Кибербезопасность беспилотного транспорта: правовые требования и риски
В России тема кибербезопасности автономного транспорта только начинает получать законодательное оформление. Поэтому, в этой статье постараемся разобраться: какие угрозы реальны, какие правовые требования уже действуют и кто несёт ответственность за киберинцидент с ВАТС.
Евгения Дашкевич
Практикующий юрист в сфере IP/IT, BETOBELEGAL
Какие угрозы есть для беспилотных авто?
Атаки на беспилотный транспорт принципиально отличаются от классических киберугроз: их последствия — не утечка данных, а физический вред людям и инфраструктуре. Выделяют несколько ключевых векторов атак.
GPS-спуфинг и подмена навигационных данных
Злоумышленник может сгенерировать ложный GPS/ГЛОНАСС-сигнал, убеждая беспилотник, что он находится в другой точке пространства. Как результат: ложный маршрут, въезд на запрещённую полосу, столкновение с препятствием. Особую опасность представляет подмена данных на высокоскоростных трассах, где беспилотные грузовики уже работают в коммерческом режиме (М-11 «Нева», ЦКАД).
DDoS-атаки на дорожную инфраструктуру V2X
Дорожные узлы RSU (Road Side Unit) обеспечивают V2X-коммуникацию и обмен данными между автомобилями и инфраструктурой в режиме реального времени. Перегрузка этих узлов вредоносным трафиком лишает беспилотники критически важной информации о светофорах, авариях и ограничениях скорости, что способно спровоцировать массовые ДТП.
Состязательные атаки на нейросети компьютерного зрения
Алгоритмы компьютерного зрения уязвимы перед так называемыми adversarial attacks — незаметными для человека изменениями визуальных объектов, которые заставляют нейросеть ошибочно классифицировать знак «СТОП» как знак ограничения скорости или не замечать пешехода. Подобные атаки можно реализовать физически: нанесением специальных паттернов на дорожные знаки.
Взлом через канал обновлений OTA (Over-The-Air)
Современные ВАТС получают обновления программного обеспечения по беспроводным каналам. Компрометация этого канала позволяет внедрить вредоносный код непосредственно в систему управления автомобилем, то есть фактически перехватив контроль над транспортным средством без физического доступа к нему.
GPS-спуфинг и подмена навигационных данных
Злоумышленник может сгенерировать ложный GPS/ГЛОНАСС-сигнал, убеждая беспилотник, что он находится в другой точке пространства. Как результат: ложный маршрут, въезд на запрещённую полосу, столкновение с препятствием. Особую опасность представляет подмена данных на высокоскоростных трассах, где беспилотные грузовики уже работают в коммерческом режиме (М-11 «Нева», ЦКАД).
DDoS-атаки на дорожную инфраструктуру V2X
Дорожные узлы RSU (Road Side Unit) обеспечивают V2X-коммуникацию и обмен данными между автомобилями и инфраструктурой в режиме реального времени. Перегрузка этих узлов вредоносным трафиком лишает беспилотники критически важной информации о светофорах, авариях и ограничениях скорости, что способно спровоцировать массовые ДТП.
Состязательные атаки на нейросети компьютерного зрения
Алгоритмы компьютерного зрения уязвимы перед так называемыми adversarial attacks — незаметными для человека изменениями визуальных объектов, которые заставляют нейросеть ошибочно классифицировать знак «СТОП» как знак ограничения скорости или не замечать пешехода. Подобные атаки можно реализовать физически: нанесением специальных паттернов на дорожные знаки.
Взлом через канал обновлений OTA (Over-The-Air)
Современные ВАТС получают обновления программного обеспечения по беспроводным каналам. Компрометация этого канала позволяет внедрить вредоносный код непосредственно в систему управления автомобилем, то есть фактически перехватив контроль над транспортным средством без физического доступа к нему.
Какие требования к кибербезопасноти ВАТС в России?
На сегодняшний день кибербезопасность беспилотного транспорта в России регулируется пересечением нескольких правовых актов — специального законодательства для ВАТС пока не принято, однако ряд требований уже является обязательным.
Федеральный закон № 187-ФЗ «О безопасности КИИ»
Транспортная инфраструктура отнесена к критической информационной инфраструктуре. Операторы ВАТС, интегрированные в транспортную сеть, обязаны соблюдать требования безопасности КИИ.
Проект закона о ВАТС (Минтранс, 2026)
Обязательная сертификация систем кибербезопасности, применение шифрования AES-128, аппаратных модулей безопасности (HSM), аудит безопасности перед выходом на рынок.
ГОСТ Р 56939-2016 и технический регламент ТР ЕАЭС 018/2011
Требования к программному обеспечению и безопасности электронных систем транспортных средств на территории ЕАЭС.
