Zaktualizowano w dniu Firma

Obawy o podsłuch w chińskich samochodach elektrycznych – śledztwo w USA

Departament Handlu USA prowadzi śledztwo, które sprawdza, czy oprogramowanie chińskich samochodów elektrycznych gromadzi i przesyła dane o lokalizacji, ładowaniu i nawykach użytkowników, oraz czy to zagraża bezpieczeństwu narodowemu i stabilności łańcucha dostaw.

Zakres śledztwa

Śledztwo koncentruje się na oprogramowaniu pojazdów, sposobach transmisji danych oraz powiązaniach z łańcuchem dostaw. Badanie obejmuje techniczne mechanizmy i praktyki biznesowe, które mogą umożliwiać zbieranie informacji użytecznych dla wywiadu lub umożliwiać zdalne modyfikacje oprogramowania. Analiza dotyczy zarówno prywatnych aut importowanych bezpośrednio, jak i samochodów wytwarzanych przez chińskie koncerny w fabrykach poza Chinami, np. w Meksyku.

Główne obszary analizowane w śledztwie

1) identyfikacja danych przesyłanych do chmury i z chmury, 2) ocena mechanizmów aktualizacji over-the-air (OTA) i ich zabezpieczeń, 3) kontrola integracji modułów pochodzenia chińskiego z krytycznymi systemami pojazdu.

Jakie dane mogą być zbierane

W praktyce nowoczesne pojazdy elektryczne rejestrują szeroki zestaw informacji, które mogą być użyte do profilowania użytkowników lub mapowania infrastruktury.

  • gps i historia tras — przykład: zapamiętywanie regularnych miejsc postojów; może ujawnić adresy domowe i służbowe,
  • dane o ładowaniu i stacjach ładowania — przykład: częstotliwość i lokalizacje ładowań; może ujawnić rutyny pracy zespołów służbowych i tras konwojów,
  • dane multimedialne i telefony — przykład: parowane urządzenia przez Bluetooth/USB mogą pozostawiać kontakty, historię połączeń lub fragmenty komunikacji,

Dlaczego to budzi niepokój

Istnieje kombinacja czynników technicznych, prawnych i gospodarczych, które zwiększają ryzyko: szerokie możliwości zbierania danych przez EV, duży udział komponentów pochodzących z Chin oraz obowiązki narzucone przez chińskie prawo. 82% łańcucha dostaw EV pochodzi z Chin, co oznacza, że wiele krytycznych komponentów i oprogramowania może pochodzić od podmiotów zarejestrowanych w Chinach lub korzystających z chińskich dostawców.

Prawo chińskie o wywiadzie narodowym z 2017 r. nakłada obowiązek współpracy firm z organami państwowymi, co w połączeniu z możliwością zdalnej aktualizacji oprogramowania (OTA) i telemetrii zwiększa obawy o niekontrolowany przepływ istotnych danych. Dodatkowo niskie koszty produkcji przekładają się na konkurencyjną cenę – małe chińskie EV kosztują około 11 000 USD (~44 000 PLN) – co sprzyja szybkiej ekspansji rynkowej i zwiększa udział tych pojazdów w flotach prywatnych i komercyjnych.

Co robią rządy i firmy

Reakcje administracji i firm są wielotorowe: od formalnych śledztw po praktyczne ograniczenia użycia pojazdów w miejscach wrażliwych. W USA Departament Handlu formalnie bada, czy przesyłane przez oprogramowanie dane zagrażają bezpieczeństwu narodowemu. Równocześnie od 2024 r. wprowadzono zasady, które ograniczają możliwość uzyskania przez producentów kredytu podatkowego 7 500 USD, jeśli pojazd zawiera komponenty lub oprogramowanie pochodzące z miejsc uznanych za ryzykowne; w praktyce od modelu 2027 objęto większym rygorem pojazdy z oprogramowaniem chińskim.

W Wielkiej Brytanii firmy z sektora obronnego (np. BAE Systems, Rolls‑Royce) zaleciły pracownikom niewłączanie Bluetooth/USB oraz unikanie wrażliwych rozmów w pobliżu niektórych chińskich EV. W Polsce MON i instytuty analityczne prowadzą przeglądy danych zbieranych przez inteligentne auta i rozważają ograniczenia użycia w służbach.

Techniczne wektory podsłuchu

Kluczowe techniczne wektory, które eksperci wymieniają jako potencjalne źródła wycieku lub zdalnej ingerencji, to zarówno elementy sprzętowe, jak i drogi transmisji danych.

