Lagrer enorme mengder data:
Slik spionerer bilen din på deg
Moderne biler er i stadig større grad komplekse datasystemer på hjul. Men vet du hvilke data bilens systemer egentlig lagrer og hvor det blir av dem? Teknologianalytikeren Geoffrey A. Fowler bestemte seg for å finne det ut.
DETTE ER SAKEN: En bilist i USA lot frivillig en hacker gå inn og undersøke hva slags data bilen hans registrerte og lagret, og hvem dataene potensielt kunne deles med. Resultatet sjokkerer.
Historien til Fowler, som du finner et utdrag av nedenfor, kan gi noen hver bakoversveis:
«Da vi hentet ut dataene fra multimediasystemet – kjøpt på eBay – til en Chevrolet, fikk vi opp de nøyaktige kjørerutene til en tidligere eier, en for oss ukjent person. Det var registrert hvor han hadde vært, hvor langt han hadde kjørt og hvilke kontakter han hadde på telefonen. Vi kunne se gjentatte oppringninger underveis til en person registrert som «sweetie» («søta») i systemet, som selvsagt også hadde registrert fotografiet av vedkommende. Vi kunne se ved hvilken Gulf-bensinstasjon de hadde fylt tanken, restauranten de hadde stoppet ved («Taste China»), og vi hadde tilgang til det unike ID-nummeret til hver av Samsung Galaxy Note-telefonene deres.»
Fowler er teknologijournalist og følger med i det som rører seg på områdene som angår datalagring, datadeling og personvern for den velrenommerte amerikanske avisen Washington Post.
Han har en tid vært nysgjerrig på hva digitaliseringen av moderne biler innebærer for menneskers privatliv.
Hacket seg inn i en Chevrolet
De stadig mer tilstedeværende elektroniske systemene i bilene registrerer en betydelig mengde data både om kjøringen og om personer om bord i kjøretøyet.
Utdraget ovenfor, av historien om hva de fant ut, forteller litt om hvor sårbar en moderne bilist er med hensyn til personvern og beskyttelse av privatlivets fred.
Bilen er en kompleks og avansert datamaskin med en mengde sensorer som registrerer ulike typer informasjon om eieren og omgivelsene.
Mange biler registrerer en mengde av dine personlige data så snart du plugger inn telefonen, understreker Fowler.
Årsaken til at en Chevrolet Volt 2017-modell ble valgt i denne testen er ikke bare at det er et av de vanligste merkene på amerikanske veier, men også at de – ifølge Fowler – er blant merkene som har lengst historikk og mest erfaring med å registrere brukerdata.
General Motors lanserte den tilkoblede OnStar-tjenesten allerede i 1996. I starten var det et «SOS-system», der formålet å kunne tilkalle nødhjelp automatisk ved behov.
Les også: Slik ser en selvkjørende Volvo
Tingenes internett
Problemstillingen er selvsagt ikke spesifikk for biler. Vi omgir oss med stadig flere «smarte ting» som er koblet opp og registrerer hva vi foretar oss i hverdagen – alle en del av det stadig mer omfattende iOT («tingenes internett»), fra smarte telefoner til TV-er, høyttalere og smart hjem-systemer, for å nevne noe. Stadig mer av alt vi driver med i hverdagen, havner i «skyen».
Og deretter…? Tja.
I dag er bilene mer og mer også en del av tingenes internett.
Volkswagen, verdens største bilprodusent, samarbeider med Microsoft om det de kaller Volkswagen Automotive Cloud, og er blant dem som tydeligst har gjort dette til et sentralt element av sin virksomhet og kundeservice-strategi.
Kina-baserte Byton, for eksempel, er i ferd med å lansere en bilmodell – Byton M-Byte, som de selv karakteriserer som en «digital gjenstand på fire hjul». Deres teknologi-ansvarlige, Abe Chen, har tidligere delt sine tanker om sikkerhetsrisikoen digitaliseringen av moderne biler fører med seg, med Motor.
Profesjonell hacker
For å hente ut data fra bilen til den frivillige prøvekaninen, en viss «Doug», fikk Fowler hjelp av Jim Mason, en dataekspert som er spesialisert på å omgå sikkerhetssystemer og databeskyttelsesbarrierer, for å få tak i opplysningene som lagres i biler.
I hverdagen er dette noe han gjør for å hjelpe myndigheter og forsikringsselskaper med å kartlegge årsaker og ansvarsforhold ved for eksempel trafikkulykker eller tyverier.
