Егор Баяндин, Whoosh: Нужно уделять достаточное внимание информационной безопасности как в части разработки электроники, так и софта для неё

Егор Баяндин, ИТ-директор компании Whoosh, рассказал порталу Cyber Media о трендах в обеспечении кибербезопасности общественного транспорта и средств городской мобильности, специфике обеспечения ИБ в сфере кикшеринга.

Cyber Media: Общественный транспорт современного города, в той или иной мере, цифровизован. Какие риски информационной безопасности, на Ваш взгляд, стоят наиболее остро в этом контексте?

Егор Баяндин: Если мы говорим про кикшеринг, я не думаю, что есть какие-то специфичные именно для него риски информационной безопасности. Скорее – тут все те же общие риски, которые актуальны для всего транспорта.

Большая часть проблем так или иначе связаны с цифровой грамотностью. Пользователям нужно больше внимания уделять цифровой гигиене. Тот же недавний случай по поводу фейковых QR-кодов на самокатах: если пользователь соблюдает базовые правила, скачивает приложение из официальных магазинов и сканирует QR-коды только нашим приложением, то никаких рисков для него нет.

Cyber Media: С точки зрения рисков кибербезопасности, есть ли отличия между городским общественным транспортом и средствами городской мобильности (кикшерингом)?

Егор Баяндин: Если происходит, какое-то недопустимое событие в метро, то это потенциально может привести к большим последствиям, например – к транспортному коллапсу, очередям, перегрузке городского транспорта.

Если говорить про кикшеринг, то последствия именно для города будут гораздо меньше, поскольку это именно средство мобильности, а не безальтернативный общественный транспорт.

Но последствия, если мы говорим о сбое в работе самокатов, будут заметны. В 2019 году, когда мы только запустили свой сервис, вероятно, никто особо и не заметил бы, поскольку количество пользователей было небольшим. Сейчас, когда у нас около 20 тысяч устройств по всему городу, и гораздо больше постоянных пользователей (11,9 млн по состоянию на конец 2022 года), это безусловно станет событием.

К какому-то недопустимому событию в масштабах мегаполиса это вряд ли приведет, но скажется на привычном, ежедневном перемещении наших пользователей. Поэтому мы очень внимательно относимся к работе нашей платформы.

Cyber Media: Если говорить конкретно о средствах городской мобильности, насколько часто они становятся целью кибератаки и чего пытаются добиться злоумышленники?

Егор Баяндин: Если мы говорим конкретно о работе хакеров то, в сравнении с другими отраслями, относительно нечасто.

Если мы говорим про различный скам, фрод и другие виды кибермошенничества, то достаточно регулярно. Например, постоянно появляются телеграм-каналы, которые пытаются продать какие-нибудь промокоды или какие-то лайфхаки, как можно бесплатно кататься. Наш отдел информационной безопасности изучает все эти каналы и в 99% случаев – это развод. То есть, вы заплатите деньги и в итоге ничего не получите, либо получите, условно говоря, какой-нибудь публичный промокод, который и так известен всем. Своим пользователям мы советуем доверять только официальным каналам компании (сайт, соцсети), и призываем не скачивать сторонние файлы из неизвестных источников.

Cyber Media: В этом году широко разошелся инцидент с угонами автомобилей Tesla, которые «вскрывались» при помощи программных уязвимостей. Чтобы минимизировать риск таких инцидентов с личным и общественным транспортом, что должен предпринять производитель?

Егор Баяндин: Любое устройство, которое подключено к сети, должно быть защищено. Нужно уделять достаточное внимание информационной безопасности как в части разработки как электроники, так и софта для неё.

Мы со своей стороны стараемся использовать либо реализовывать все современные подходы. То есть, это не только шифрование, это и дополнительная авторизация, и проверки, и ряд других мер защиты.

Cyber Media: Следующим логичным шагом в контексте городского транспорта, наиболее вероятно, станет внедрение элементов беспилотного управления. На Ваш взгляд, насколько это критично с точки зрения кибербезопасности?

Егор Баяндин: Если мы говорим про кикшеринг, я не думаю, что мы в скором времени увидим что-то беспилотное.

Если мы говорим про автомобили, то, скорее всего, беспилотные вещи будут появляться в привязке к каким-то локальным историям, определенной территории, не предназначенной для общего пользования. Во-первых, потому что это сама по себе технически задача достаточно сложная. Во-вторых, безусловно, крайне важен уровень безопасности.

История с «Теслой» и ряд других кейсов показывают, что такой транспорт можно не только «вскрыть», но и перемещать, активировать разные элементы управления. Вполне можно предположить, что автомобиль можно и «заставить» специально отклониться от курса и влететь в отбойник.

Если мы говорим про самокаты, то угроза стороннего воздействия на устройство минимальна. Но я не вижу путей для развития автономного вождения самокатов в данный момент. Я думаю, что, скорее всего, будет продолжать развиваться история с медленными зонами: локациями, где самокат либо сбрасывает скорость до какого-то ограничения, либо не может перемещаться.

Cyber Media: Насколько реальна история с тем, что условный злоумышленник может подойти к устройству после того, как им попользовался пользователь, и вытянуть из него какую-то сессию, какие-то данные?

Егор Баяндин: Важно сказать: самокат не хранит данные о пользователе. Злоумышленник не сможет из него ничего «вытянуть», потому что наши устройства работают в режиме онлайн. Все данные, которые они собирают, передаются на сервер.

И, опять же, самокаты собирают информацию не столько о пользователе, сколько непосредственно о самом устройстве: траектория поездки, качество дорожного покрытия, заряд аккумулятора и износ и так далее. С этой точки зрения, мне кажется, ценность таких данных для злоумышленников не сильно большая.

Cyber Media: Какие меры Вы принимаете для защиты данных пользователей и своей инфраструктуры?

Егор Баяндин: Мы не можем в подробностях описывать нашу систему защиты по понятным причинам. Но этому направлению мы уделяем много внимания.

Во-первых, в компании есть служба, которая отслеживает все действия в платформе и развивает собственную системы безопасности. Это нужно для защиты сервиса от постоянно меняющихся способах хакерских атак. Мы работаем так, чтобы всегда быть на шаг впереди злоумышленников. Важно также сказать, что мы не храним у себя номера банковских карт. То, что вводят пользователи, попадает и хранится напрямую в банках. Это, по сути, является гарантом безопасности платежной информации пользователей.

Наша система также осуществляет постоянный контроль за состоянием самокатов и велосипедов. Технология может автоматически блокировать устройство в случае неправомерных действий со стороны. Такие случаи берет в работу служба безопасности или операционная команда. Используя данные IoT модулей самокатов, мы организовали собственную систему гео-аналитики, с помощью которой управляем парком в каждом городе присутствия – расставляем самокаты по парковкам в нужных локациях, где они будут востребованы как городской транспорт, следим за зарядом и техническим состоянием. Это большой объем работы, который не виден со стороны, но зато заметен эффект – заряженные самокаты стоят в исправном состоянии и там, где они сейчас нужны.