Nu steeds meer auto’s een permanente internetverbinding hebben, verschuift de aandacht van hackers van gerichte experimentele pogingen tot grootschalige aanvallen. Het zelflerend vermogen van kunstmatige intelligentie speelt zowel de hackers als de verdedigingslinie in de kaart. Dat en meer blijkt uit het Global Automotive Cybersecurity Report van Upstream.

Volgens de onderzoekers is in 2023 het aantal incidenten met de beoordeling ‘grote impact’ of ‘enorme impact’ verdubbeld ten opzichte van het jaar ervoor. Het betreft bovendien de helft van alle incidenten. In 95 procent van de gevallen betreft een aanval op afstand en twee derde betrof een aanval door kwaadwillenden. Tegenover deze zogenoemde black hat operators staan ethische hackers die juist de zwakheden willen vinden voordat iemand anders het doet zodat deze gaten tijdig gedicht kunnen worden.

Meer met minder

Om de schaal aan te geven: twee derde van de incidenten had het potentieel om duizenden tot miljoenen voertuigen te treffen. In 37 procent van de gevallen ging het om een mogelijke impact op wereldwijde schaal. De nieuwe technische mogelijkheden bieden hackers de kans de controle te krijgen over veel meer voertuigen tegelijk en dat met minder investering van kennis en middelen. Bijna de helft van de 300 geanalyseerde hoofdrolspelers in de hackerswereld richtte de aanval op meerdere autofabrikanten en toeleveranciers tegelijk.

In juni 2023 ontving een gehackte toeleverancier van een chipmaker uit Taiwan een losgeld-eis van 70 miljoen dollar. Een paar maanden later werd in Australië een dealerholding aangevallen waarbij 50 GB aan gevoelige data werd buitgemaakt. Data van klanten, maar ook over het bedrijf zelf. Er is geen losgeld betaald en alle data is daarna openbaar gemaakt.

Gehackte EV

In maart 2023 bewezen ethische hackers het ongelijk van een autofabrikant die claimde dat hun EV niet via het energiemanagementsysteem op afstand te bedienen zou zijn. Terwijl de auto in beweging was kregen de hackers echter weldegelijk toegang tot het voertuig. De hackers zijn beloond en de fabrikant is zijn huiswerk opnieuw gaan maken om de patches via OTA-updates naar de auto’s te sturen. Dit voorbeeld raakt een autofabrikant, maar het rapport bevat meer zoals een gehackt laadinfra-netwerk waarbij gevoelige klant- en voertuigdata werd buitgemaakt.

De kosten van een geslaagde hack kunnen ver reiken. Denk niet alleen aan de kosten om het lek op te sporen en te dichten in alle betreffende voertuigen. Vergeet niet de schadeclaims en eventuele boetes. Alleen al de boetes vanuit de privacywetgeving zijn een zorg in deze. Een rekenvoorbeeld uit het rapport bevat tussen de 1 en 2 miljoen dollar voor de OTA-update, tussen de grofweg 5 en 25 miljoen voor het vervangen van beschadigde accupakketten en tussen de 11 en 22 miljoen aan boetes en rechtszaken. Een van de doelen van Upstream is dan ook het creëren van bewustzijn over de enorme financiële impact van de risico’s rondom cybersecurity. Ze identificeren zeven verschillende aandachtspunten waar de impact voelbaar is:

• Voertuigveiligheid en terugroepacties
• Data- en privacylekken
• Voertuigdiefstal en inbraak
• Verstoorde dienstverlening en transacties
• Problemen met wetgeving en compliance.
• Fraude
• Schade aan merkimago en reputatie

Dankzij over-the-air updates verandert de precieze softwaresamenstelling van een voertuig voortdurend waardoor risicoprofielen niet langer statisch zijn maar continu veranderen. Voor autofabrikanten benadrukt dit de urgente noodzaak om de software en de gevoelige data te kunnen beveiligen. Er staat wel iets tegenover: deze manier van updaten is goedkoper dan de kostbare fysieke terugroepacties uit het verleden en zal naar verwachting de garantiekosten drukken.

Kunstmatige intelligentie

Generatieve kunstmatige intelligentie biedt beide kampen intussen extra munitie. Door het in te zetten tijdens geautomatiseerde aanvallen kan geleerd worden van elke mislukte aanval. De leercurve versnelt hierdoor enorm. Tegelijkertijd zetten de autofabrikanten en toeleveranciers het in om de digitale deuren gesloten te kunnen houden.

Voor het rapport zijn bijna 1500 incidenten onderzocht, waarbij sommige al in 2010 plaatsvonden. Ook monitort Upstream de meer schimmige plekken van het internet, ook wel bekend als deep en dark web.

Upstream houdt zich al sinds 2017 bezig met het monitoren van en beveiligen tegen cyberaanvallen in de autowereld. Daarbij zijn niet alleen fabrikanten van auto’s en onderdelen in beeld, maar ook het ecosysteem eromheen (denk aan laadinfra).

De foto boven dit artikel dient ter illustratie, ZF komt niet voor in het besproken rapport.