Det er ikke en liketil jobb som hvem som helst kan gjøre, men krever inngående kunnskap, tid, tålmodighet og egnede verktøy.
Bilene har ikke bare en datamaskin, men et nettverk av koblede enheter som kan generere opptil 25 gigabyte med data hver time fra ulike givere og sensorer.
Og etter en tids arbeid kunne Mason, på sin egen datamaskin, vise Fowler resultatet av detektivarbeidet:
Bilen hadde data om dem begge, telefonene deres var identifisert og logget, og likeledes kjøreruten frem til garasjeanlegget der hackingen fant sted.
Les også: Slik tenker TV-gigant om morgendagens bil
Usikkert rundt personvern
Moderne bilers systemer kan samle inn mye mer variert informasjon enn som så, både via kameraene, oppkoblingen via telefonen og selve multimediasystemet. Data kan lagres, sendes på forespørsel til myndigheter og forsikringsselskaper.
Det er kjent at Tesla, for eksempel, har tilgang til video som filmes underveis av kameraene bilen er utstyrt med. Det er bilprodusenten som har kontroll på datainnsamlingen og –lagringen.
Eieren selv, «Doug», visste ikke engang at OnStar-tjenesten var standardutstyr i bilen hans – om enn i basisversjon. Ingen knapp eller meny i bilen hans gjør det mulig å deaktivere OnStar eller annen datainnsamling.
I motsetning til teknologiselskapene tilbyr ikke GM noen såkalt «åpenhetsrapport» (Transparency Report). I et utdrag fra deres avtaletekst med kunden (i USA) heter det derimot: «Vi kan beholde innsamlet informasjon så lenge det er nødvendig for virksomhetens drift, i forsknings- og utviklings-øyemed eller for å imøtekomme kontraktsfestede forpliktelser».
Markedsføring
Det er ikke utenkelig at data kan deles med kommersielle aktører, for eksempel med tanke på målrettet markedsføring.
GM hadde et eksperimentelt prosjekt der 90.000 frivillige lot sine musikkvalg bli sporet. Ifølge avisen Detroit Free Press forklarte GM markedsførere at den type data ville kunne hjelpe dem til – for å ta et eksempel – å råde en fan av country-musikk til å stoppe ved en McDonalds heller enn ved en av konkurrentens restauranter.
Ifølge Fowler undertegnet 20 bilprodusenter en frivillig avtale om standarder for beskyttelse av persondata allerede for fem år siden, men etter at han hadde ringt åtte av dem, hadde ingen kunnet forklare ham hvordan en bileier kan få oversikt over, laste ned eller kontrollere sine egne data.
Lover og regelverk rundt beskyttelse av data fra biler er i beste fall uklart og vil åpenbart måtte gjennomgås grundig før det er mulig å anta at personvernet er ivaretatt.
Siste kapittel i den historien er langt fra avsluttet. Antakelig har det første bare så vidt begynt.
Når det gjelder situasjonen i Norge ved kjøp av en ny bil, er den ikke veldig annerledes.
Som alle bedrifter må også aktørene i bilbransjen forholde seg til retningslinjene i loven om vern av personopplysninger, som i dag inkluderer den europeiske personvernforordningmen (GDPR).
Datatilsynet opplyser på sine nettsider om at Norges Bilbransjeforbund har utformet et eget standardskjema for å sikre dette som både forhandleren og bilkjøperen går gjennom og underskriver på.
På skjemaet kommer det frem hvilke data som samles inn fra bilen og hvordan disse behandles. Ved kjøp av bil skal skjemaet gjennomgås og signeres av kunden.
– Dagens biler samler inn og behandler masse informasjon. Dataene brukes til å lage enda bedre biler og gjør reparasjoner enklere. Men det er viktig at bileiere er kjent med datainnsamlingen og kan ta et klart standpunkt til denne innsamlingen. Betryggende ivaretakelse av kundenes personvern er viktig for våre medlemsbedrifter, sier advokat Anna Elisabeth Nordbø i Norges Bilbransjeforbund til Datatilsynet.
Bør signeres
Nordbø sier de har hatt et meget godt samarbeid med Datatilsynet under utviklingen av denne bransjenormen. Denne bør signeres og legges ved enhver salgskontrakt.
På denne måten gis bileieren informasjon og kunnskap om hva bilen samler inn av opplysninger – ikke minst personopplysninger – og kan vurdere om de ønsker dette eller ikke.
Så er spørsmålet selvsagt hvor mange nybilkunder som egentlig foretar undersøkelser, og tenker gjennom hva det er de undertegner på, under en slik kjøpsprosess…