Постановление Правительства РФ № 1415
Обязательное подключение к системе мониторинга «ЭРА-ГЛОНАСС», защита каналов передачи данных между ВАТС и диспетчерским центром.
Есть ли международные стандарты регулирование ВАТС?
Россия как член Комитета по внутреннему транспорту ЕЭК ООН придерживается международных стандартов в части технического регулирования автомобилей, в том числе автономных.
Регламент WP.29 (UNECE R155/R156) — это базовый международный документ, обязывающий производителей автомобилей внедрять систему управления киберрисками (CSMS — Cybersecurity Management System) на всём жизненном цикле транспортного средства: от проектирования до утилизации. R156 регулирует безопасность OTA-обновлений.
Стандарт ISO/SAE 21434:2021 — детальная методология оценки и управления киберрисками для автомобильной отрасли. Охватывает разработку, производство, техническое обслуживание и вывод из эксплуатации. Российские производители ВАТС, претендующие на международные рынки, вынуждены соблюдать этот стандарт де-факто.
Но есть одна принципиальная проблема: действующие международные требования, по оценкам экспертов, отстают от реального темпа развития угроз. Стандарты описывают угрозы, актуальные на момент разработки, тогда как злоумышленники адаптируют инструменты значительно быстрее законодательного цикла.
Регламент WP.29 (UNECE R155/R156) — это базовый международный документ, обязывающий производителей автомобилей внедрять систему управления киберрисками (CSMS — Cybersecurity Management System) на всём жизненном цикле транспортного средства: от проектирования до утилизации. R156 регулирует безопасность OTA-обновлений.
Стандарт ISO/SAE 21434:2021 — детальная методология оценки и управления киберрисками для автомобильной отрасли. Охватывает разработку, производство, техническое обслуживание и вывод из эксплуатации. Российские производители ВАТС, претендующие на международные рынки, вынуждены соблюдать этот стандарт де-факто.
Но есть одна принципиальная проблема: действующие международные требования, по оценкам экспертов, отстают от реального темпа развития угроз. Стандарты описывают угрозы, актуальные на момент разработки, тогда как злоумышленники адаптируют инструменты значительно быстрее законодательного цикла.
Кто несёт ответственность за киберинцидент с ВАТС?
Вопрос ответственности при кибератаке на беспилотник — один из наиболее юридически сложных. Рассмотрим возможные сценарии.
Сценарий 1. Взлом через уязвимость в ПО производителя.
Если атака стала возможной из-за незакрытой уязвимости в программном обеспечении, пострадавший вправе предъявить иск производителю на основании статей 1095–1098 ГК РФ (вред от недостатков товара). Производитель освобождается от ответственности только если докажет, что выпустил обновление безопасности и оператор его не установил.
Сценарий 2. Атака через незащищённую инфраструктуру оператора.
Если злоумышленник получил доступ к системе управления беспилотником через незащищённый диспетчерский центр оператора, ответственность лежит на операторе. Дополнительно оператор может быть привлечён к административной ответственности по статье 13.12 КоАП РФ (нарушение правил защиты информации).
Сценарий 3. Целенаправленная атака третьего лица.
Если кибератака была совершена умышленно третьим лицом, злоумышленник несёт уголовную ответственность по статье 272 УК РФ (неправомерный доступ к компьютерной информации) и статье 274 УК РФ (нарушение правил эксплуатации средств хранения и обработки информации). При наступлении тяжких последствий — смерти или тяжкого вреда здоровью — возможна дополнительная квалификация.
Сценарий 1. Взлом через уязвимость в ПО производителя.
Если атака стала возможной из-за незакрытой уязвимости в программном обеспечении, пострадавший вправе предъявить иск производителю на основании статей 1095–1098 ГК РФ (вред от недостатков товара). Производитель освобождается от ответственности только если докажет, что выпустил обновление безопасности и оператор его не установил.
Сценарий 2. Атака через незащищённую инфраструктуру оператора.
Если злоумышленник получил доступ к системе управления беспилотником через незащищённый диспетчерский центр оператора, ответственность лежит на операторе. Дополнительно оператор может быть привлечён к административной ответственности по статье 13.12 КоАП РФ (нарушение правил защиты информации).
Сценарий 3. Целенаправленная атака третьего лица.
Если кибератака была совершена умышленно третьим лицом, злоумышленник несёт уголовную ответственность по статье 272 УК РФ (неправомерный доступ к компьютерной информации) и статье 274 УК РФ (нарушение правил эксплуатации средств хранения и обработки информации). При наступлении тяжких последствий — смерти или тяжкого вреда здоровью — возможна дополнительная квалификация.
Пробелы в российском законодательстве о кибербезопасности беспилотного такси
Согласно проекту закона о ВАТС, все данные телематики беспилотника (маршрут, скорость, действия системы управления, показания датчиков) в режиме реального времени передаются в Центр мониторинга на базе АО «ГЛОНАСС».
