Porsche on ollut vuosikymmeniä yksi arvostetuimmista urheiluautojen valmistajista.

Koska urheiluauto on konseptina epäkäytännöllinen, merkki oli marginaalissa myyntilukujen suhteen. Tämä muuttui vuonna 2002, kun Porsche lähti katumaasturibisnekseen. Se julkisti Cayenne-nimisen auton, joka myi urheiluautopuristien alkujärkytyksestä huolimatta mainiosti.

Vielä arvokkaampaan kultasuoneen Porsche iski, kun se toi myöhemmin markkinoille Cayennen ”pikkuveljen” eli Macanin. Euroopassa se on ollut Porschen myydyin automalli.

Viime vuonna Macaneja meni Euroopassa kaupaksi yli 20 000 kappaletta, mikä on suuri määrä siihen nähden, että puhutaan varsin kalliista autosta. Keväällä Porsche kuitenkin lopettaa polttomoottori-Macanien myynnin Euroopassa. 

Ei siksi, että se haluaisi lopettaa – Macaneja tullaan myymään vielä muilla markkina-alueilla. Syynä on se, että EU:n turvallisuusasetuksen mukaan auto on yhtäkkiä omistajalleen tietoturvariski.

EU-lainsäädäntö on niin kimuranttia, että pitää pyytää joku selittämään.

Liikenne- ja viestintäministeriön johtava asiantuntija Esa Aaltonen, mistä on kyse?

”Kysymys on EU:n turvallisuusasetuksesta, tarkemmin ilmaistuna vaatimuksen E-säännöstä 155”, hän vastaa.

Turvallisuusasetus linjaa, että vuoden 2024 heinäkuun jälkeen EU-markkinoilla ei saa ensirekisteröidä autoja, joita ei ole päivitetty uusien turvallisuusasetuksen vaatimilla tavoilla.

Asetuksessa on monia muitakin vaatimuksia. Sama asetus esimerkiksi pakottaa vuodesta 2024 kaikkiin uusiin autoihin ISA-järjestelmän eli älykkään nopeusavustimen, joka varoittaa joka kerta, jos kuljettaja ajaa ylinopeutta.

Turvallisuusasetusta voi tarkastella täällä.

Macanin kohdalla ongelma on kyberturvallisuudessa.

”Ajoneuvojen liitettävyys ja ’automatisaatio’ lisäävät ajoneuvossa olevien tietojen luvattoman etäkäytön ja ohjelmiston laittoman langattoman muuttamisen mahdollisuutta – tarkoittaen siis hakkerointia. Tällaisten riskien huomioon ottamiseksi kyberturvallisuutta koskevia vaatimuksia on säädetty uusille ajoneuvoille”, Aaltonen kertoo.

Autocar-lehden mukaan uudet säädökset edellyttävät, että autot on suojattu 70:ltä erilaiselta haavoittuvuudelta.

Macan ei siis täytä näitä vaatimuksia. Porschella on todettu, että tietoturvan päivittäminen on joko liian kallista tai mahdotonta, joten sen on pakko lopettaa hittimallinsa polttomoottoriversion myynti EU-alueella.

Jos Porsche jatkaisi kaupantekoa, sitä uhkaisivat mittavat sakot. Valmistajat, jotka myyvät säädöstenvastaisia autoja, joutuvat pulittamaan enintään 30 000 euron sakot myytyä autoa kohden.

Yllätyksenä asia ei ole voinut Porschelle tulla, Aaltonen muistuttaa.

”Valmistajilla on ollut useampi vuosi aikaa sopeutua vaatimuksiin. On täysin heidän harkinnassaan, mitä he tekevät. Vastaavaa kyberturvallisuussääntelyä on lähes kaikilla sektoreilla tällä hetkellä. Asiakkaiden kannalta on tietysti hyödyllistä, että auton kyberturvallisuudesta huolehditaan.”

