eller till och med har kunnat styras på distans.

Idag uppskattas 100 miljoner bilar ha säkerhetsbrister och utvecklingen av självstyrande fordon har gjort frågan kring cybersäkerhet allt mer aktuell. En fullvärdig reglering för uppkopplade, automatiserade fordon behövs och framför allt är det viktigt att den efterlevs.

På uppdrag av Myndigheten för samhällsskydd och beredskap (MSB) har FOI kartlagt vilka säkerhetsprinciper och bestämmelser som existerar i dagsläget och vilka som är relevanta för svenska företag och myndigheter.

– Syftet med kartläggningen är att höja medvetenheten om bestämmelserna hos berörda aktörer och bidra med en översikt för beslutsfattare, berättar Erik Zouave, analytiker på avdelningen för försvarsanalys och en av forskarna bakom studien.

Vissa lagrum mer betydelsefulla

Kartläggningen visar att lagstiftningen för cybersäkerhet i transportsektorn är både splittrad och svåröverskådlig, med olika krav som riktas till olika typer av aktörer och verksamheter. Men vissa lagrum kan bli mer betydelsefulla än andra, som till exempel Europaparlamentets resolution om civilrättsliga bestämmelser för smart robotteknik.

– Den gäller även för smarta transportmedel och definierar vilken typ av etiska säkerhetsbetänkanden som gäller för ingenjörer och vilka olika tillstånd som krävs för konstruktörer och användare. Resolutionen kommer att få en strategisk verkan på ny lagstiftning inom EU och ha stor slagkraft 20 år framåt, säger Erik Zouave.

Dessutom omfattas smarta vägnät och fordon av dataskyddslagen GDPR. Det innebär bland annat att system- och fordonstillverkare måste skydda personuppgifter så att de inte blir åtkomliga för obehöriga.

Sedan april 2019 finns också Sveriges nya säkerhetsskyddslag som gäller för objekt i behov av ett förstärkt skydd mot sabotage, terror och spioneri.

– Här finns det betänkanden om kompletteringar till lagen som innebär att styrsystem och infrastruktur för transporter ska ingå, säger Erik Zouave.

Behövs fler tekniska åtgärder

Åtgärder som återkommer i regleringen är att företag måste anmäla sin utvecklingsverksamhet till behöriga myndigheter, bedöma risker, vidta säkerhetsåtgärder och rapportera säkerhetsincidenter.

– Många av lagarna fokuserar på konkreta organisatoriska åtgärder. Tekniska åtgärder är svårare eftersom de behöver anpassas efter verksamheter och teknologiutveckling. Men om företag och myndigheter ska bli bättre på cybersäkerhet i smart vägtrafik behövs också dessa, avslutar Erik Zouave.

FOI ska i samarbete med MSB stärka det förebyggande arbetet med IT-säkerhet under uppbyggnaden av nya intelligenta transportsystem. FOI:s kartläggning av lagar för cybersäkerhet i smart vägtrafik har föregåtts av dels en hotanalys av informationssystem för farligt gods, dels en kartläggning av elektroniska styrsystem i tunga fordon.