Эти данные станут ключевым доказательством при расследовании ДТП: они позволят восстановить хронологию событий, установить, кто принимал управляющее решение в момент аварии, и разграничить ответственность между оператором, производителем и дистанционным водителем.
Эти данные станут ключевым доказательством при расследовании ДТП: они позволят восстановить хронологию событий, установить, кто принимал управляющее решение в момент аварии, и разграничить ответственность между оператором, производителем и дистанционным водителем.
Что делать для соблюдения требований кибербезопасности?
Операторам беспилотного транспорта, работающим в России в 2025–2026 годах, рекомендуется уже сейчас выстраивать систему защиты с учётом требований будущего закона о ВАТС:
1.Внедрить шифрование каналов передачи данных между ВАТС и диспетчерским центром (минимальный стандарт — AES-128).
2.Установить аппаратные модули безопасности (HSM) для хранения криптографических ключей и верификации цифровых подписей обновлений ПО.
3.Разработать и утвердить внутреннюю политику реагирования на инциденты кибербезопасности с прописанными сроками уведомления НКЦКИ (Национальный координационный центр по компьютерным инцидентам).
4.Обеспечить регулярное обновление ПО через защищённый OTA-канал с верификацией целостности каждого обновления.
5.Провести оценку соответствия требованиям WP.29 (UNECE R155) — даже при отсутствии прямой обязанности это снизит регуляторные риски после принятия закона о ВАТС.
6.Зафиксировать в договорах с производителями ПО обязанность оперативного закрытия уязвимостей (SLA на патчинг) и условия перехода ответственности при кибератаке.
1.Внедрить шифрование каналов передачи данных между ВАТС и диспетчерским центром (минимальный стандарт — AES-128).
2.Установить аппаратные модули безопасности (HSM) для хранения криптографических ключей и верификации цифровых подписей обновлений ПО.
3.Разработать и утвердить внутреннюю политику реагирования на инциденты кибербезопасности с прописанными сроками уведомления НКЦКИ (Национальный координационный центр по компьютерным инцидентам).
4.Обеспечить регулярное обновление ПО через защищённый OTA-канал с верификацией целостности каждого обновления.
5.Провести оценку соответствия требованиям WP.29 (UNECE R155) — даже при отсутствии прямой обязанности это снизит регуляторные риски после принятия закона о ВАТС.
6.Зафиксировать в договорах с производителями ПО обязанность оперативного закрытия уязвимостей (SLA на патчинг) и условия перехода ответственности при кибератаке.
Заключение
Можем сделать итог: кибербезопасность ВАТС — зона правовой неопределённости, требующая превентивных действий.
Российское законодательство о кибербезопасности беспилотного транспорта находится в стадии формирования. Действующие нормы — закон о КИИ, постановление об экспериментальном режиме, общие нормы УК и ГК — создают лишь базовый правовой каркас. Специальные требования появятся вместе с законом о ВАТС, вступающим в силу в 2027 году.
До этого момента операторы находятся в зоне правовой неопределённости: при киберинциденте им грозит ответственность по общим нормам гражданского и уголовного права, тогда как чёткие стандарты защиты ещё не закреплены законодательно. Превентивное выстраивание системы кибербезопасности сегодня — это не только техническая необходимость, но и способ минимизировать правовые риски завтра.
Другие статьи цикла о правовом регулировании ВАТС:
→ Легализация беспилотного такси в России: закон о ВАТС, Яндекс роботакси и запуск в 2026 году
→ Кто отвечает за ДТП с беспилотником: ответственность при аварии с ВАТС
Не является юридической консультацией. При возникновении конкретной правовой ситуации обратитесь к квалифицированному юристу.
Российское законодательство о кибербезопасности беспилотного транспорта находится в стадии формирования. Действующие нормы — закон о КИИ, постановление об экспериментальном режиме, общие нормы УК и ГК — создают лишь базовый правовой каркас. Специальные требования появятся вместе с законом о ВАТС, вступающим в силу в 2027 году.
До этого момента операторы находятся в зоне правовой неопределённости: при киберинциденте им грозит ответственность по общим нормам гражданского и уголовного права, тогда как чёткие стандарты защиты ещё не закреплены законодательно. Превентивное выстраивание системы кибербезопасности сегодня — это не только техническая необходимость, но и способ минимизировать правовые риски завтра.
Другие статьи цикла о правовом регулировании ВАТС:
→ Легализация беспилотного такси в России: закон о ВАТС, Яндекс роботакси и запуск в 2026 году
→ Кто отвечает за ДТП с беспилотником: ответственность при аварии с ВАТС
Не является юридической консультацией. При возникновении конкретной правовой ситуации обратитесь к квалифицированному юристу.
09 марта 2026 года