Porschella on todennäköisesti laskettu, että on halvempaa lopettaa myynti kokonaan kuin alkaa päivittää vanhaa mallia, sillä Macanista on pian tulossa uudistettu täyssähköversio.

EU ei ole ainoa, joka on herännyt kyberturvallisuusasioissa. Myös Yhdysvalloissa suunnitellaan hanketta, jossa autojen kyberturvallisuusvaatimuksia päivitettäisiin.

Oudon tilanteesta tekee se, että Macania saa edelleen myydä muilla markkinoilla – myös Britanniassa – vaikka EU-säädösten mukaan auto on tietoturvariski.

Porsche aikookin jatkaa näiden autojen valmistamista vanhaan malliin vuoden 2025 loppuun asti ja myydä niitä EU:n ulkopuolella. Asiaa ihmettelee myös tietoturva-asiantuntija Petteri Järvinen.

”En ole nähnyt Porschen perustelevan tarkemmin, mistä on kyse. Ihme juttu sinänsä, koska jos autossa olisi oikeasti jotain tietoturvaongelmia, ne vaikuttavat muillakin markkinoilla ja vähentävät myyntiä. Ehkä Macan on rakennettu digialustalle, jota on jatkossa mahdoton päivittää tai korjata?” Järvinen spekuloi.

Porsche on osa Volkswagen-konsernia, ja VW on ilmoittanut, että jotkin muutkin sen automallit joudutaan kuoppaamaan kyberturvallisuuden vuoksi.

Ainakin pieni sähköauto Volkswagen e-Up lopetetaan. VW:n brändijohtaja Thomas Schäferin mukaan olisi liian kallista alkaa päivittää mallia kyberturvalliseksi. 

Kauppalehti kertoo, että uudet kyberturvallisuussäännöt vaikuttavat myös VW Transporteriin ja Audin urheiluautomalleihin TT sekä R8. 

Autojen tietoturva-aukkoja on Järvisen mukaan aiemmin käytetty ilkitöiden tekemiseen.

”Premium-autoja on varastettu kaappaamalla avaimen ja auton välistä lukituskomennon liikennettä. Siinä pelkkä softapäivitys ei riitä, koska kyse on softan ja raudan yhteistyöstä ja huonosta suunnittelusta. Ehkä EU haluaa jatkossa estää juuri tällaiset virheet ja pakottaa turvalliseen suunnitteluun.”

Jos omistaa Macanin, täytyykö nyt siis olla huolissaan, että hakkerit kaappaavat tai varastavat auton tai jotain sellaista?

Todennäköisesti ei, Järvinen lohduttaa.

”Montako tosielämän tapausta olet kuullut, joissa autojen tietotekniikkaan on murtauduttu? Ei juuri lainkaan. Tutkijoiden löytämistä aukoista on pitkä matka siihen, että autovarkaat – yleensä nuoret – niitä käyttäisivät.”

EU:n uudessa säädöksessä on kyse tulevaisuuteen varautumisesta.

Autojen käyttöikä on esimerkiksi puhelimiin verrattuna pitkä, ja auton elinkaaren aikana tietotekniikka ehtii kehittyä isoin harppauksin. Esimerkiksi Macan tuli markkinoille kymmenen vuotta sitten.

”Tämä johtaa siihen, että käytössä on runsaasti vanhoja autoja, joiden tietoturvapuutteita on mahdoton enää korjata.”

Siksi autoissa pitää uusien säädösten mukaan olla järjestelmät, jotka on helppoa pitää jatkossakin ajan tasalle.

Autot ovat käytännössä pyörillä kulkevia tietokoneita, jotka ovat yhdistettyinä muuhun digitaaliseen todellisuuteen, joten tietoturva-asiat ovat nyt ja tulevaisuudessa yhä akuutimpi haaste autoteollisuudessa.

”Digilaitteissa kaikki on yhteydessä kaikkeen”, Järvinen muistuttaa.