«Et mysterium at de slipper kinesiske biler inn i garasjene»

I boken «Jeg har ikke noe å skjule» skriver han at informasjon fra bilen, satt sammen med mobiltelefonen, «utgjør et nærmest komplett bilde av hvordan du lever livet ditt».

Bilindustrien har fokusert mye på hvordan teknologien åpner for de kommersielle mulighetene som ligger i trådløse oppdateringer, der kunden betaler dyrt for abonnements­løsninger eller oppgradering til nye egenskaper.

Hanssen er mer opptatt av hvordan den samme teknologien representerer en sikkerhetsmessig risiko.

Ikke bare fordi alle biler kan hackes, som Hanssen er overbevist om at de kan. Men fordi vi vet lite om hvordan innsamlet data håndteres, særlig på kinesiske biler.

– Du og jeg er knapt personer av interesse, men de som er, bør være ekstra forsiktige. Hva er tanken hvis du er ansatt i Forsvaret og jobber på Kolsås, dit du kjører til og fra i en bil som kan spores? Jeg forstår ikke hvordan man i Forsvaret, politiet eller stats­forvaltningen aksepterer at det kjører kinesiske biler rundt i garasjene deres. Det er et mysterium for meg.

Tesla-restriksjoner

I prinsippet skal persondata lagres i Europa, i tråd med GDPR-reglene. Men ingen kan si at det ikke er mulig å hacke bilen. da svenske IT-sikkerhetsstudenter gjorde en undersøkelse for Vi Bilägare for to år siden, var MG Marvel-modellen de testet i direkte kontakt med en kinesisk server under bruk. MG er et merke i det statseide SAIC-konsernet.

Kinesiske myndigheter kaller anklager om at kinesiske biler kan utgjøre en sikkerhets­risiko for «ubegrunnet konspirasjon».

– Hvis du kjører en kinesisk bil hvor all informasjon kan hentes ut av kinesiske myndigheter, kan du samle visuelle inntrykk fra områder de mener er interessante. De vet godt at det er mulig, for de har selv restriksjoner på hvor du kan kjøre en Tesla i Kina – nettopp av denne grunnen. Og de har selv et godt lovverk rundt dette: Informasjon fra biler samlet inn i Kina, må lagres på kinesiske servere. De vet hva de driver med, sier Eystein Hanssen – og fortsetter:

– For deg personlig er risikoen i første omgang at din bevegelse kan bli misbrukt, men det får kanskje ikke betydning for deg som individ. Masseinnsamling, geospatial intelligence som det kalles, kan ved KI-analyse gi veldig mye informasjon om hvem vi er, og hva vi gjør, og hva vi sier. Russland har gjort dette og brukt det i stor skala i propaganda mot ukrainske borgere. Så vi er med på å fôre et monster, selv om vi kanskje ikke rammes direkte selv, sier han.

Som en datamaskin

Eystein Hanssen ber oss se på bilen som en datamaskin, på linje med en Mac eller PC. Men bilene har også masse sensorer, kameraer og mikrofoner, som gjør det mulig å samle informasjon. Og det blir i stor grad gjort. 

– Det som i mindre grad diskuteres, er regelverket for hvordan denne informasjonen samles inn og lagres – og hva som blir gjort med den. Se på GDPR-direktivet: Hvis du går inn i en heis og det er overvåkningskamera i heisen, så skal opptaket slettes etter tre måneder. Det sier EUs regler. Det er mulig det samme gjelder for biler, men hvor lagres informasjonen? Fra en kinesisk bil? Fra en Tesla? Går ikke noe av dataen til USA? Det stoler jeg ikke på. Det er som med Microsoft, som sier «vi lagrer all data i EU», men så viser det seg at det sildrer metadata til USA, sier Hanssen.

– Når disse bilene samler informasjon om deg og hvordan du opptrer i trafikken, så bidrar det til å samle et bilde av hva du ellers driver med og hvor du har vært.

Han mener det er viktig med et bevisst forhold til hvilken informasjon samles inn, hvor lagres det, hva gjøres med den informasjonen og når slettes den.

– Jeg vet ikke hvordan det er med min bil, jeg har en japansk elbil. Men jeg vil mye heller ha japansk enn en kinesisk når det kommer til disse spørsmålene. De fleste av oss har ikke noe bevisst forhold til dette i det hele tatt. Når du kobler mobiltelefonen din til systemet i bilen, så deler du dine adresselister, informasjon om hvem du ringer til og får samtaler fra. Og avhengig av hvilken sensorikk du har gående på mobilen, for eksempel stedstjenester, så deler du informasjon fra appene, som også ender opp i bilen før den forsvinner til en eller annen server et eller annet sted. Dette burde vi, om mulig, få klarhet i.

Rettslig kjennelse

Hvorfor kinesiske biler er et problem for seg, handler ikke bare om teknologi.

– Da er vi fort over i politikken. USA fremstår enn så lenge som et demokrati, de har et system som gir forutsigbarhet ut fra hvordan vi ønsker å leve våre liv. Og fortsatt må amerikanske myndigheter ha en rettslig kjennelse hvis de vil ha informasjon om en borger. Slik er det ikke i Kina, sier Hanssen.