  • mikrofony i kamery w kabinie — przykład: nagrywanie rozmów i dźwięków otoczenia; może ujawnić treść rozmów lub obecność osób przy ważnych obiektach,
  • bluetooth i usb — przykład: po sparowaniu telefonu dostęp do kontaktów, historii połączeń i niektórych danych aplikacji,
  • ota i chmura — przykład: zdalne modyfikacje oprogramowania oraz stały przesył telemetrii do serwerów zewnętrznych,

Dowody i ich ograniczenia

Do tej pory publicznie dostępne raporty nie dokumentują bezpośrednio potwierdzonych operacji wywiadowczych przeprowadzonych za pomocą EV. Dominują analizy możliwości technicznych i ryzyka prawnego. Główne ograniczenia dowodowe to brak opublikowanych przypadków z pełną weryfikacją techniczną oraz trudność w odróżnieniu normalnej telemetrii użytkowej od działań celowych służb wywiadowczych. Eksperci wskazują, że skala zagrożenia wynika w dużej mierze z masowości i mobilności pojazdów, a nie z pojedynczych potwierdzonych ataków.

Konsekwencje gospodarcze i polityczne

Eksplozja produkcji tanich chińskich EV i strategia ekspansji na rynki zagraniczne mają realne konsekwencje:

– chińskie firmy otwierają fabryki poza Chinami, m.in. w Meksyku, aby omijać amerykańskie cła i przyspieszyć dostęp do rynku północnoamerykańskiego,
– polityka ulg podatkowych w USA (do 7 500 USD) wymusza na producentach weryfikację łańcucha dostaw, co zmienia decyzje inwestycyjne i dostawcze,
– restrykcje i zakazy importu lub użycia niektórych modeli mogą zwiększyć ceny i ograniczyć dostępność najtańszych EV w krótkim okresie,
– geopolityczne napięcia dotyczące zaufania do komponentów i oprogramowania mogą przyspieszyć proces „deglobalizacji” łańcucha dostaw w sektorze motoryzacyjnym.

W praktyce polityka handlowa, prawo bezpieczeństwa i reakcje firm mogą doprowadzić do relokacji produkcji, zwiększonych kosztów kontroli jakości i audytów oraz do podziału rynku na segmenty bardziej i mniej zaufane z punktu widzenia bezpieczeństwa.

Praktyczne zabezpieczenia dla użytkowników

Użytkownicy indywidualni i firmy mogą podjąć konkretne kroki, żeby zmniejszyć ryzyko niezamierzonego udostępnienia danych.

Rekomendacje dla instytucji i decydentów

Dla organizacji rządowych, wojskowych i firm o podwyższonym poziomie zabezpieczeń zalecane są działania systemowe obejmujące ocenę ryzyka, audyty i polityki operacyjne.

Jak wdrażać audyty i techniczne zabezpieczenia

Proces audytu powinien obejmować analizę kodu i konfiguracji komunikacji, testy inwazyjne systemów OTA, oraz analizę ruchu sieciowego między pojazdem a serwerami producenta. Audyt powinien weryfikować izolację danych użytkownika od krytycznych sterowników pojazdu i stosowanie szyfrowania end-to-end dla wrażliwych połączeń. Z punktu widzenia praktycznego warto wprowadzić standardy minimalnych wymagań bezpieczeństwa dla flot (np. szyfrowanie telemetrii, kontrola dostępu do logów, lista zaufanych domen dla OTA).

Ograniczenia dostępnych danych i ryzyka decyzji

Należy pamiętać, że obecne analizy opierają się głównie na ocenie możliwości technologicznych i prawnych, a nie na jawnych, zweryfikowanych akcjach inwigilacyjnych. To oznacza, że decyzje polityczne i regulacyjne często opierają się na zasadzie ostrożności i analitycznej ocenie ryzyka, a nie na przypadkach potwierdzonego nadużycia. Ryzyko fałszywego alarmu musi być wyważone z konsekwencjami gospodarczymi zbyt restrykcyjnych zakazów.

Elementy decydujące o dalszym rozwoju sytuacji

W najbliższych latach kluczowe będą: wyniki śledztwa Departamentu Handlu, tempo relokacji produkcji przez chińskie firmy, skuteczność audytów łańcucha dostaw oraz polityka ulg podatkowych i regulacji dotyczących bezpieczeństwa technologicznego. Jeśli analiza ujawni techniczne dowody na systematyczne przesyłanie wrażliwych danych do serwerów kontrolowanych przez podmioty powiązane z obcym rządem, konsekwencje prawne i handlowe będą znaczne.

Najważniejsze liczby i terminy do zapamiętania

1) 82% — udział Chin w łańcuchu dostaw EV, 2) 11 000 USD (~44 000 PLN) — orientacyjna cena małych chińskich EV, 3) 7 500 USD — maksymalna ulga podatkowa w USA dla kwalifikujących się pojazdów, 4) 2027 — modelowy rok, od którego w USA zaostrzono kryteria dotyczące oprogramowania i pochodzenia komponentów.

Analizy wskazują, że zagrożenie wynika z kombinacji technologii, struktury łańcucha dostaw i przepisów prawnych, a nie tylko z pojedynczego mechanizmu technicznego.

Przeczytaj również:

Rekomendowane artykuły