– Der har man derimot gjort et av de sosiale mediene til et poengsystem, hvor informasjon om deg som individ og hvordan du oppfører deg i samfunnet, gir poengscore hos myndighetene – og regulerer hva du får tilgang til, hvordan du behandles, og til og med kreditt­ratingen din. Et land med en slik totalitær tilnærming til å kontrollere innbyggerne, er for meg et større problem enn at USA gjør det, sier han – og legger til:

– Men for all del: Jeg ønsker ikke at amerikanske eller tyske eller koreanske myndigheter skal ha dette, heller. De japanske har i hvert fall et lovverk som sikrer individets rett til privatliv og private data.

(Saken fortsetter under annonsen)

Alt kan hackes

På alle nye biler flotter man seg med muligheten for «over-the-air»-oppgradering av funksjonalitet, altså at biler kan få nye funksjoner via en trådløs oppdatering.

– Hvis det er slik at noen kan sitte et eller annet sted og med noen tastetrykk sørge for at bilen din kan få firehjulsdrift, så kan de i prinsippet gjøre hva de vil med bilen. Det neste spørsmålet er da: Kan den hackes? Og svaret er utvilsomt, ja, det er mulig, hvis det er toveis-kommunikasjon mellom bilen og en datamaskin. Og selvsagt kan da en korrupt funksjon lastes opp. Det er fullt mulig.

– Det er du ikke i tvil om?

– Nei, nei, nei. Selvfølgelig kan du gjøre det. I datamaskinens språk er dette bare 1-tall og nuller. Så vil bilprodusentene si at de har den beste sikkerheten som tenkes kan. Og det har de sikkert. Men ingen kan si at det ikke er mulig å hacke bilen.

– Hva kan man gjøre for å redusere eller eliminere den muligheten?

– Jeg skal være forsiktig med å svare bastant på det spørsmålet, men det er nok av folk som har vist at dette ikke er så vanskelig. Det er egentlig ingenting som skiller en bil fra en PC eller mobil i denne sammenhengen. Har du en trådløs forbindelse til en bil, så er det som om du har en trådløs forbindelse til en server. 

– La oss ta for gitt at tilgangen er kryptert. For å komme inn i bilens datamaskin, må du enten inn i bilen, eller inn hos den som sender informasjonen. Du vil ikke kunne tæppe inn på selve oppdateringen under en kryptert forbindelse. Men er du inne i serveren som har forbindelse til bilen, så vil du kunne korrumpere neste programvareoppdatering, slik at bilen opptrer uforutsigbart.

– Så kan man spørre: Hva skulle motivet være? Det kan være å spre usikkerhet, det kan være nysgjerrighet, det kan være hva som helst. I researchen til boka intervjuet jeg flere personer i de norske etterretnings­­tjenestene. Jeg spurte en av dem hvorfor i all verden noen hacket seg inn for å drive med ulovlig spredning av norske lydbøker, som vi hadde et tilfelle av på litteraturfeltet. «Velkommen til vår verden, slike vurderinger er det vi bruker mest tid på», svarte han.

– Har du kunnskap om kinesiske biler er lettere eller vanskeligere å hacke enn andre?

– Nei. Men jeg er helt sikker på at alt kan hackes. Mange vil briske seg med å være aller flinkest på hacking, kineserne er i hvert fall gode. Datainnbruddene på Stortinget og hos Visma var det kinesere som sto bak. Men de trenger ikke engang kompetanse for å hacke en kinesisk bil. Ministeriet for statssikkerhet (MSS, kinesisk etterretning) kan bare si at de trenger den og den informasjonen, så får de den. 

Hvilken Y?

– Norges mest solgte bil, Tesla Model Y, lages i USA, Tyskland og Kina. Man kan ikke se forskjell på dem. Er det grunn til å tro at de har ulik teknologi?

– Det vet jeg ikke. For modellen som er laget i Kina, får man bare forutsette at Tesla kan garantere for løftet om at den holder samme standard. Jeg vet ikke om man bruker nøyaktig de samme digitale komponentene, men for hver eneste av dem – alt av transistorer, minne, prosessorer – finnes det alternativer med tilsynelatende identisk spesifikasjon. Samtidig er det nesten ikke mulig å tenke seg at det er nøyaktig de samme alle tre steder, det ville være veldig rart. Uansett, hvis vi tar et fugleperspektiv: Det er så enkelt som at hvis den er laget i Kina, så er det kinesisk lov som gjelder. Siden det er et amerikansk selskap som har produksjon i Kina, vil jeg tenke meg at de har kontrollmekanismer som er annerledes enn på nabofabrikken hvor et kinesisk selskap lager kinesiske biler.

– Det er nesten ikke mulig å unngå elektronikk som er laget i Kina. Men det er bedre å velge noe fra et vestlig selskap, enn et helkinesisk produkt, for da er det i hvert fall noen grad av vestlig tenkemåte inne i prosessen.

– Men de møter jo de samme standardene? Lurer de seg unna? 

– Det er da ekstremt vanskelig å si noe sikkert om alternativene. Tesla bør kunne si noe om de bruker helt identiske komponenter. Hva er innkjøps­historikken på komponentene som brukes i Kina? Og hva er historikken på de som brukes i Tyskland? Jeg tror jeg helst ville valgt de som er laget i Tyskland. Og det antar jeg du også ville.